Hazai GDPR bírságok – 4. rész

A kérelmező több (2018 június 14-én, 2018. augusztus 22-én és 2018. november 5-én kelt), összetett érintetti joggyakorlásra irányuló kérelmeket nyújtott be az adatkezelőhöz: 

• A kérelmező tájékoztatást kért arról, hogy az adatkezelő milyen kamerafelvételeket kezel róla, azok pontosan hol és mikor készültek, illetve azokat az ő adatkezelés korlátozására vonatkozó kérelme vagy a jogos érdeke alapján kezeli-e az adatkezelő. Ezen túlmenően több kamerafelvétel kapcsán élni kívánt az adatkezelés korlátozásához való jogával, és kérte, hogy az adatkezelő ezen felvételeket ne törölje, azokat öt évre zárolja. 
• A kérelmező kérte az adatkezelő Telecenterével és az adatkezelő központi számával meghatározott időszakban folytatott beszélgetésekről készült hangfelvételek másolatát, továbbá egy listát, amelyen fel van tüntetve a beszélgetés dátuma, annak pontos kezdete, a beszélgetés időtartama, az ügyintéző neve, valamint a beszélgetés egyedi azonosítója. (Ezen kérelmét további kérelmeiben kiterjesztette az újabb kérelmekig terjedő időszakra.) Kérte ezen felvételeknek az adatkezelő bankfiókjában történő meghallgatását is.
• Tájékoztatást kért továbbá a privátbanki hívásokról készült hangfelvételek kezelésének céljáról, jogalapjáról, az adatkezelés időtartamáról, az adatfeldolgozó nevéről, címéről, az adatkezeléssel összefüggő tevékenységéről, az esetleges továbbításuk céljáról és jogalapjáról, valamint az adatkezelés minden további körülményéről, ideértve az esetleges adatvédelmi incidenseket.
• Kérte egy meghatározott időszakra vonatkozó pénztárbefizetési bizonylatainak másolatát,valamint az azokba való betekintést. Tájékoztatást kért továbbá arról, hogy a Kérelmezett a pénztárbefizetési bizonylatokat milyen jogszabályi rendelkezés alapján, milyen célból, mennyi ideig őrzi meg.
• A kérelmező álláspontja szerint eltűnt az adatkezelő irattárából a 2013. december 3-án kelt USD és HUF számlaszerződése, a VISA bankkártyaszerződése, valamint az E-banking szerződése. Ezzel összefüggésben tájékoztatást kért az adatkezelőtől a szerződések eltűnéséről, annak észleléséről, dokumentálásáról, időpontjáról.
• A kérelmező továbbá részletes tájékoztatást kért a személyes adatai kezeléséről, az adatkezelés jogalapjáról, figyelemmel arra is, hogy ahol hozzájárulás az adatkezelés jogalapja, ott vissza kívánja vonni a hozzájárulását.
• Másolatot kért a kérelmező bankfiókban történt ügyintézésről készült jegyzőkönyvekről, illetve kérte az eredeti jegyzőkönyvekbe való betekintés biztosítását is.
• Másolatot, valamint az eredeti példányokba való betekintést kért az adatkezelő fiókhálózatnak küldött azon utasításokról, amelyek szerint vele szemben meg kell tagadni a bankfióki ügyintézést. Másolatot kért a fiókhálózatnak eljuttatott körlevélben található, őt ábrázoló fényképről. A fényképpel kapcsolatban tájékoztatást kért a fénykép forrásáról, illetve kérte a fénykép törlését.
• Kérelmező másolatot kért aláírásmintájáról, valamint a személyi kölcsönszerződéséhez kapcsolódóan az adósminősítést tartalmazó dokumentumról. Tájékoztatást kért továbbá arról, hogy a fenti személyi kölcsönszerződésével összefüggésben benyújtott jövedelemigazolását az adatkezelő mikor semmisítette meg.

A fentiek alapján tehát a kérelmező a GDPR alapján őt megillető hozzáférési jog (15. cikk (1) és (3) bekezdés is) mellett, az adatkorlátozáshoz való jogát és a törléshez való jogát is gyakorolni kívánta. 

Kérelmek késedelmes teljesítése

Az adatkezelő az előterjesztett kérelmekre 2018. december 18-án válaszolt, ugyanakkor egyetlen kérelmet sem válaszolta meg érdemben, illetve nem nevezte meg, hogy pontosan mely kérelmek kapcsán tagadja meg az intézkedést azok ismétlődő jellege miatt, így – a Hatóság álláspontja szerint – ezen válasza nem tekinthető a GDPR 12. cikk (5) bekezdése b) pontja szerinti kérelem alapján történő intézkedés megtagadásának. (A GDPR hivatkozott pontja szerint: “[…] Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre:a) észszerű összegű díjat számíthat fel, vagy b) megtagadhatja a kérelem alapján történő intézkedést.“) Érdemi választ pedig csak 2019. február 8-án adott. Az adatkezelő ugyanakkor formálisan nem élt a GDPR által biztosított lehetőséggel, hogy a válaszadási határidőt legfeljebb 2 hónappal meghosszabbítsa. (GDPR 12. cikk (3) bekezdés)

Az adatkezelő tehát megsértette a GDPR 12. cikk (3) és (4) bekezdését a kérelmek késedelmes megválaszolása miatt. 

A hozzáférési joggal kapcsolatos megállapítások

Az adatkezelő valamennyi érintett felvételt a kérelmező zárolási, azaz adatkezelés korlátozása iránti kérelme alapján kezelt. Ugyanakkor az adatkezelő a kérelmező kamerafelvételek másolatának rendelkezésére bocsátására irányuló kérelmét megtagadta, arra hivatkozással, hogy azok üzleti titkokat, valamint harmadik személyek képmását is tartalmazzák. A kamerafelvételek megtekintésére vonatkozóan ugyanakkor lehetőséget biztosított.

A Hatóság a fentiekkel kapcsolatban az alábbi megállapításokat tette: 

“A felvételekbe való betekintés biztosítása más típusú hozzáférést biztosít a személyes adatokhoz, illetve az üzleti titokhoz, mint az azt tartalmazó felvétel másolatának a Kérelmező rendelkezésre bocsátása. A betekintés – tekintettel arra, hogy a Kérelmező jelen volt a kamerafelvétel készítése során, és így személyesen is találkozott a felvételeken látható harmadik személyekkel – kisebb mértékben korlátozza a felvételen látható harmadik személyek személyes adataik védelméhez való jogát – különösen akkor, ha kitakarásra kerülnek a felvételeken –, mint a felvételek másolatának Kérelmező részére való átadása.”

Az adatkorlátozáshoz való jog megsértése

A vagyonvédelmi törvény GDPR-al ellentétes korábbi rendelkezései okoztak zavart jelen ügyben is. (Hasonló megállapítást korábban is tett már a NAIH.) Az adatkezelő  megsértette a GDPR 18. cikk (1) bekezdését, mivel a felvételek kezelésének korlátozását nem hajtotta végre a jogi igények előterjesztéséhez szükséges ideig.

Tekintettel arra, hogy időközben a vagyonvédelmi törvény módosításra került, (2019. április. 16.) így a jövőben hasonló értelmezési nehézségek remélhetőleg nem merülnek fel. 

Bírság

A NAIH az ügyben 700.000 Ft összegű bírság kiszabása mellett döntött, amely kapcsán az alábbi tényezőket vette figyelembe: 

• az adatkezelő késedelmesen válaszolt a kérelmekre és e körben gondtalanul járt el, 
• a vagyonvédelmi törvény GDPR-al ellentétes rendelkezései jogbizonytalanságot jelentettek, 
• az adatkezelő a jogsértés orvoslása érdekében a teljesítési határidő lejártát követően nagyrészt eleget tett a kérelmező érintetti joggyakorlásra irányuló kérelmeinek,
• a hangfelvételeket korábban is megküldte az adatkezelő a kérelmezőnek, így a mostani késedelmes teljesítés nem okozott jelentős érdeksérelmet, 
• a “Kérelmező több összetett, nagyvonalakban ismétlődő, azonban kisebb részletekben eltérő érintetti joggyakorlásra irányuló kérelmet nyújtott be – és nyújt be folyamatosan – a Kérelmezetthez, szinte követhetetlenné téve, hogy melyik kérelme pontosan mire is irányult. Ezen kérelmek sorozatos előterjesztése nehezíti a kérelmeinek pontos és megfelelő elbírálását, teljesítését a Kérelmezett részéről. Emellett a Kérelmező magatartása miatt maradt el a Kérelmezett székhelyén a kamerafelvételekbe való betekintés, valamint a hangfelvételek visszahallgatása. A Kérelmező tehát a Kérelmezettel szembeni magatartásával megnehezíti az érintetti joggyakorlásra irányuló kérelmeinek a Kérelmező általi elbírálását.“