Adatkezelőként az adatkezelések kialakítása során figyelemmel kell lenni a személyes adatok kezelésére vonatkozó alapelvekre, melyek mindennapi működésbe történő beépítése és megtartása a jogszerű működés elengedhetetlen feltétele. Az adatkezelési folyamatok kialakításához és azok finomhangolásához elengedhetetlen nyomon követni az adatvédelmi felügyeleti hatóságok döntéseit is, melyben szeretnénk hatékony segítséget nyújtani a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), illetve uniós tagállami adatvédelmi felügyeleti hatóságok határozatainak, döntéseinek rövid ismertetésével, összefoglalásával a PRAUDIT adatvédelmi blogjában.
I. Személyazonosító okmányokról fényképek készítése a mobiltelefon vásárlásához
Hatóság: Spanyol adatvédelmi hatóság (AEPD)
Dátum: 2020-2023.
Bírság: 100 000 euro (kb. 38 millió forint)
Adatkezelés körülményei
Jelen ügyben az AEPD 100 000 euro (kb. 38 millió forint) összegű bírságot szabott ki az Orange Espagne spanyolországi mobilhálózat-üzemeltetőre a GDPR 5. cikk (1) bekezdés c) pontjában foglalt adattakarékosság elvének megsértése miatt, mivel a vállalat a korábban online vásárolt telefonkészülékek kézbesítése érdekében az ügyfél személyazonosító okmányának elő- és hátoldaláról készült fényképet kért.
Az adatalany ügyfél interneten keresztül vásárolt mobiltelefon készüléket az Orange Espagne vállalattól, amely mint adatkezelő kiszervezte a termék kiszállítását a GLS Spain logisztikai vállalathoz, mint adatfeldolgozóhoz, szerződésben rögzítve, hogy az ügyfél személyazonosító okmányának elő- és hátoldaláról fényképet kell készíteni ellenőrzés céljából.
Miután az ügyfél a terméket átvette és a logisztikai vállalat alkalmazottja lefényképezte az okmányát, panaszt nyújtott be az AEPD-hez az adatkezelővel szemben. Válaszában az Orange azt állította, hogy a fénykép az adatalany által aláírt szerződés teljesítéséhez szükséges, valamint, hogy küldött egy e-mailt, amelyben tájékoztatást nyújtott arról, hogy a szállításkor biztonsági okokból kérni fogják a dokumentum fényképét.
Hatóság megállapításai
A Hatóság az Orange Espagne vállalatot adatkezelőnek, a GLS logisztikai vállalatot pedig adatfeldolgozónak tekintette, mivel az adatkezelő az adatfeldolgozóval kötött szerződést mobiltelefonok szállítására és az ügyfelek személyi igazolványainak lefényképezésére, meghatározva a személyes adatok feldolgozásának eszközeit és célját.
A Hatóság elismerte, hogy szükséges biztosítani, hogy a termék címzettje ugyanaz a személy, aki a terméket vásárolta, megállapítva azt is, hogy a csalás elleni küzdelem jogos érdek, különösen az online tranzakciók tekintetében. A Hatóság azonban emlékeztetett arra, hogy a GDPR előírásaival összhangban a személyes adatoknak a kezelésük céljára alkalmasnak, relevánsnak kell lenniük és a személyes adatok gyűjtése céljának eléréséhez szükséges mértékre kell korlátozódnia.
Jelen esetben a személyazonosító igazolvány elő- és hátoldalának lefényképezésével nemcsak a címzett neve és vezetékneve, hanem aláírása, címe, születési helye és ideje, fényképe, az okmány kiállításának és érvényességének dátuma és alfanumerikus kódja is látható. A Hatóság szerint ezek az adatok nem alkalmasak és nem relevánsak az áruk kézbesítésének célja szempontjából, ezen túlmenően kevésbé invazív eszközökkel is biztosítható, hogy a terméket a megfelelő személyhez szállítsák. A Hatóság megkülönböztette a termék átadásának időpontját a szerződés megkötésének időpontjától, amikor az adatkezelőnek képesnek kell lennie a szerződést kötő személy személyazonosságának igazolására, ugyanis álláspontja szerint, ha az ügyletet megfelelően hajtották végre, nem okozhat nehézséget annak bizonyítása, hogy a termék címzettje ugyanaz, aki a szerződést megkötötte.
Döntés
Fenti megállapításokra tekintettel a Hatóság úgy ítélte meg, hogy az a módszer, hogy a személyazonosító igazolvány elülső és hátsó oldalát a kézbesítéskor lefényképezik, nem megfelelő és sérti az egyének magánszféráját, valamint az adatminimalizálás elvét.
Hatóság a bírság kiszabásakor súlyosító körülményként vette figyelembe a következőket:
– jogsértés jellege, súlyossága és időtartama, tekintettel az adatkezelés hatókörére,
– a potenciális érintettek számát, még ha egyetlen kérelmező is merült fel, hasonló esetben jelentős lehetett az érintettek száma
– a jogsértés szándékossága, mivel az alperes teljes mértékben tisztában volt a termékek szállítására alkalmazott eljárással
– a jogsértés folyamatos, hosszú időn keresztül megvalósuló jellegét.
Elérhető a spanyol adatvédelmi hatóság döntése itt: https://www.aepd.es/es/documento/ps-00413-2021.pdf
II. Kollégák tájékoztatása a zaklatással szemben fellépést kérő munkavállaló kilétéről
Hatóság: Belga adatvédelmi hatóság (APD/GBA)
Dátum: 2023.03.02.
Bírság: –
A munkáltatónak nincs jogi kötelezettsége arra, hogy tájékoztassa a személyzetét a zaklatást követően beavatkozást kérő munkavállaló személyazonosságáról. Ez az adatkezelés jogellenesnek minősült, annak ellenére, hogy a munkavállaló személyazonossága nyilvánosan hozzáférhető volt.
Adatkezelés körülményei
Adatalany egy idősotthon alkalmazottja, kérelmet nyújtott be pszichoszociális beavatkozás érdekében a munkáltató vezetősége által elkövetett bántalmazás és zaklatás miatt. A pszichoszociális beavatkozás a belga munkajog szerinti eljárás, amelynek célja a munkavállalók által a munkahelyeken felvetett pszichoszociális problémák kezelése semleges és külső tanácsadó segítségével. Jelen ügyben a külső tanácsadó véleményt adott ki, amelyben egyéni és kollektív intézkedések megtételét javasolta.
A munkáltató, mint adatkezelő ezt követően a munkahely egyik falán kifüggesztett egy feljegyzést “Tájékoztatás a személyzetünk számára az XY asszony által az igazgatóság ellen erőszak és erkölcsi zaklatás miatt benyújtott hivatalos panaszt követően + kollektív intézkedések a kapcsolatok és az általános szervezeti működés javítására” címmel, amely jelezte, hogy a munkavállaló benyújtotta ezirányú kérését. Az adatkezelő nyílt levelet is írt a személyzetnek, amelyben megemlítette az érintett nevét, kifejtve, hogy a hölgy nyújtotta be a kérést.
Az érintett 2023. január 16-án hozzáférést kért adataihoz, hogy megtudja, mi volt a személyes adatai kezelésének jogalapja. Az adatkezelő kifejtette, hogy köteles megosztani a külső tanácsadónak a kollektív intézkedésekre vonatkozó ajánlását, és hogy a kérelem benyújtójának személyazonossága egyébként is nyilvánosan hozzáférhető. Az érintett vitatta az adatkezelőnek a személyes adatai közzétételéhez való jogát, ezért 2023. január 23-án panaszt nyújtott be a belga adatvédelmi hatósághoz.
Hatóság megállapításai
A Hatóság azzal érvelt, hogy a munkáltatónak nincs jogi kötelezettsége arra, hogy közzé tegye a külső tanácsadó által kiadott véleményben szereplő kollektív vagy egyéni intézkedéseket. Az adatkezelő által a falon kifüggesztett feljegyzés az érintett nevét és vezetéknevét említette. A Hatóság megjegyezte, hogy ezeket az adatokat nem a kollektív vagy egyéni intézkedés közzététele céljából, hanem tájékoztatás céljából közölték, ezért az adatkezelő nem hivatkozhatott a külső tanácsadó kérésére, sőt, még kötelezésére sem az érintett vezeték- és keresztnevének közzétételére, és így a szóban forgó adatkezelés tekintetében nem hivatkozhatott a GDPR 6. cikk (1) bekezdésének c) pontjára.
Az adatkezelő indoklása, miszerint az érintett személyazonossága, mint a beavatkozási kérelem benyújtója, már ismert volt a személyzet számára, nem volt elfogadható, mivel a nyilvánosan hozzáférhető adatok személyes adatoknak minősülnek, amennyiben azonosítható személyre vonatkoznak, így a GDPR rendelkezései ebben az esetben is alkalmazandók. Ily módon, még ha az adatkezelő alkalmazottai tisztában is voltak a beavatkozási kérelem eredetével, az adatkezelőnek akkor is megfelelő jogalapra kellett támaszkodnia az érintett személyes adatainak kezeléséhez, még akkor is, ha azok nyilvánosan hozzáférhetőek.
Végezetül a Hatóság elvégezte az érdekmérlegelési tesztet annak megállapítására, hogy az adatkezelés tekintetében a jogos érdek jogalapra lehet-e hivatkozni, azonban arra jutott, hogy az adatkezelés nem felel meg a kritériumoknak.
Döntés
A Hatóság a fenti megállapításokra tekintettel rögzítette, hogy az adatkezelő nem jogszerűen kezelte az érintett adatait, ezért
– figyelmeztette az adatkezelőt a GDPR 58. cikke (2) bekezdésének a) pontja szerint, hogy a panaszos nevének és keresztnevének közzététele nyílt feljegyzésekben vagy a személyzetnek címzett levelekben jogalap nélkül, a GDPR 5. cikk (1) bekezdés a) pont szerinti “jogszerűség, tisztességes eljárás és átláthatóság” rendelkezéseit, valamint a 6. cikk (1) bekezdés rendelkezéseit sértő adatkezelések, valamint
– utasította az adatkezelőt a GDPR 58. cikke (2) bekezdésének c) pontja szerint, hogy az érintett személyes adatainak törlésére irányuló kérelmét teljesítse.
Jelen határozat célja az volt, hogy tájékoztassa az adatkezelőt arról, hogy megsérthette a GDPR rendelkezéseit, ezáltal lehetővé téve számára, hogy megfeleljen a GDPR követelményeinek.
Elérhető a belga adatvédelmi hatóság döntése eredeti nyelven itt: https://www.gegevensbeschermingsautoriteit.be/publications/bevel-nr.-18-2023.pdf