Hazai és uniós adatvédelmi hatósági döntések – 2023. január

Hazai és uniós adatvédelmi hatósági döntések – 2023. január

Adatkezelőként az adatkezelések kialakítása során figyelemmel kell lenni a személyes adatok kezelésére vonatkozó alapelvekre, melyek mindennapi működésbe történő beépítése és megtartása a jogszerű adatkezelés elengedhetetlen feltétele. Az adatkezelési folyamatok kialakításához és azok folyamatos finomhangolásához elengedhetetlen nyomon követni az adatvédelmi felügyeleti hatóságok döntéseit is, melyben szeretnénk hatékony segítséget nyújtani a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), illetve uniós tagállami adatvédelmi felügyeleti hatóságok határozatainak, döntéseinek rövid ismertetésével, összefoglalásával a PRAUDIT adatvédelmi blogjában.

I. Elektronikus direkt marketing hozzájárulás érvényessége – NAIH
(Dátum: 2022.11.15.)

NAIH az adatkezelő szolgáltatás nyújtásával és elektronikus direkt marketing (EDM) folytatásával kapcsolatos 2021. és 2022. évi általános adatkezelési gyakorlatát érintő vizsgálata során 2 millió forint adatvédelmi bírságot szabott ki és megállapította, hogy az adatkezelő nem adott megfelelő tájékoztatást az érintetteknek az EDM időtartamával kapcsolatban, valamint a külön konkrét hozzájárulás hiányára tekintettel az EDM adatkezelések adatkezelő által megjelölt jogalapja érvénytelen volt a vizsgált időszakban.

Az adatkezelő weboldalán a szolgáltatására történő online regisztráció esetén minden előfizető automatikusan az EDM-re is feliratkozott. A weboldalon egy checkbox szolgált az előfizetés feltételéül szabott ÁSZF-ének elfogadására és az EDM-re történő feliratkozásra, a regisztráció idején nem volt lehetőség csak a szolgáltatásra regisztrálni a weboldalon keresztül az EDM-re történő feliratkozás nélkül, valamint az ÁSZF nem tartalmazott rendelkezést az EDM-ről.

A Hatóság megállapításai a határozat szerint a tájékoztatással kapcsolatban a következők:

  • Az adatkezelési tájékoztató alapján az adatkezelés időtartama a hozzájárulás visszavonásáig tart. Ehhez képest a szolgáltatás lemondása automatikusan az EDM adatkezelést is megszünteti az EDM hozzájárulás külön visszavonása nélkül, illetve az EDM hozzájárulás bármikor visszavonható volt a szolgáltatással kapcsolatos online fiók beállításokban.
  • Az adatkezelési tájékoztatás nem jelölte meg, hogy lenne olyan lehetőség, hogy a szolgáltatásra történő regisztráció mellett az EDM-re nem iratkozik fel az érintett.
  • Az ÁSZF javított változata tartalmazott rendelkezést az EDM-el kapcsolatban, azonban ezen információ nem volt egyértelmű és nem volt teljesen összhangban az adatkezelési tájékoztatóval, így az adatkezelés időtartama vonatkozásában továbbra sem felelt meg a világos és megfelelő tájékoztatás követelményének, az ÁSZF vonatkozásában az adatkezelési tájékoztatás ellentmondásos volt.
  • A tájékoztatás célja, hogy olyan helyzetbe hozza az érintettet, hogy az megfelelő döntési helyzetben legyen az adatkezeléssel és érintetti jogai gyakorlásával kapcsolatban. Ennek része az is, hogy pontosan mikor, milyen feltételek mellett szűnik meg az EDM-el összefüggő, érintetti hozzájárulásra alapított adatkezelés. Az EDM alapján történő email küldés megszűnése a szolgáltatás megszűnésével (a szolgáltatáshoz kapcsolódó fiók törlése) fontos információ lehet az érintetteknek.

A Hatóság az EDM adatkezeléssel kapcsolatosan rögzítette az alábbiakat:

  • Jogszabályba ütköző, ha a hozzájárulás nem adható meg külön-külön a szolgáltatás igénybevételéhez szükséges ÁSZF-hez és az EDM-hez. A vizsgált időszakban az adatkezelő ezt a feltételt nem teljesítette, így a vizsgált időszakban előfizető adott számú (ezres nagyságrendű) érintett esetén az EDM-hez adott hozzájárulás érvénytelen volt, ez alapján az email cím EDM küldésre történő kezelése jogellenes volt heti rendszerességgel.
  • Nem változtatja meg a hozzájárulás fent részletezett érvényességi feltételét az, hogy az érintettek az EDM-el szemben utólag tiltakozhattak volna, vagy a hozzájárulást a Szolgáltatáshoz kapcsolódó online fiókban később visszavonhatták.
  • Az ügyben az EDM adatkezelés időtartamával kapcsolatos tájékoztatás problémák önmagukban más tényállási elemek hiányában nem eredményeznék a jogalap érvénytelenségét a konkrét esetben, azonban a Hatóság az összes körülményt együtt vizsgálta, és ezt is figyelembe vette a döntésénél.

Adatkezelő a Hatósági ellenőrzés megindítását követően az adatkezelési gyakorlatát felülvizsgálta és átalakította, a megfelelési hiányosságait megszüntette és mindent megtett ezek következményeinek enyhítése céljából, és folyamatosan figyeli az adatvédelmi megfelelést. Ennek keretében módosította az ÁSZF-ét, az adatkezelési tájékoztatását, valamint kialakított a weboldalon új elkülönült checkbox-okat, továbbá elkészített az érintetteknek a tájékoztatás változásáról szóló általános értesítés szövegét. Az adatkezelő belső képzést tartott többek között a következő témakörökben: “Adatkezelési feladatok és felelősségi körök az adatkezelő szervezetén belül”; “A normatív szabályozás szerepe, jogforrások, esetjog”; “Az adatvédelmi alapelvek és jogalapok szerepe”; “Kiemelt jogalapok: hozzájárulás és jogos érdek, alkalmazási feltételek példákkal”; “Hírlevélküldés, nyereményjátékok adatvédelmi aspektusai”, “Jogesetek és az adatkezelő működésével kapcsolatos példák, gyakorlati esetek”, “Érintetti jogok és azok elősegítése”.

Fontos megjegyezni a kiszabott bírság mértékét és az adatkezelő által megtett intézkedéseket látva, hogy a Hatóság a bírság kiszabásakor figyelembe vette azt, hogy

  • a tájékoztatással kapcsolatos jogsértés önmagában csekély mértékű volt,
  • a jogsértés gondatlan jellegű volt,
  • az adatkezelő a Hatósággal az eljárás során együttműködött,
  • a jogsértést elismerte és a jelen eljárás alatt a jövőre nézve orvosolta,
  • belső képzéseket tartott,
  • a jogsértés csak az érintettek email cím adatát érintette, egyéb adatot vagy szenzitív adatot nem érintett.

II. Alkalmazott elbocsátása személyes facebook beszélgetése alapján – Litván felügyeleti hatóság
(Dátum: 2022.10.07.)

Adatkezelés körülményei: A Hatóság által vizsgált panasz keretében a kérelmező azt állította, hogy a magánszektorba tartozó adatkezelő Társaság igazgatója, amelynél dolgozott, jogellenesen bocsátotta el azzal, hogy kérelmező a Társaság egy másik alkalmazottjával a Facebook közösségi hálózaton folytatott személyes levelezését felhasználta elbocsátási okként.

Hatóság megállapításai: A munkavállaló azáltal, hogy a közösségi fiókjait nyitva és jelszóval nem védve hagyja a munkahelyi számítógépen, nem veszíti el a magánélethez való jogát a munkahelyén. A munkavállaló magánéletét a munkahelyen a munkáltató által a munkahelyen alkalmazott megfelelő megfigyelési és ellenőrzési intézkedésekkel lehet korlátozni, azonban az ilyen intézkedések alkalmazásának meg kell felelnie az általános adatvédelmi rendelet követelményeinek. A Társaság, mint adatkezelő az elszámoltathatóság elvére tekintettel nem indokolta a kérelmező személyes adatainak (a közösségi hálózaton folytatott személyes beszélgetése a Társaság egy másik munkavállalójával) jogszerű kezelésének jogalapját.

Döntés: A Hatóság megalapozottnak ítélte a panaszt, és úgy határozott, hogy a Társaság megfelelő jogalap nélkül kezelte a kérelmező közösségi hálózaton folytatott személyes levelezését, amelyet jogellenesen felhasználtak a fegyelmi eljárás megindításához.

III. Alkalmazottak egészségügyi adatainak jogellenes feldolgozása miatt – Finn felügyeleti hatóság
(Dátum: 2022.12.09.)

Adatkezelés körülményei: A Hatóság panasz alapján vizsgálta egy piacvezető finn hajózási társaság tevékenységét, ahol egy volt alkalmazottja arról tájékoztatta a Hatóságot, hogy kérelme ellenére nem kapta meg a társaság rendszereiben tárolt összes személyes adatát. A munkavállaló szerint a társaság 20 éven keresztül tárolta egészségügyi adatait HR-rendszerében. A társaság a betegség miatti távollétekre vonatkozó információkkal kapcsolatos diagnózisokat a HR-rendszerébe mentette. A panaszos szerint a tárolt egészségügyi információk (diagnózis adatok) egy része pontatlan volt.

Hatóság megállapításai: A finn adatvédelmi törvény szerint a diagnózisokkal kapcsolatos információk tárolása más, a foglalkoztatással kapcsolatos adatokkal összefüggésben jogszerűtlen. A társaság nem csak, hogy jogellenesen tárolta a HR-rendszerében alkalmazottai diagnózis adatait, de az adatok egy része pontatlan is volt. A Hatóság megállapítása szerint az egészségügyi adatokat azonnal törölni kellett volna, amikor a tárolásukra már nem volt szükség, azonban a társaság még a pontatlan diagnózis adatokat is jelentős ideig tárolta, mely pontatlan adatok veszélyeztethetik az egyén jogainak védelmét. Ezen felül a társaság nem tájékoztatta megfelelően alkalmazottait személyes adataik kezeléséről, valamint a társaságnak a munkavállaló által kért összes adatot át kellett volna adnia.

Döntés: A Hatóság a társaságra közel 90 millió forint közigazgatási bírságot szabott ki az adatvédelmi jogszabályok többszöri megsértése miatt, valamint kötelezte a társaságot, hogy korrigálja gyakorlatát, és az általános adatvédelmi rendelet által előírtaknak megfelelően tájékoztassa munkavállalóit személyes adataik kezeléséről.

IV. Weboldalak adatkezelése – süti (“cookie”) hozzájárulás keretrendszer megfelelése – NAIH
(Dátum: 2022.09.26.)

NAIH a közelmúltban szabott ki 10 millió forint bírságot a TV2 Média Csoporttal szemben, az általa üzemeltetett “tenyek.hu” és “tv2play.hu” médiatartalmak terjesztésére szolgáló weboldalak adatkezelésével kapcsolatban. A NAIH megállapította, hogy a weboldalakon keresztül a személyes adatok kezelésével kapcsolatos tájékoztatás nem volt megfelelő, nem átlátható és világos módon került begyűjtésre az érintettek hozzájárulása.

A weboldalak a böngészés során személyre szabott vagy általános hirdetéseket jeleníthetnek meg, egyúttal a weboldalakon az ajánlott tartalmat is igazíthatók az egyéni böngészési előzményekhez, továbbá a weboldalak használata mérhető a sütikben tárolt egyedi azonosító adatok segítségével, valamint egyes sütik online támadások kivédésére munkamenet tokeneket tartalmaznak, amelyek biztonságosabbá teszik a kommunikációt egyedi azonosító használatával. A weboldalakkal minden böngészéssel kapcsolatos adatkezelésére kizárólag a hozzájárulás jogalap került megjelölésre függetlenül attól, hogy az egyes technikai sütik nélkül a weboldalak ténylegesen nem tudnak működni, és a hozzájárulástól függetlenül mindenképpen használ egyes sütiket adott egyedi azonosítókkal.

A Hatóság döntése tanulságként szolgálhat a weboldalak adatkezelésével kapcsolatosan, a döntés során kifejtésre kerültek az alábbiak:

  • A rendkívül hosszú tájékoztató szöveg a képernyő indokolatlanul kicsi területén, egyszerre néhány soronként olvashatóan volt elérhető, a hosszú szöveg nem nevezhető sem tömörnek, sem világosnak.
  • A „mindent elfogadás” az első szinten érdeminek nevezhető tájékoztatás nélkül lehetséges, a „mindent elutasítás” csak a második szinten érhető el.
  • A működéshez szükséges személyes adatok és sütik tételes megjelölése és pontos céljának meghatározása teljesen hiányzik a tájékoztatásból, és ezek jogalapja mint jogos érdek sem került ezekkel kapcsolatban megjelölésre és az érdekmérlegelésben nem került alátámasztásra. Ennek hiányában a tájékoztatás hiányos és félrevezető, hosszúsága és nehezen olvashatósága ellenére hasznos információban szegény.
  • Minden esetben hiányzik továbbá a hozzájárulás megadásával azonos könnyűségű visszavonhatóság, amelyre a weboldalakon alkalmazott keretrendszer nem biztosít könnyen elérhető lehetőséget sem az adatkezelő által kezelt, sem a harmadik feleknek továbbított személyes adatok tekintetében. Ezen hiányosság a tájékoztatásra is érvényes, az sem jelzi könnyen hozzáférhető módon, hogy a hozzájárulás hogyan vonható vissza.
  • Fentiek mellett semmilyen ésszerű indok nem került megjelölésre arra, hogy miért van két párhuzamos hozzájárulás kezelő rendszer a „tv2play.hu” weboldallal kapcsolatban, amelyre a „tenyek.hu” weboldal is átirányított a vizsgált időszakban.

A Hatóság utasította a csoportot a gyakorlat módosításra akként, hogy világosan elkülönüljön az oldal működéséhez szükséges és nem szükséges adatok kezelése, a hozzájárulás a Weboldalakon egységes módon legyen kezelve és megfelelő tömör, egyértelmű tájékoztatás alapján lehessen megadni a hozzájárulást a Weboldalakon a technikai működéshez nem szükséges személyes adatok kezeléséhez.

Érdekesség, hogy a Hatóság az adatvédelmi bírság mértékének meghatározásakor enyhítő körülményként vette figyelembe annak tényét hogy

  • az adatkezelővel szemben korábban nem állapított meg adatvédelmi jogsértést,
  • a Hatóság korábban hasonló témakörben még nem hozott nyilvánosságra bírság döntést a honlapján, és a jogi környezet az új ePrivacy szabályok elfogadásának késedelme miatt több feladatot ró az adatkezelőkre a meglévő szabályok általános adatvédelmi rendeletnek megfelelő alkalmazása körében.

Érdemes megjegyezni, hogy az Európai Adatvédelmi Testület (EDPB) 2023. január 18-án közzétette az általa létrehozott ún. Cookie Banner munkacsoport jelentését. A jelentésben tükröződő álláspontok az uniós adatvédelmi hatóságok összehangolt válaszából erednek, amelyet válaszokat a Max Schrems adatvédelmi aktivista által vezetett None of Your Business (NOYB) nevű szervezet által benyújtott, a cookie-bannerekre vonatkozó uniós követelményekkel kapcsolatos panaszokra adtak. A noyb megállapításairól korábbi bejegyzésünkben itt olvashat.

Említett jelentés fontos útmutatóul szolgál valamennyi adatkezelő számára a sütik kezelésével kapcsolatos kérdések útvesztőjében, azonban emellett javasolt szakértői támogatás igénybevétele a weboldalak adatkezelési gyakorlatának kialakítása során.

Scroll to Top