Az adatvédelmi hatóság (NAIH) március elején tette közzé azon határozatát, amelyben egy vállalkozást a hatóság 1.000.000,- Ft adatvédelmi bírsággal sújtotta, mivel az érdekmérlegelés (érdekmérlegelési teszt) nem volt megfelelő.

A hatóság határozatának indokolásából elolvasható, hogy az eljárást kérelmező jogi képviselője útján 2018. szeptemberében kérelmet nyújtott be, amelyben adattörlés, adathelyesbítés iránti kérelmének elutasítása miatt adatvédelmi hatósági eljárás lefolytatását kezdeményezte az adatvédelmi hatóságnál.

A kérelmező kérelmében előadta, hogy az adatvédelmi eljárás megindítását több hónappal megelőzően jelezte a megbírságolt vállalkozás részére, hogy a vállalkozás által nyilvántartott adatok közül a lakcíme megváltozott, valamint kérte a telefonszámának a törlését. A vállalkozás válaszlevelében közölte, hogy a kérelmező telefonszámát nem törli a nyilvántartásából tekintettel arra, hogy “az Európai Unió Általános Adatvédelmi Rendelete (GDPR) szerint elvégzett érdekmérlegelést követően, jogos érdek alapján a továbbiakban is jogosultak vagyunk kezelni a lejárt tartozás telefonos megkeresés útján történő érvényesítése érdekében és céljából.”

- hirdetés -

A hatóság a döntésében kifejtette, hogy Az általános adatvédelmi rendelet hatálya alá tartozó adatkezelés esetén az adatkezelés jogszerűségének elengedhetetlen feltétele, hogy annak megfelelő jogalapja legyen. Amennyiben az adatkezelő jogos érdeket jelöl meg jogalapként, úgy figyelemmel kell lenni az általános adatvédelmi rendelet (GDPR) 47. preambulumbekezdésre.

A hatóság megállapította, hogy az adatkezelő által készített érdekmérlegelés több okból sem felel meg az GDPR rendelet követelményeinek. Az adatvédelmi hatóság a határozatában a hiányosságokat is felsorolta, amelyek példálózóan a következők voltak:

  • különböző céloknál külön-külön kell elvégezni az érdekmérlegelést, érdekmérlegelési tesztet;
  • gazdasági érdeket és kényelmi szempontokat helyez előtérbe az érintett érdekeivel és alapvető jogaival szemben úgy, hogy ezen érdekek elsődlegességét nem bizonyítja és arányosítást lényegében ne végez;
  • az adatkezelő hiányosan és helytelenül azonosította az érintettei érdeket;
  • az adatkezelő olyan érveket is megjelölt, amelyek az érdekmérlegelés szempontjából irrelevánsak;
  • az érdekmérlegelési teszten felsorolt garanciák általános jellegűek.

A NAIH döntésében kiemelte, hogy az adatkezelő vállalkozás adatkezelése nem felel meg a célhoz kötöttség és a szükségesség elvének sem.

A hatóság megjegyezte, hogy a jelen ügyben megállapítható, hogy a Kötelezett az eredeti adatkezelési céltól (szerződés teljesítése) eltérő egyéb célból is kezeli az érintett telefonszám-adatát, ilyen cél pl. az ügyfélszolgálati tevékenység fejlesztése. Ezen cél tekintetében – azon túl, hogy a Kötelezett nem is nevesíti adatkezelési célként, pusztán az érdekmérlegelési tesztjében hivatkozza, mint szempontot – alkalmaznia kellett volna az általános adatvédelmi rendelet 6. cikk (4) bekezdésében foglaltakat, és meg kellett volna állapítania, hogy az adatkezelés eredeti és ettől eltérő célja összeegyeztethető-e.

A fenitek alapján az adatvédelmi hatóság 1.000.000,- Ft adatvédelmi bírságot szabott ki az adatkezelővel szemben.