Bankot bírságolt a NAIH a GDPR megsértése miatt

A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) honlapján elérhető az a határozat, amelyben a Hatóság az Európai Parlament és Tanács (EU) 2016/679. rendelete (a továbbiakban: GDPR) alapján, 500.000,- Ft összegre bírságolt egy bankot (a továbbiakban: Bank), amely adatkezelése során megsértette a pontosság elvét és elmulasztotta az érintetti jogok elősegítésére vonatkozó kötelezettséget.

Tényállás

A tényállás alapját az képezte, hogy a kérelmező (a továbbiakban: Kérelmező) a Banktól telefonon keresztül szöveges üzenetben értesítéseket kapott hitelkártya tartozással kapcsolatban, annak ellenére, hogy a Kérelmező nem volt a Bank ügyfele. A Kérelmező emiatt telefonon panaszt tett és kérte az ügy kivizsgálását, valamint az sms-ek küldésének leállítását.

A Bank értesítette a Kérelmezőt arról, hogy a szükséges lépéseket megtette, ennek ellenére a Kérelmező ismét kapott sms értesítéseket a Banktól. A Kérelmező ezért a Hatósághoz fordult és kérte a hatósági eljárás megindítását.

A Bank a Hatóság felszólítására nyilatkozatában előadta, hogy többször is próbálta elérni az ügyfelét (a továbbiakban: Ügyfél), akinek a szerződése tartalmazta a Kérelmező telefonszámát, az Ügyfél azonban többszöri felhívás ellenére sem vette fel a kapcsolatot a Bankkal az elérhetőségi adatok pontosítása érdekében.

A Bank hivatkozott arra, hogy „mivel a Kérelmezőtől a Bank nem kérhet olyan okiratot, mellyel állítása hitelességét támasztja alá, hiszen nem áll vele semmiféle jogviszonyban, illetőleg olyan túlzó mértékű adatkezeléshez vezetne, mely nem áll arányban az elérni kívánt céllal, így Ügyfele megkeresését, mint kevésbé korlátozó eszközt választotta a probléma orvoslására.”

A Bank előadta továbbá, hogy egy harmadik fél kérésére az Ügyfele által megadott és szolgáltatásnyújtáshoz kapcsolódóan kezelt telefonszámot nem törölhette, hiszen ilyen kérelem előterjesztésére az adat, – mely egyben banktitkot képez – gazdája jogosult. A Bank információi alapján a telefonszám nem a Kérelmező, hanem más személy, a Bank egyik ügyfelének személyes adata, és mint ilyen, banktitok is egyben, így ennek törlésére nincs mód. A Bank a probléma orvoslása érdekében igyekezett felvenni a kapcsolatot az Ügyfelével, amely nem vezetett eredményre.

A fentiek ellenére a Bank a Kérelmezőt mégis megkereste, és kérte, hogy a Kérelmező igazolja az előfizetői szerződés másolatának becsatolásával, hogy a kérelemmel érintett telefonszám a Kérelmező tulajdona. A Bank Kérelmezőnek küldött válasza szerint: „a telefonszámot kizárólag Ügyfelünk megbízása alapján áll módunkban módosítani rendszerünkben. Bankunk megtette a szükséges lépéseket annak érdekében, hogy Ügyfelünk kezdeményezze az adatok módosítását. Amennyiben a probléma továbbra is fennállna, kérjük szíveskedjen eljuttatni Bankunk részére azt a szerződést, mely igazolja, hogy az adott telefonszám az Ön tulajdonát képezi.”

Döntés

Pontosság elve

A Hatóság álláspontja szerint az, hogy a Bank megkereste az adatpontosításra felhívó levéllel az Ügyfelét megfelelő, de nem elegendő intézkedés. Mivel az adatkezelő bejelentés alapján tett intézkedéseinek elő kell segítenie a pontosság elvének érvényesülését és meg kell akadályoznia a pontatlan adatok felhasználását, a Banknak gondoskodnia kellett volna az adat kezelésének korlátozásáról a helyzet tisztázásáig, az adatpontosság ellenőrzéséig. A Bank ennek a kötelezettségének nem tett eleget, hiszen a Kérelmező bejelentése után – amikor már kétségessé vált a kezelt adat pontossága és naprakészsége – is küldött sms-t, és az értesítések küldésére felhasználta a telefonszámot. Fentiek alapján a Bank megsértette a GDPR 5. cikk (1) bekezdés d) pontját (a személyes adatoknak pontosnak és szükség esetén naprakésznek kell lenniük; minden ésszerű intézkedést meg kell tenni annak érdekében, hogy az adatkezelés céljai szempontjából pontatlan személyes adatokat haladéktalanul töröljék vagy helyesbítsék).

Érintetti jogok gyakorlásának elősegítésével kapcsolatos adatkezelői kötelezettség

A Hatóság álláspontja szerint a Banknak a GDPR 12. cikk (2) bekezdése alapján a Kérelmezőt felhívás helyett arról kellett volna tájékoztatnia, hogy az előfizetői szerződés bemutatásával igazolhatja azt, hogy a telefonszám a személyes adata, ebben az esetben a GDPR 5. cikk (1) bekezdés d) pontja alapján a pontatlan adatot törli a nyilvántartásból. Amennyiben a Kérelmező az előfizetői szerződést nem mutatja be, a Banknak a telefonszám kezelését korlátoznia kell az adat pontosságának ellenőrzéséhez szükséges időtartamra. A Hatóság megállapította, hogy a Bank megszegte a GDPR 12. cikk (2) bekezdésében írt kötelezettségét, ugyanis nem segítette elő az érintetti jogok gyakorlását, ráadásul a Kérelmezőnek küldött felhívása megtévesztő is volt (az előfizetői szerződés másolatának bekérésére a Bank nem volt jogosult).

Alkalmazott szankció

A Hatóság 500.000,- Ft összegű bírságot szabott ki a Bankkal szemben, figyelembe véve azt, hogy egy alapelv sérelme történt és a Bank nem segítette elő az érintetti jogok gyakorlását, továbbá súlyos jogsértésként értékelte, hogy a Bank nem intézkedett az adatkezelés korlátozása iránt az adatok pontossága vizsgálatának idejére. Enyhítő körülményként értékelte a Hatóság azt, hogy a Bank Ügyfelének adatváltozás bejelentési kötelezettségének elmulasztása is közrehatott a Bank jogellenes adatkezelésében, mely ugyan a Banknak nem ad felmentést a saját kötelezettségei teljesítése alól, de részben csökkenti az ezzel kapcsolatos felelősségét.

A határozat az alábbi linken érhető el: https://naih.hu/files/NAIH-2019_363_hatarozat.pdf

Vissza a hírekhez