NAIH határozat: A pontosság elvének és az érintetti jogok gyakorlásának megszegése
A vizsgált ügyben a kérelmező az általa használt telefonszámra szöveges üzenetben értesítést kapott hitelkártya tartozással kapcsolatosan, annak ellenére, hogy nem volt ügyfele az üzenetet küldő banknak. A kérelmező erre tekintettel telefonon keresztül élt érintetti kérelmével, melyben arra kérte a bankot, hogy a továbbiakban ne használja a telefonszámát, arra ne küldjön más személyek számlatartozásával kapcsolatos értesítéseket. A bank a kérelemre adott válaszában értesítette a kérelmezőt, hogy a panasz alapján a szükséges lépéseket megtette, ennek ellenére a kérelmező továbbra is kapott sms üzeneteket más személyek tartozásáról, így a Nemzeti Adatvédelmi és Információszabadság Hatósághoz fordult.
Az eljárás során a tényállás tisztázása érdekében a Hatóság felhívására a bank előadta, hogy ügyfele a számlanyitáskor adta meg az érintett telefonszámot, a szerződéskötéskor személyesen azonosította az ügyfelet, azonban a későbbiekben az sms küldések előtt telefonon már nem történt azonosítás. A kérelmező panaszát követően két alkalommal adatpontosító levelet küldött ügyfelének, melyben kérte, hogy tegyen eleget szerződéses kötelezettségének, és amennyiben adatai változtak, azt a banknak jelentse be. Arra, hogy miért nem tett eleget a kérelmező törlés iránti kérelmének, úgy nyilatkozott, hogy „egy harmadik fél kérésére az Ügyfele által megadott és szolgáltatásnyújtáshoz kapcsolódóan kezelt telefonszámot nem törölhette, hiszen ilyen kérelem előterjesztésére az adat, – mely egyben banktitkot képez – gazdája jogosult. Bank információi alapján a telefonszám nem Kérelmező, hanem más személy, a Bank egyik ügyfelének személyes adata. És mint ilyen, banktitok is egyben, így ennek törlésére nincs mód. Bank a probléma orvoslása érdekében igyekezett kapcsolatot felvenni Ügyfelével, mely mai napig nem vezetett eredményre.” Arra hivatkozott továbbá, hogy tekintettel arra, hogy a kérelmező és a bank között nem áll fent semmilyen jogviszony, a bank nem kérhet olyan okiratot, mellyel a kérelmező állítása hitelességét támasztja alá. Ennek ellenére a kérelmező által az eljárás során becsatolt levél szerint, a bank azt kérte tőle, hogy az előfizetői szerződés másolatának becsatolásával igazolja, hogy az érintett telefonszám a kérelmező telefonszáma.
A Hatóság az eljárás során egyetértett abban, hogy a banknak, mint adatkezelőnek nincs az adatok törlésére vonatkozó kötelezettsége olyan esetben, amikor az ügyfele által korábban megadott adat pontossága egy harmadik személy által tett bejelentés alapján válik kérdésessé, és nem igazolt az, hogy az adat felett már nem az ügyfél, hanem egy harmadik személy jogosult rendelkezni. Mindazonáltal a kérelmező bejelentése alapján tett intézkedésekkel elő kell segítenie a pontosság elvének érvényesülését, valamint a pontatlan adatok felhasználásának megakadályozását. Ennek érdekében a Hatóság álláspontja szerint ilyen esetben az adatkezelőnek a pontatlan adat kezelését átmenetileg korlátoznia kell.
Mindezekre tekintettel a Hatóság véleménye szerint a bank adatkezelése, vagyis az érintett telefonszámra való üzenetküldés csak addig volt jogszerűnek tekinthető, amíg vélelmezhető volt, hogy az általa nyilvántartott telefonszám az ügyfél telefonszáma, onnantól kezdve, hogy ez a kérelmező bejelentése alapján kétségesség vált, a helyzet tisztázásáig, azaz az adatpontosság ellenőrzéséig intézkednie kellett volna az adat kezelésének korlátozásáról. Ennek alapján a határozat szerint a bank azzal, hogy e kötelezettségének nem tett eleget, hiszen a bejelentést követően is – mely alapján már egyértelműen kétségessé vált a kezelt adat pontossága – továbbra is felhasználta az érintett telefonszámot a tartozással kapcsolatos értesítés küldésére, megsértette a GDPR 5. cikk (1) bekezdés d) pontját, azaz a pontosság elvét.
Kiemelte továbbá a Hatóság, hogy a pontosság elve nem csak az adatkezelő, hanem az ügyfél, azaz az adatalany részéről is megköveteli a szükséges intézkedések megtételét, azaz az együttműködést, mely egyebekben a szerződéses kapcsolat alapján is a szerződő felek kötelezettsége, tehát az ügyfélnek is intézkednie kellett volna a személyes adataiban történt változás bejelentéséről, az adatpontosító levélre pedig válaszolnia kellett volna, ennek hiánya azonban nem ad felmentést az adatkezelő adatkorlátozással kapcsolatos kötelezettsége alól.
A döntés szerint a pontosság elvén túl, az adatkezelő bank a GDPR 12. cikk (2) bekezdésében foglalt kötelezettségét – mely szerint az adatkezelő köteles elősegíteni az érintett jogainak gyakorlását – is megsértette, azzal, hogy a kérelmezőt az előfizetői szerződés másolatának becsatolására hívta fel. A felhívás helyett a Hatóság álláspontja szerint arról kellett volna tájékoztatnia a banknak a kérelmezőt, hogy a szerződés bemutatásával igazolhatja, hogy a telefonszám az ő személyes adata, mely esetben törli a telefonszámot a nyilvántartásból, ha pedig a kérelmező nem kívánja bemutatni a szerződést, akkor korlátozza az adatkezelést a pontosság ellenőrzésének időtartalmára. A Hatóság szerint ez alapján a kérelmezőnek lehetősége lett volna felismerni, hogy az adott intézkedések és a saját döntése milyen hatással lesz a magánszférájára. A bank azonban a kérelmezőnek küldött felhívással nem segítette elő az érintette jogok gyakorlását, hiszen az részben megtévesztő is volt, mert a bank az előfizetői szerződés másolatának kezelésére nem volt jogosult.
A Hatóság a fentiek alapján utasította az adatkezelőt a telefonszám, mint személyes adat kezelésének az adat pontosságának ellenőrzésére terjedő időtartamra történő korlátozására és a jogellenes adatkezelés miatt egy jelképes, ötszázezer forint összegű adatvédelmi bírság megfizetésére kötelezte a bankot.
A cikk eredetileg a www.adatvedelmitisztviselo.info oldalon jelent meg.
