skip to Main Content

NAIH bírság: Adattakarékosság és célhoz kötöttség ösztöndíjak kapcsán

A Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: NAIH) 2020. december 10-én meghozott határozatában a Budapesti Műszaki és Gazdaságtudományi Egyetem (a továbbiakban: BME) vonatkozásában vizsgálta a rendszeres szociális ösztöndíj iránti pályázatok benyújtása, valamint ezek elbírálása során végzett adatkezeléseket.

A NAIH a BME vonatkozó adatkezelését több szempontból is a GDPR rendelkezéseibe ütközőnek találta: megállapította

  1. az adattakarékosság elvének sérelmét [GDPR 5. cikk (1) bekezdés c) pontja],
  2. a jogalap nélküli adatkezelés miatt a GDPR 6. cikk (1) bekezdésének és 9. cikk (1) bekezdésének sérelmét, valamint
  3. a nem megfelelő adatkezelési tájékoztatás miatt a GDPR 12. cikk (1) bekezdésének megsértését is.

Mindezekre tekintettel 8.000.000,- Ft összegű bírságot szabott ki.

Ugyan a benyújtott pályázatok bírálatakor figyelembe vehető szempontokat jogszabály [a felsőoktatásban részt vevő hallgatók juttatásairól és az általuk fizetendő egyes térítésekről szóló 51/2007. (III. 26.) Korm. rendelet; a továbbiakban: Korm. rendelet] állapítja meg, a bekérhető dokumentumokat és így a kezelhető adatok körét ez a jogszabály világosan nem rendezi. Ez számos bizonytalanságra adhat okot, és ahhoz vezethet, hogy az egyetemek túlterjeszkednek a Korm. rendelet alapján és a jogalkotó szándéka szerint valójában kezelhető személyes adatok körén, a többlet adatokat pedig jogszabályi felhatalmazás hiányában jogalap nélkül kezelik, ahogy az történt a BME esetében is.

A NAIH határozatában részletesen vizsgálta az adatkezelés lehetséges jogalapját, a kezelhető adatok körét, valamint az adatkezelőt terhelő tájékoztatási kötelezettséget, így a most meghozott határozata jól használható útmutatásként szolgálhat más egyetemek számára is.

Az adatkezelés jogalapja

A BME adatkezelését egyszerre alapította a nemzeti felsőoktatásról szóló 2011. évi CCIV. törvény (a továbbiakban: Nftv.) és a Korm. rendelet rendelkezéseinek felhatalmazására [GDPR 6. cikk (1) bekezdés e) pontja], illetve az érintettek hozzájárulására [GDPR 6. cikk (1) bekezdés a) pontja]. A hozzájárulást a hallgatók a pályázatok benyújtásakor az erre kialakított online felületen egy checkbox kipipálásával adhatták meg. A BME a hallgatók hozzájárulását azért kérte be, mert bár az ösztöndíjpályázatok elbírálásához kért személyes kezelése állítása szerint ún. „kötelező adatkezelés”, a hallgatók nem kötelesek pályázatot leadni, ezért maga a kérelem benyújtása – és annak során a személyes adatok megadása – kifejezetten önkéntes.

A fenti gyakorlattal kapcsolatban a NAIH megállapította, hogy azon személyes adatok kezelése vonható be a GDPR 6. cikk (1) bekezdésének e) pontja szerinti jogalap keretei közé, melyek az Nftv-ben és a Korm. rendeletben meghatározott szempontok megítéléséhez szükségesek. E jogszabályokban foglalt szempontok az egyetemeket kötik, ezen a BME sem terjeszkedhetett volna túl és dönthetett volna úgy, hogy egyéb szempontokat is figyelembe vesz az ösztöndíjak során, ezzel ugyanis többletadatkezelést generált. Ezen többletadatkezelést nem teszi jogszerűvé az, hogy a BME a hallgatók hozzájárulását kérte hozzá.

A hallgatók hozzájárulása egyébként sem lehet jogszerű jogalapja az ösztöndíjpályázatok elbírálásával kapcsolatos személyesadat-kezelésnek. A GDPR szerinti hozzájárulás akkor lenne érvényesen megadható, ha a hallgató nem pusztán arról dönthetne, hogy kíván-e pályázatot benyújtani, hanem arról is, hogy milyen adatainak kezelését kívánja, és mely adatainak kezeléséhez nem járul hozzá, anélkül, hogy ebből bármilyen hátránya származna. Ez a feltétel a jelen esetben semmiképpen sem teljesül, hiszen, ha a hallgató úgy dönt, hogy valamely, a BME által megkívánt igazolást nem nyújtja be (tehát az ebben foglalt adatok kezeléséhez nem járul hozzá), azzal értelemszerűen hátrány éri, mégpedig, hogy kevesebb pontot kap a pályázatára, és így kevesebb ösztöndíjra lesz jogosult vagy egyáltalán nem kap ösztöndíjat.

A személyesadat-kezelést a BME azért sem alapíthatta volna az érintettek hozzájárulására, mert hozzájárulást csak a pályázatot benyújtó hallgatóktól kért, az adatkezelés azonban nemcsak őket érinti, hanem mindazon harmadik személyeket is (így elsősorban a hallgatóval egy háztártásban élő személyeket), akikre vonatkozóan a hallgató pályázata szintén tartalmazott személyes adatokat.

Kezelhető adatok köre

A NAIH határozatában vizsgálta valamennyi, a BME által bekért igazolás, dokumentum indokoltságát. Az ezekkel kapcsolatos megállapítások közül mi példálózó jelleggel csak néhányat emelünk ki.

  • Az egy háztartásban élők megállapítására a BME egy erről szóló, a lakóhely szerinti települési önkormányzat vagy járási hivatal által kiállított igazolás (vagy hatósági bizonyítvány) benyújtását írta elő. Ezen gyakorlattal kapcsolatban a NAIH jogsértést nem állapított meg.

Ha a fentiek szerint kiállított igazoláson olyan személy is szerepelt, aki valójában nem tagja a háztartásnak, erről a tényről közjegyző vagy a helyi önkormányzat jegyzője előtt tett nyilatkozat benyújtása volt szükséges. A NAIH megítélése szerint ezen nyilatkozati forma elvárásával a BME plusz adatkezelést generált a közjegyző vagy a jegyző előtt, holott, amennyiben a nagyobb bizonyító erő lenne a cél, erre az érintett személy két tanú előtt tett nyilatkozata is alkalmas lenne, mely teljes bizonyító erejű magánokiratnak tekinthető.

  • A BME indokolt esetben környezettanulmányt is kért a lakcím szerinti háztartásról. A környezettanulmánnyal kapcsolatban a NAIH megállapította, hogy ez kifejezetten magánszféra-korlátozó, és ilyet csak akkor végezhet az erre hatáskörrel és illetékességgel rendelkező szerv, ha erre valamely jogszabály felhatalmazza. Ilyen jogszabályi felhatalmazás a BME esetében nem volt.
  • A BME főszabály szerint a jövedelem igazolására a háztartásban élő személyek lakossági bankszámlakivonatának benyújtását kérte, továbbá annak igazolását, hogy vállalkozásból/őstermelői tevékenységből/egyéb tevékenységből mennyi jövedelem folyt be. A NAIH ezt a gyakorlatot megfelelőnek találta.

Emellett ugyanakkor a BME NAV-jövedelemigazolás benyújtását is előírta. A NAIH szerint ez csak akkor lehet szükséges, ha valamilyen okból kifolyólag a háztartásban élő személy jövedelme nem szerepel sem a lakossági bankszámlakivonaton, sem a fentiek szerinti egyéb bevételekről szóló igazoláson, például mert a vonatkozó jövedelem készpénzben folyt be.

Szintén elvárás volt a munkaviszonyból származó jövedelem igazolására a munkáltató által kiállított jövedelmigazolás benyújtása is. Ez a NAIH szerint csak akkor indokolt, ha a vonatkozó jövedelem – például készpénzben történő fizetés miatt – nem jelenik meg a bankszámlakivonaton.

  • Kollégiumtól eltérő tartózkodási hely (pl. albérlet) esetén a BME kérte benyújtani a tartózkodási hely létesítésére irányuló teljes szerződés másolatát (pl. bérleti szerződés). A NAIH megállapította, hogy a szerződés teljes tartalmát a BME-nek nem kell megismernie, különös tekintettel a másik szerződő fél szerződésben rögzített személyes adataira. Egy olyan kivonat is elegendő lenne a tartózkodási hely igazolására, melyből kitűnik, hogy (i) mire irányul a szerződés (pl. albérleti lakhatás), illetve, hogy (ii) a hallgató kötötte a szerződést.
  • A BME az árvaság, félárvaság tényét halotti anyakönyvi kivonattal kérte igazolni. A NAIH álláspontja szerint a teljes halotti anyakönyvi kivonat bekérése nem indokolt, ez ugyanis olyan adatokat is tartalmaz, melyre a BME-nek nincs szüksége. Az ösztöndíjpályázathoz elegendő, ha az okmányból kiderül a halál ténye, illetve, ha az elhunyt személye beazonosítható.
  • A Korm. rendelet alapján fogyatékossággal, betegséggel kapcsolatban a hallgatók a felmerülő költségekre tekintettel kaphatnak pontot, nem magára a fogyatékosság vagy betegség tényére. Ennek függvényében kizárólag a fogyatékossággal, betegséggel összefüggő rendszeres kiadások ismerete releváns, szakorvosi igazolások bekérése – melyeket a BME előírt – nem indokolt.
  • A hallgató pontszámot kapott arra is, ha a vele egy háztartásban élő még nem iskoláskorú. Ezzel kapcsolatban a BME előírta a gyermek születési anyakönyvi kivonata, személyazonosító igazolványa vagy lakcímkártyája másolatának benyújtását. A NAIH szerint ezzel a BME túlterjeszkedett a szükséges adatok körén, a körülmény igazolásához ugyanis elegendő tudni a gyermek nevét és születési dátumát, melyek összevethetőek az egy háztartásban élőkről kiállított igazolás tartalmával.

Adatkezelésről való tájékoztatás

Az adatkezelőnek biztosítania kell az adatkezelésének átláthatóságát, és ennek körében az adatkezelés érintettjeit megfelelően tájékoztatnia szükséges az általa végzett adatkezelés körülményeiről. Az adatkezelési tájékoztató minimális tartalmát a GDPR 13-14. cikkei határozzák meg.

A BME az adatkezelésről az ösztöndíjpályázatok benyújtására szolgáló online felületre (ESZR) feltöltött, „ESZR használati feltételek, Adatvédelmi tájékoztató” elnevezésű dokumentum útján tájékoztatta a hallgatókat. Ez a tájékoztató azonban a NAIH megállapítása szerint több szempontból sem felelt meg a GDPR követelményeinek:

  • Az adatkezelés jogalapja a fentiekben kifejtettek szerint tévesen került megjelölésre.
  • A tájékoztató a kezelt adatok körével kapcsolatban arra hivatkozott, hogy azt az online felületen elérhető igazoláslista tartalmazza. Az igazoláslista megtalálása a weboldalon nem igényelt nagy erőfeszítést, a NAIH azonban azt tartaná megfelelő gyakorlatnak, ha az érintettnek egyáltalán nem kellene keresgélnie az adatkezelési tájékoztatóban kötelezően feltüntetendő információkat. Ennek megfelelően a BME-nek a tájékoztatóban közvetlenül linkelnie kellett volna az igazoláslistát, vagy többszintű tájékoztatót kellett volna készítenie, melyben egy dokumentumba foglalva jelenne meg a kezelt adatok köréről adott tájékoztatás is.
  • A tájékoztatóból nem derült ki, hogy melyik személyes adatra, okmányra vagy igazolásra pontosan miért van szüksége a BME-nek. Ez azért probléma, mert az adatkezelés akkor lesz átlátható az érintettek számára, ha nemcsak általánosságban arról kapnak tájékoztatást, hogy a megadott adatok a pályázat elbírálásához szükségesek, hanem tisztában vannak az egyes, általuk benyújtott dokumentumok, megadott adatok konkrét céljával is. Ha az érintett ezzel nincs tisztában, mérlegelni sem tudja, hogy az adott célból ténylegesen szükséges-e a vonatkozó dokumentum benyújtása.
  • A BME tájékoztatóját a NAIH hatálytalannak találta, az ugyanis még 2017-ben készült, és az Infotv. rendelkezéseit tartalmazta, ahelyett, hogy a 2018. május 25-étől alkalmazandó GDPR szabályrendszere jelent volna meg benne.

A NAIH határozata által nyújtott fenti szempontokat minden hasonló adatkezelést végző egyetemnek érdemes figyelembe vennie, és ezek mentén felülvizsgálnia az adatkezelését. Az adatkezelés jogalapján, a kezelhető adatok körén és az adatkezelési tájékoztató követelményén túl ugyanis a NAIH határozata azt is egyértelművé tette, hogy mennyire lényeges a rendszeres szociális ösztöndíjakra vonatkozó adatkezelés GDPR-nak megfelelő kialakítása, hiszen az ezzel kapcsolatos hiányosságok komoly adatvédelmi bírsághoz vezethetnek.

Back To Top