Hazai és uniós adatvédelmi hatósági döntések (2023. március)

Hazai és uniós adatvédelmi hatósági döntések (2023. március)

Adatkezelőként az adatkezelések kialakítása során figyelemmel kell lenni a személyes adatok kezelésére vonatkozó alapelvekre, melyek mindennapi működésbe történő beépítése és megtartása a jogszerű működés elengedhetetlen feltétele. Az adatkezelési folyamatok kialakításához és azok finomhangolásához elengedhetetlen nyomon követni az adatvédelmi felügyeleti hatóságok döntéseit is, melyben szeretnénk hatékony segítséget nyújtani a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), illetve uniós tagállami adatvédelmi felügyeleti hatóságok határozatainak, döntéseinek rövid ismertetésével, összefoglalásával a PRAUDIT adatvédelmi blogjában.

I. Ingatlannal szomszédos területek jogellenes megfigyelése – NAIH

Dátum: 2022.12.01.

Jelen ügyben a Hatóság egy ingatlanon működtetett kamerarendszerrel folytatott jogellenes megfigyeléssel kapcsolatosan egy szomszéd kérelmére lefolytatott eljárás keretében az adatkezelőt elmarasztalta és utasította adatkezelési műveleteinek a jogszabályi előírásokkal összhangba hozására. A vizsgálat tárgyát egy ingatlanon vagyonvédelmi célból az ingatlan lakója által felszerelt és üzemeltetett kamerás megfigyelés képezte, ahol a szomszéd sérelmezte, hogy a kamerarendszer megfigyeli az ő ingatlanának területeit és közterület egyes részeit is.

Az ügyben bírság kiszabására nem került sor és a megfigyelés mértéke is csekély, ennek ellenére a határozat lehetőséget ad a hatósági álláspont megismerésére a kamerás megfigyelés területét érintően, melyek közül kiemelendő:

  • A Hatóság első körben rögzítette az adatkezelő azonosítása keretében a korábban ismert álláspontot, miszerint ha valaki a felvételek rögzítésének mellőzésével, csupán távolról tekint rá a megfigyelt területekre, ahol más érintettek is jelen lehetnek, az is olyan műveletet jelent, ami a GDPR hatálya alá tartozó adatkezelésnek minősül.
  • A kamerás megfigyelés jogszerűségének vizsgálata keretében elsődlegesen vizsgálandó, hogy az adatkezelés a GDPR 2. cikk (2) bek. c) pontja alapján nem tartozik e az ún. háztartási adatkezelés körébe, mely esetben az adatkezelésre nem alkalmazandók a GDPR szabályai. A Hatóság rögzítette, hogy a kivétel alkalmazhatósága kapcsán az ún. Rynes-ítélet vonatkozó Európai Unió Bírósága megállapításai, valamint az Európai Adatvédelmi Testület 3/2019. iránymutatásában foglaltak irányadók, vagyis a kamerás megfigyelés – abban a részében, amennyiben az adatkezelő magántulajdonán kívül eső területen tartózkodó személyekre is kiterjed- nem esik a háztartási kivétel alá, azzal, hogy megfelelő technikai vagy szervezési intézkedések (például a megfigyelés céljának szempontjából nem releváns terület kitakarása vagy a megfigyelt rész informatikai eszközökkel történő szűrése) alkalmazása mellett a magánszemély jogosult kiterjeszteni a kamerás megfigyelést a saját tulajdonú terület közvetlen környezetére is.
  • A kivétel hiányában az adatkezelőnek az adatkezelés megfelelő és jogszerű célját és jogalapját kell megjelölni, melyre a GDPR 6. cikk (1) bek. (f) pontjában szabályozott jogos érdek hivatkozható. Ezen jogalap megjelölésére azonban nem került sor, így nem került elvégzésére a jogalap alkalmazhatóságához szükséges érdekmérlegelési teszt sem. Ennek keretében többek között meg kell határozni a jogos érdeket, az érintettre gyakorolt hatást, továbbá azt, hogy az adatkezelés szükséges-e, illetve arányos-e, valamint mérlegelni kell, hogy a jogos érdek vagy pedig az érintetti jog-e a magasabb rendű. A Hatóság álláspontja szerint az adatkezelő által a megfigyelés indokaként említett – és iratokkal alá nem támasztott – „betörések” nem indokolják azt, hogy olyan mértékben figyeljék meg a közterületet és más személy magánterületét, ahogyan jelenleg megfigyeli a két felszerelt kamera.
  • A Hatóság a fentiek figyelembevétele mellett a kérelmező kamerák leszerelésére irányuló kérelmét elutasította, ugyanis az adatkezelés más intézkedések (látószög módosítása, vagy kitakarás) útján is összhangba hozható a jogszabályi előírásokkal.

Ismételten látható, hogy a Hatóság elsődleges célja nem a bírság kiszabása, hanem a jogszabályi előírásokkal összhangban folytatott adatkezelés biztosítása és ennek érdekében a megfelelő jogkövetkezmények alkalmazása, így jelen ügyben az adatkezelő elmarasztalása és utasítása a kamera látószögének módosítására, vagy a felvételek maszkolására, ezek hiányában a kamerák leszerelésére.

Fentiekhez megjegyezzük, hogy a kamerás megfigyelést érintő adatkezelés kialakítása hasonlóan körültekintő eljárást kíván a vállalati környezetben, ahol a szomszédok helyett többek között a munkavállalók és a vállalat területére érkező személyek (pl. partnerek, ügyfelek) személyhez fűződő jogait, magánszféráját szükséges biztosítani. Ilyen adatkezelések során is érdemes különös körültekintéssel eljárni, melyhez javasolt szakértő segítségét igénybe venni.

II. Alkalmazott elbocsátásáról szóló üzenet jogellenes közzététele – Belga felügyeleti hatóság

Dátum: 2023.02.17.

Áttekintve a hatóság határozatát, látható, hogy az adatkezelőknek a munkáltatói szerepben megvalósított adatkezelések során is különös figyelmet kell fordítaniuk a személyes adatok kezelésére vonatkozó elveknek való megfelelésre, továbbá a munkavállalók magánszférájának tiszteletben tartására.

Adatkezelés körülményei

Jelen ügyben az adatkezelő az érintett korábbi munkáltatója volt. Az adatkezelő az intraneten (belső hálózat) bejelentette, hogy az érintett munkavállaló szerződését az adatkezelő azonnali hatállyal felmondta. Az intranet 428 ember számára volt elérhető. Az érintett ezt követően panaszt nyújtott be a belga adatvédelmi hatósághoz.

Hatóság megállapításai

A belga adatvédelmi hatóság megjegyezte, hogy különbséget kell tenni a szerződés felmondásának a többi alkalmazottal való közlése és a felmondás okainak részletezése között. A hatóság megvizsgálta, hogy az egyes elemek a GDPR 5. cikk (1) bekezdés a) pontja szerinti jogszerűség, tisztesség eljárás és átláthatóság elvével és a GDPR 6. cikk (1) bekezdésével összhangban megfelelő jogalapra támaszkodnak, valamint hogy tiszteletben tartották-e a GDPR 5. cikk (1) bekezdés c) pontjában foglalt adattakarékosság elvét.

Ennek keretében a hatóság úgy ítélte meg, hogy a személyzeti változásoknak az intraneten való közzététele jogszerű a GDPR 6. cikk (1) bekezdés b) pontja alapján, helyénvaló a munkavállalókat tájékoztatni a személyzeti változásokról, az alkalmazottakra vonatkozó információknak a személyzet számára történő hozzáférhetővé tétele megkönnyíti a kollégák közötti eszmecserét.

Az adatkezelő nemcsak azt közölte, hogy az érintett már nem munkavállaló, hanem azt is pontosította, hogy az elbocsátásra “azonnali hatállyal” és “az adatkezelő kezdeményezésére” került sor. Ez az üzenet hordoz egy mögöttes és szenzitív jelentést, amely a volt munkavállaló valószínűsíthetően súlyos kötelezettségszegését jelenti.

A hatóság ezért vizsgálta, hogy szükséges volt-e ez a további információ (azaz az adatkezelés), melynek során arra a következtetésre jutott, hogy az üzenet második része nem volt szükséges sem közérdek teljesítéséhez, sem egyéb jogalap nem volt alkalmazható jelen esetben, ennek a kiegészítő információnak kezelése nem szükséges.

Végezetül a hatóság emlékeztetett arra, hogy a személyes adatoknak megfelelőnek, relevánsnak és a célokhoz szükséges mértékre korlátozottnak kell lenniük. Bár helyénvaló a személyzetet tájékoztatni a változásokról, nem volt szükség a szerződés megszűnésére vonatkozó egyéb elemek hozzáadására, ezért az 5. cikk (1) bekezdés c) pontjában foglalt adattakarékosság elvét is megsértették.

Döntés

Az adatvédelmi hatóság a fenti megállapításokra tekintettel kötelezte az adatkezelőt, hogy vonja vissza az intranetről azt az utalást, hogy az adatkezelő kezdeményezte a felmondást.

III. Kéretlenül küldött marketing célú üzenetek 1 érintett részére – Román felügyeleti hatóság – kiszabott bírság: 1.000 euro

Dátum:  2023.02.01.

Jelen ügyben annak tényére érdemes felhívni a figyelmet, hogy az adatkezelőre a hatóság egyetlen érintett panasza alapján indított vizsgálati eljárás alapján is kiszabhat bírságot, amennyiben nem jogszerű az adatkezelés.

Adatkezelés körülményei

Az érintett adatkezelő optikus és szemüveg-, napszemüveg- és kontaktlencse- kereskedő volt, üzleti tevékenysége részeként kereskedelmi üzeneteket küldött hírlevél szolgáltatásán keresztül.

Az érintett a hírlevél egyik címzettje volt. Bár az esetben nem szerepel közvetlenül, feltételezhető, hogy az adatkezelő a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogos érdek alapján kezelte az érintett adatait. Az érintett a hírlevélben található leiratkozás gombra kattintva, a GDPR 21. cikkében előírtak szerint élt a tiltakozáshoz való jogával az adatkezeléssel szemben, ennek ellenére az adatkezelő továbbra is gyakran küldött kereskedelmi közleményeket az érintett e-mail címére. Ezt követően az érintett panaszt nyújtott be a román felügyeleti hatóság felé, melynek alapján a hatóság a vizsgálatot megkezdte, amely megerősítette az érintett állításait.

Hatóság megállapításai

Az adatvédelmi hatóság megállapította, hogy az adatkezelő magatartása megsértette a GDPR rendelkezéseit. A GDPR 21. cikke – a tiltakozáshoz való jog – értelmében az érintetteknek joguk van tiltakozni az olyan adatkezelés ellen, amelyet a GDPR 6. cikke (1) bekezdés f) pontjában foglalt jogos érdek jogalap alapján végeznek. Ezen túlmenően a GDPR 21. cikkének (3) bekezdése kifejezetten biztosítja az érintettek számára a közvetlen üzletszerzési célú adatkezelés elleni tiltakozás jogát.

Fentieket figyelembe véve a hatóság úgy döntött, hogy az adatkezelő megsértette a GDPR 21. cikkének (3) bekezdését azzal, hogy nem vette figyelembe az érintett tiltakozását. A hatóság 1 000 euro (kb. 380.000 forint) bírságot szabott ki az adatkezelőre, valamint kötelezte az adatkezelőt, hogy tegyen korrekciós intézkedéseket annak érdekében, hogy a személyes adatok kezelése során tiszteletben tartsa az érintettek GDPR által biztosított jogait.