Jogeset: A jogos érdek és az érdekmérlegelési teszt

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) legújabb, nemrégiben közzétett határozatának különös jelentősége az, hogy a jogos érdeken alapuló adatkezelés és ahhoz kötelezően kapcsolódó érdekmérlegelési teszt megfelelőségét vizsgálata.

A NAIH 2018. május 25-e, azaz a GDPR kötelező alkalmazása óta már több, bírság kiszabásával végződő hatósági eljárását lezáró határozatát publikálta, ezek bárki számára megismerhetőek a NAIH honlapján.

Ezen eljárások közös jellemzője a bírság kiszabásán és a bírság nagyságrendjén túl, hogy érintetti jogok megsértésének, illetve jellemzően az érintetti jogok érvényesítésével kapcsolatos nem jogszerű adatkezelői eljárások megállapítására került sor a NAIH által.

Ezért bír különös jelentőséggel a legújabb NAIH határozat

Az egyik legújabb, a nemrégiben közzétett, 2019. március 4-i keltezésű határozat alapjaiban nem tér el a fentiektől, mivel ebben az esetben is érintetti joggyakorlás és azzal összefüggő érintetti kérelemre induló hatósági eljárás kapcsán a NAIH egy millió forintos adatvédelmi bírság kiszabása mellett döntött.

Ugyanakkor ezen ügyben különös jelentősége volt a jogos érdeken alapuló adatkezelésnek és ahhoz kötelezően kapcsolódó érdekmérlegelési teszt megfelelőségének vizsgálata.

A kapcsolódó tényállás szerint az érintett adathelyesbítési és adattörlési kérelemmel fordult az adatkezelőhöz, mely adatkezelővel, illetve annak jogelődjével korábban (2010-ben) gépkocsijának finanszírozására kölcsönszerződést kötött. Az érintett kérelmében lakcíme megváltozása miatt annak helyesbítését és egyúttal telefonszámának törlését kérte (azaz ezen adat kezelésére vonatkozó korábbi hozzájárulását visszavonta) az adatkezelőtől.

Az adatkezelő a lakcímváltozás tekintetében kérte az érintettet, hogy lakcímkártyájának másolatát küldje meg az adat helyesbítése érdekében, a telefonszám kapcsán pedig közölte, hogy azt nem törli, figyelemmel arra, hogy az adatkezelő a GDPR szerint elvégzett érdekmérlegelési tesztet követően, az adatkezelő jogos érdeke alapján továbbra is jogosult a telefonszámot kezelni a „lejárt tartozás telefonos megkeresés útján történő érvényesítése érdekében és céljából".

Ezt követően fordult az érintett a hatósághoz személyes adatainak védelme, illetve hatósági eljárás megindítása érdekében.

A NAIH eljárása során egyrészről vizsgálta, hogy jogszerű volt-e az adatkezelő részéről igazolványmásolat másolatának megküldéséhez kötni a lakcímadat helyesbítését, másrészről pedig azt vizsgálta, hogy fennáll-e az adatkezelő jogos érdeke, mint jogalap az érintett telefonszámának további kezelésére.

Jogos érdek fennállása, illetve az érdekmérlegelési teszt megfelelősége

Az utóbbi kérdés kapcsán a NAIH rögzítette, hogy az adatkezelő érdekmérlegelési teszttel köteles igazolni a jogos érdek, mint jogalap fennállását és vizsgálta az adatkezelő által készített érdekmérlegelési tesztet. A hatóság az érdekmérlegelési tesztet nem találta megfelelőnek, mellyel kapcsolatosan általánosságban, minden adatkezelő által megfontolásra javasolta az alábbi megállapításokat:

• Az adatkezelési célokat pontosan szükséges megjelölni és különböző céloknál külön-külön kell elvégezni az érdekmérlegelést, több cél esetén ennek hiánya miatt nem megfelelő az érdekmérlegelési teszt.
• A gazdasági érdeket és kényelmi szempontokat nem lehet az érintetti érdekekkel szemben úgy előterébe helyezni, hogy ezen érdek elsőbbsége nem kerül bizonyításra és arányosítás sem kerül elvégzésre.
• Az érintetti érdekek hiányos vagy helytelen azonosítása is az érdekmérlegelési teszt nem megfelelőségéhez vezethet.
• Az adatkezelés szükségességénél nem megfelelő általánosságban meghatározni az okokat (így például a konkrét esetben követeléskezeléssel kapcsolatos ajánlásokra és kapcsolattartásra vonatkozó előírásokra általánosságban utalni), hanem szükséges azokat részletezni.

A fentieket figyelembe véve a NAIH megállapította, hogy megfelelő érdekmérlegelés hiányában az adatkezelő nem hivatkozhat jogos érdekre, mint jogalapra, tehát az adatkezelésnek nem volt jogalapja, ezért pedig jogellenes a telefonszám adat nyilvántartása az adatkezelő részéről.

Eredeti céltól eltérő célból történő adatkezelés kérdése

A fentieken túl azt is rögzítette a hatóság, hogy megállapítható volt az is, hogy az adatkezelő az eredeti céltól (szerződés teljesítése) eltérő egyéb célból is kezeli a telefonszámot (pl. ügyfélszolgálati tevékenység fejlesztése).

A NAIH rögzítette, hogy ilyen esetben elsődlegesen az adatkezelőnek azt kellett volna vizsgálnia és megállapítani a GDPR 6. cikk (4) bekezdésére figyelemmel, hogy az eredeti cél és az eltérő cél összeegyeztethető-e, azonban mivel ez a vizsgálat elmaradt, a jogalap ezen adatkezelési cél tekintetében sem igazolt.

Amennyiben a célok nem összeegyeztethetők, úgy az új célú adatkezelés érvényes jogalap hiányában nem végezhető. Ugyanakkor hangsúlyozandó, hogy amennyiben a vizsgálat elvégzésre kerül és összeegyeztethető volna is a két cél, úgy az adatkezelőnek a GDPR 13. cikk (3) bekezdése alapján előzetesen tájékoztatnia kell az érintettet.

A fentiek kapcsán végül kiemelendő az is, hogy a NAIH álláspontja szerint telefonszám jogérvényesítéshez szükségessége egyáltalán nem elfogadható, mert a követeléskezelés nem jogi eljárás, hanem egy végrehajtást megelőző „eljárás", amely a felek konszenzusát kívánja elősegíteni, a telefonszám kezelése követelés behajtáshoz nem elengedhetetlenül szükséges, mivel az adatkezelő egyéb kapcsolattartáshoz szükséges elérhetőségi adatokat is kezel.

A lakcímadat helyesbítésének kérdése

A hatóság a panasz ezen része kapcsán nem értett egyet az érintettel és megfelelőnek találta az adatkezelő azon eljárását, hogy a módosításhoz az adat megváltozásának igazolását kérte, figyelemmel arra, hogy a GDPR által előírt pontosság elve ezt nem tiltja és a Pmt. 12. §-a alapján ez ésszerű intézkedésnek tekinthető.

A bírság kiszabásánál figyelembe vett szempontok

A NAIH a bírság kiszabása kapcsán az alábbi szempontokra volt figyelemmel:

• A jogalap nélküli adatkezelés az érintett magánszféráját jelentősen érintette és az ezzel okozott jogsérelmet az adatkezelő szándékos magatartása, illetve adatkezelési gyakorlata idézte elő.
• A jogsértés súlyos, mert érintetti jog (törléshez való jog) gyakorlását érinti, továbbá az adatkezelés több GDPR cikket sért, köztük alapelvi jogsértést is megvalósít.
• A bírsággal a speciális prevenciós cél, hogy az adatkezelők vizsgálják felül a telefonszámokkal kapcsolatos adatkezelési gyakorlatát.
• Prevenciós cél továbbá az adatkezelő újabb jogsértéstől való visszatartása mellett a piaci szereplők jogszerű irányba való mozdulása, mivel a jogos érdek fennállta, mint jogalap nem egy kötetlenül, bármely adatkezelő érdekében álló esetre, esetkörre alkalmazható szabály, hanem a jogos érdekre történő hivatkozás precíz alátámasztása szükséges.
• Az adatkezelő elmarasztalására a GDPR megsértése miatt még nem került sor, továbbá az adatkezelő együttműködő magatartást tanúsított.
• Az adatkezelő 2017. évi nettó bevétele 4.000.000.000 forint, melyből 2.700.000.000 forint üzletszerű tevékenységből származott.