5 millió Ft-os adatvédelmi bírság jogszerűtlen ügyfélelégedettség-mérés miatt

Október végén került nyilvánosságra a NAIH utolsó határozata, melyben 5 millió forint összegű bírsággal sújtott egy importőr vállalkozást.

A hatósághoz forduló kérelmező szervizeltette gépjárművét és ennek során megadta e-mail címét a szervizelést végző vállalkozásnak. Ezt követően néhány nap múlva kéretlen e-mailt kapott azzal a kéréssel, hogy töltsön ki egy elégedettségi kérdőívet, majd egy újabb emailt, melyben ismét felkérték a kérdőív kitöltésére. Az emailek tartalmazták a kérelmező gépkocsijának alvázszámát. Az elégedettségi kérdőív kitöltésére felhívó e-mail nem a szerviztől, hanem egy másik cégtől (importőr) érkezett, aki a felmérést végezte. 

A kérelmező a hatóság eljárását kezdeményezte, kérte annak megállapítását, hogy a szerviz jogellenesen adta át email címét a felmérést készítő cég részére. 

A szerviz – a hatóság kérésére – arról adott tájékoztatást, hogy álláspontja szerint az ügyben az importőr tekinthető adatkezelőnek. Elküldte a hatóságnak az általa készített érdekmérlegelési tesztet, valamint adatkezelési tájékoztatóját is, melyek szerint piackutatás és ügyfélelégedettség-mérés céljából továbbítanak adatokat az importőr, valamint a gyártó cég részére is. 

Az importőr tehát a szerviztől kapta meg a kérelmező e-mail címét és a gépjármű javítás technikai adatait. A személyes adatok kezelésére jogos érdek jogalappal került sor. Az importőr érdekmérlegelési tesztet is készített, mely szerint a kezelt adatok köre az ügyfél vezeték- és keresztneve, email címe, lakcíme, telefonszáma, a gépjárműve alvázszáma, rendszáma, műszaki adatai, az igénybe vett márkakereskedés vagy márkaszerviz neve, az igénybe vett szolgáltatás időpontja, és az esetleges visszajelzés tartalma. 

Az érintettek egyedi tájékoztatása a szervizben a munkalap mellékleteként átadásra kerülő nyomtatott adatkezelési tájékoztató útján történik, az adatkezelési tájékoztatót a recepción illetve az ügyfélpultnál is hozzáférhetővé teszik, nyomtatva. Ezen felül az importőr elvárása szerint az általános eljárás az, hogy az adatkezelésről szóban tájékoztatják az ügyfelet az adat bekérésekor, és a munkalap mellékleteként átadják az adatkezelési tájékoztató nyomtatott változatát. A szóbeli tájékoztatás része többek között, hogy az email cím megadása nem kötelező. 

A kérelmező szerint azonban az ügyfél-elégedettség mérésről, személyes adata ilyen célból történő felhasználásáról nem kapott tájékoztatást. Kiderült, hogy jelen esetben a szerviz munkavállalója elmulasztotta a munkalap kitöltését, aláíratását és azzal együtt az adatkezelési tájékoztató nyomtatott változatának átadását, ami egyébként konkrétan az ügyfélelégedettség-méréssel kapcsolatban nem tartalmaz információkat.

Az importőr részére a szervizelési információkat személyhez köthetően továbbították, mivel az ügyfélelégedettség-méréshez és az ügyfélkapcsolatok javításához szükséges az ügyfél- azonosítás. 

Az importőr azt nyilatkozta, hogy a gépjármű alvázszámát és a rendszámot azért szükséges kezelnie az ügyfél-elégedettség méréssel kapcsolatban, hogy azonosítani lehessen melyik gépjárművel kapcsolatban kérik az érintett ügyfél véleményét. Az ügyfél neve, email címe, telefonszáma, és lakcíme mind a kérdőív kitöltéséhez, kapcsolatfelvétel és adott esetben a válaszok alapján további kapcsolatfelvételhez szükséges. A gépjármű meghibásodási adatai és a szerviz nevének, a szervizelés helyének és idejének adatai ahhoz szükségesek, hogy meg lehessen érteni milyen munkákkal volt elégedett és elégedetlen az ügyfél. Az ügyfél-elégedettség méréssel kapcsolatban kezelt adatok semmilyen más célra nem szükségesek, azokat csak e célból kezeli az importőr. 

Az importőr a gyártó felé csak összesített anonim statisztikákat továbbít, konkrét személyes adatokat nem, így ezzel kapcsolatban a hatóság nem végzett vizsgálatot.

Az eset körülményeit megvizsgálva megállapítható, hogy az elégedettségi kérdőívvel kapcsolatban történő adatkezelések tekintetében az importőr minősül adatkezelőnek, a szerviz adatfeldolgozónak. Az adatfeldolgozó nem önálló adatkezelést végez, a tevékenysége az adatkezelő tevékenységének tekintendő, nem önálló célból és jogalappal jár el. 

A hatóság megállapította, hogy az importőr, mint adatkezelő megfelelő intézkedéseket köteles hozni annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó valamennyi információt tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa. Megfelelő tájékoztatás hiányában értelemszerűen az érintett nincs olyan helyzetben, hogy érintetti jogait megfelelően gyakorolja. A tájékoztatási kötelezettség a fentiekben is kifejtettek szerint nem puszta „lepapírozási” kötelezettséget jelent. A tájékoztatás célja, hogy olyan helyzetbe hozza az érintettet, hogy az megfelelő döntési helyzetben legyen az érintetti jogai gyakorlásával kapcsolatban. 

A vizsgálat során a hatóság számára nyilvánvalóvá vált, hogy a kérelmező és az importőr között nem volt közvetlen jogi kapcsolat, ügyféli jogviszony, nem volt meg tehát az általános adatvédelmi rendelet által elvárt kapcsolat a felek között. 

A kérelmező által ki nem töltött és alá nem írt munkalapon, egy egészen más jogalappal, más célú (nem elégedettség-mérés) adatkezeléshez nagyon apró betűvel leírt hivatkozás semmiképpen nem felel meg az általános adatvédelmi rendelet szerinti megfelelő, világos és áttekinthető tájékoztatás követelményének. 

Megfelelő tájékoztatás hiányában a kérelmező nem számíthatott ésszerűen arra, hogy miután a szerviz már küldött egy kérdőívet, az importőr is megkeresi emailen egy újabb felméréssel. Az emailekben nem volt utalás a feladó tényleges kilétére (az importőrre) és a személyes adatok forrására, ennek kiderítése pedig nem a kérelmező, mint érintett feladata. 

Az importőr megsértette az általános adatvédelmi rendelet szerinti jogszerű és átlátható adatkezelés elvét, a tömör, átlátható, érthető és könnyen hozzáférhető formájú, világosan és közérthetően megfogalmazott tájékoztatás nyújtásának kötelezettségét, valamint az elszámoltathatóság elvét. 

A jogos érdek jogalappal kapcsolatban fontos hangsúlyozni, hogy az nem arra szolgál, hogy egyéb lehetőség hiányában az adatkezelő bármikor és bármilyen indokkal az egyéb jogalapok alkalmazhatóságának hiányában, a 6. cikk (1) bekezdés f) ponthoz fordulva kezeljen személyes adatokat. Bár látszólag a legrugalmasabb jogalapnak tűnik, annak alkalmazásával az adatkezelő jelentős felelősséget vállal. 

Szorosan kapcsolódik ugyanis a jogos érdek jogalaphoz az elszámoltathatóság elve, mely az adatkezelőre a személyes adatkezelés átláthatóságát, pontosságát és tisztességességét szolgáló adminisztrációs terhek teljesítésének kötelezettségét jelenti. Nem „lepapírozásról” van tehát szó itt, hanem érdemi feladatról. 

Megállapítható, hogy az általános adatvédelmi rendeletben meghatározott előreláthatósági és garanciális feltételek nem teljesültek, a kérelmező nem tudott tiltakozni előre az adatkezeléssel szemben, az egyedi eset összes körülménye alapján azt és annak következményeit – az importőr általi adatkezelést és ennek keretében email érkezését, amelyből nem derült ki, hogy pontosan ki küldte – ésszerűen nem láthatta előre. A megfelelő tájékoztatás és ebből adódóan érintetti joggyakorlásra képesség hiányában a jogos érdek jogalap a többi feltételtől függetlenül nem lehet érvényes az érintett esetében. 

A fentiek alapján az importőr a kérelmező vonatkozásában megsértette az általános adatvédelmi rendeletben foglaltakat. 

Az importőr által küldött emailben nem volt semmilyen információ arra vonatkozóan, hogy a személyes adatok forrása mi volt, és ki milyen jogalappal kezeli a kérelmező pontosan mely személyes adatait. Sem adatkezeléssel kapcsolatos tájékoztatás, sem a konkrét adatkezeléssel kapcsolatos tájékoztatásra utaló hivatkozás nem volt az emailekben. 

Az érintettek így nem is tudják gyakorolni az érintetti jogaikat, és tájékoztatást sem tudnak kérni az importőrtől. 

A hatóság az alvázszám, a lakcím, a telefonszám továbbítását és a kérdőíven bekért, az érintett életkorára és nemére vonatkozó adatok kezelését szükségtelennek ítélte. Amennyiben az importőr a fenti személyes adatokat mégis kezelni kívánja az ügyfélelégedettség-mérés keretében, azt alaposan meg kell tudnia érdemben indokolni, amelyet nem tudott megtenni az eljárás során. 

A hatóság megállapítása szerint az adatkezeléshez nem sikerült megfelelő jogalapot találni, így az adatkezelés jogszerűtlen.

A hatóság a bírság kiszabása során súlyosbító körülményként figyelembe vette az importőr piaci súlyát, a potenciális érintettek számát, és hogy az általános gyakorlata az általa importált márka tekintetében kizárólagosan meghatározó Magyarországon, valamint azt is, hogy nem áll rendelkezésre hatékony tájékoztatás és jogorvoslat az érintettek részére. 

További súlyosbító körülmény, hogy a jogsértés több éven át fennálló, folyamatos gyakorlat eredménye. 

Forrás: www.naih.hu

Previous
Previous

Kerüld el, hogy a Versenyhivatal feketelistásnak minősítse az értékeléseidet!

Next
Next

Online vállalkozástámogatók jogi megfelelése - interjú Szabó Ágival a Virtuális Irodaház tulajdonosával