Biztos, hogy megfelelő a hozzájárulás?
Az adatkezelők adatkezelési tevékenységük jogalapjaként számos esetben a hozzájárulást jelölik meg, ugyanakkor nem biztos, hogy annak valamennyi jogszabályi feltételét maradéktalanul teljesítik, ezáltal kérdésessé válhat az adatkezelésük jogszerűsége.
Tekintettel arra, hogy a Récsényi Ügyvédi Iroda fő profilja az adatvédelem, ezért folyamatosan figyelemmel kísérjük a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) tevékenységét, és rendszeresen vizsgáljuk, elemezzük határozatait.
A NAIH egy nemrég közzétett határozatában 80 millió forintos adatvédelmi bírságot szabott ki egy gyógyászati termék forgalmazóra, amely jogsértő módon alkalmazta a hozzájárulást az adatkezelés jogalapjaként. Jelen írásunkban a NAIH határozata alapján megvizsgáljuk a hozzájárulásra alapított adatkezelés néhány sarokpontját, hogy mi az, amivel mindenképpen célszerű tisztában lennie az adatkezelőknek a hozzájárulás jogalapon végzett adatkezeléssel összefüggésben.
Az adatkezelési gyakorlat
Egy magyarországi gyógyászati termék forgalmazó szűrővizsgálatra történő invitálást tartalmazó postai értesítésküldésével néhány év alatt több-százezer olyan – célcsoportjába tartozó – személyt keresett meg, akik korábban nem tiltották meg a polgárok személyi és lakcímadatait tartalmazó központi nyilvántartásból történő adatszolgáltatást.
A cég 2021 előtt a direkt marketinget, majd 2021-ben már piackutatási célból történő kapcsolatfelvételt és kapcsolattartást jelölt meg az adatszolgáltatás alapjaként, amelyet az adatszolgáltató Belügyminisztérium (BM) felé cégkivonat másolattal igazolt.
A célcsoportba tartozó személyek minden esetben kizárólag a BM által szolgáltatott adatbázis alapján kerültek megkeresésre, más forrásból, más céllal megadott adatokat erre nem használtak fel.
Noha a jogszabályok lehetővé teszik, hogy piackutatás céljából név- és lakcímadat adatszolgáltatási kérelem alapján átadásra kerüljön a polgárok személyi és lakcímadatait tartalmazó központi nyilvántartásból, ugyanakkor közvetlen üzletszerzés céljából erre már nincs lehetőség 2019 áprilisa óta.
A jogalap
Mint minden egyes GDPR hatálya alá tartozó adatkezelés esetén, a jelen esetben is rendelkezni kell az adatkezeléshez egy megfelelő jogalappal. A forgalmazó az adatkezelés jogalapját a hozzájárulásra alapította, mivel álláspontja szerint a megkeresett személyek önkéntes hozzájárulása alapján kezeli a személyes adatokat és biztosítja az érintetti joggyakorlást, így különösen azt, hogy az érintett a hozzájárulást bármikor visszavonhatja, amelyet akként tehet meg, hogy a BM felé intézett nyilatkozatban jelzi, hogy nem kívánja adatait rendelkezésre bocsátani piac- és közvéleménykutatási célból, azaz él az adatkiadás megtiltásának jogával; de akár a cég felé is jelezheti, hogy az adatkezeléshez nem kíván hozzájárulni.
A társaság álláspontja szerint a megkeresett érintettek, azaz a közhiteles személyiadat- és lakcímnyilvántartásban szereplő polgárok hozzájárulása automatikusan megadottnak tekinthető, kivéve, ha a nyilvántartásban az adataik kiadását megtiltották.
Ezzel szemben a GDPR alapján az érintett hozzájárulása az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. A személyes adatkezelés konkrét céljainak mindenekelőtt explicit módon megfogalmazottaknak és jogszerűeknek, továbbá már a személyes adatok gyűjtésének időpontjában meghatározottaknak kell lenniük. Ahhoz, hogy az adatkezelő a hozzájárulás jogalapjára jogszerűen hivatkozhasson, a hozzájárulás valamennyi fogalmi elemének meg kell felelnie a rá vonatkozó követelményeknek.
A NAIH álláspontja szerint azonban önmagában a közhiteles nyilvántartásban szereplés ténye egyáltalán nem tekinthető az érintett akarata konkrét, egyértelmű kinyilvánításának, legfőképpen nem tekinthető önkéntesnek és megfelelő tájékoztatáson alapulónak.
A személyiadat- és lakcímnyilvántartásban, mint közhiteles nyilvántartásban szereplő polgároknak ugyanis nincs választási lehetőségük atekintetben, hogy a nyilvántartásba bekerüljenek-e vagy sem, a nyilvántartás nem a polgárok önkéntes hozzájárulásán alapuló regiszter. Az érintetteknek a vonatkozó jogszabály alapján ugyan van joguk arra, hogy megtiltsák a róluk nyilvántartott adatok kiadását, ennek elmaradása – azaz az érintettnek a hallgatása – azonban nem jelenti egyúttal azt, hogy az érintett hozzájárult ahhoz, hogy személyes adatai adatszolgáltatás teljesítése során kiadhatók, és így bárki által postai úton megkereshető.
A jogsértés
A GDPR alapján az adatkezelőnek igazolnia kell tudni, hogy az adatkezeléshez az érintett hozzájárult, ennek pedig szükséges feltétele, hogy az érintett tisztában legyen azzal a ténnyel, hogy hozzájárulását adta az adatkezeléshez, valamint azzal, hogy ezt milyen mértékben tette. Az elszámoltathatóság elvére figyelemmel ezen kötelezettség magában foglalja azt is, hogy az adatkezelő bizonyítani tudja, hogy a hozzájárulás egyes fogalmi elemei (megfelelő tájékoztatás, önkéntesség, a hozzájárulás egyértelműsége) megfelelően érvényesültek a beleegyezés megszerzése során, valamint teljesítette a GDPR által a hozzájárulással összefüggésben megfogalmazott további követelményeket is. A forgalmazó sem magát a beleegyezés megadását, sem ezen feltételek érvényesülését nem tudta bizonyítani, így a NAIH megállapította, hogy a postai megkeresés útján történő kapcsolatfelvételnek nem lehet jogszerű jogalapja a hozzájárulás, mivel annak valamennyi fogalmi eleme hiányzik, így a cég adatkezelését jogellenesen alapította a hozzájárulás jogalapra, érvényes jogalap fennálltát nem igazolta a hatóság felé.
A fentiek mellett a határozat alapelvi jogsértést is megállapított. A társaság 2021 márciusáig direkt marketing, azaz közvetlen üzletszerzési célból történő kapcsolatfelvételhez és kapcsolattartáshoz igényelt adatokat a BM-től, annak ellenére, hogy 2019 áprilisa óta a közvetlen üzletszerzéshez történő kapcsolatfelvétel céljára történő név- és lakcímadat igénylésre vonatkozó jogszabályi lehetőség megszűnt.
A cég 2021 márciusát követően a BM felé benyújtott kérelemben már piackutatás adatfelhasználási célt jelölt meg, ugyanakkor ennek ellenére a társaság tényleges adatfelhasználási gyakorlata a korábbiakhoz képest egészen 2021 júliusáig nem változott, így a postai értesítőn ugyanazon tájékoztató szöveg szerepelt, mint a korábban direkt marketing célból küldött értesítőkön. A NAIH álláspontja szerint a tájékoztatóban megjelölt „piackutatás”, mint adatkezelési cél elfedi a valós célt, amelyet megerősít az is, hogy a BM irányába benyújtott adatigénylési kérelmekben megjelölt tárgy, mint adatkezelési cél sem kifejezetten a piackutatás, hanem megtévesztően „piackutatás céljából történő kapcsolatfelvétel és kapcsolattartás” volt, amely cél egy általános fogalom, és a forgalmazó által végzett adatkezelési tevékenység figyelembevételével a mögöttes cél továbbra is a direkt marketing.
A NAIH ezzel összefüggésben megállapította, hogy a forgalmazó a törvényi előírásoknak való látszólagos megfelelés érdekében megsértette a célhoz kötöttség alapelvét, valamint azáltal, hogy az adatkezelés valós célja tekintetében az érintetteket, valamint az adatszolgáltatást teljesítő BM-et megtévesztette, továbbá az adatkezelés valós célját elfedte, megsértette a tisztességes eljárás elvét is.
Összegzés
A jelen bejegyzésben ismertetett határozat mentén a hozzájáruláson alapuló adatkezelés csupán néhány sarokpontját vizsgáltuk meg, anélkül, hogy elmélyültünk volna a hozzájárulás egyes fogalmi elemei gyakorlati elemzésével. Látható, hogy egy nem megfelelően alkalmazott jogalap, illetve az alapelvi rendelkezések megsértése akár nagyon jelentős bírságösszegű elmarasztalást is eredményezhet. Ezt megelőzendő, érdemes megfontolni hozzáértő adatvédelmi szakember közreműködésének igénybevételét, aki az adatkezelés célja és körülményei figyelembevételével tud segítséget nyújtani a jogszerű adatkezelés feltételeinek kialakításához, amely által minimális szintre szorítható az adatkezeléssel járó kockázatok köre és azok súlyossága.
A blogbejegyzésben leírtakkal összefüggő kérdések esetén a kapcsolatok menüpont alatti elérhetőségeken állunk szíves rendelkezésükre. A jelen blogbejegyzés kizárólag a tájékoztatás célját szolgálja, az nem minősül jogi tanácsadásnak; annak egyedi ügyben történő felhasználásáért a Récsényi Ügyvédi Iroda a jogi felelősségét kizárja.