Jogalap nélküli adatkezelés hibás adatrögzítésből kifolyólag

2020.06.14

A NAIH vonatkozó határozata egy Kérelmező személyes adatainak kölcsönszerződéssel összefüggő jogellenes kezelése tárgyában született.

A tényállás

A Kérelmező előadta, hogy semmilyen kölcsönszerződést vagy hitelszerződést nem kötött az adatkezelést végző pénzintézettel (Kérelmezett),

ennek ellenére a Kérelmezett nyilvántartásában egy hitelügyletnél adóstársként került rögzítésre, és ezzel összefüggésben jogalap nélkül a Központi Hitelinformációs Rendszerbe (a továbbiakban: KHR) is továbbították a személyes adatait. A Kérelmező akkor szerzett tudomást arról, hogy a személyes adatait jogellenesen kezelik, amikor egy másik pénzintézettel kötött volna kölcsönszerződést, azonban azt visszautasították arra hivatkozással, hogy a személyes adatai a KHR-ben szerepelnek egy kölcsönügylettel kapcsolatban, ezért nem kaphat vagy nem akkora összegű kölcsönt kaphat, amekkorát igényelt.

A NAIH megállapításai alapján:

  • a Kérelmező  korábban a Kérelmezett ügyfele volt, folyószámlával rendelkezett a pénzintézetnél,

  • a szerződése megszűnése után a szerződésre irányadó megőrzési határidőben jogszerűen tárolta a Kérelmezett a Kérelmező személyes adatait,

  • a jogellenes adatkezelést a téves adatrögzítés okozta: a Kérelmező ügyfélszáma került tévesen rögzítésre egy szerződés valódi adósának az ügyfélszáma helyett,

  • Kérelmező alábbi személyes adatait kezelték a kifogásolt esetben: név, születési név, születési hely és idő, személyazonosító okmány száma, lakcím, ügyfélszám.

A Hatóság álláspontja szerint ez az érvelés, miszerint nem szándékos magatartás okozta a jogellenes adatkezelést, nem mentesíti a Kérelmezettet az adatkezelői felelősség alól. Indoklásukban  az általános adatvédelmi rendelet 4. cikk 7. pontjára hivatkoznak, ennek értelmében a Kérelmezett minősül adatkezelőnek és nem a munkavállalói.

A Kér (elmezett az, aki megszervezi az adatkezelés folyamatát és kialakítja annak körülményeit, nem pedig az ügyintézők.

Ráadásul a GDPR azt is megköveteli (GDPR 25. cikk), hogy az adatkezelő az adatkezelés teljes folyamata során megfelelő technikai és szervezési intézkedéseket hajtson végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek.

Fentiek miatt a NAIH két pontban is megállapította a jogsértést. 

  • Egyrészt a Kérelmezett megsértette a GDPR 6. cikk (1) bekezdését, mivel nem volt jogalapja az adatkezelésre.

Az ügyfélszám hibás rögzítése okán a Kérelmezett úgy tartotta nyilván a Kérelmező adatait, hogy azok egy másik személy hitelügyletéhez kapcsolódtak, továbbá emiatt a korábbi folyószámla szerződésével összefüggésben a megőrzési kötelezettség lejárta után a Kérelmezett azokat más szerződés teljesítésével kapcsolatos céllal - tévedésből - felhasználta.

  • Másrészt  a Kérelmezett megsértette a GDPR 5. cikk (1) bekezdés b) pontjában írt célhoz kötöttség elvét

Azzal, hogy a Kérelmező - folyószámla-szerződésével összefüggésben kezelt - személyes adatait egy olyan hitelszerződéshez kapcsolták, melyben a Kérelmező sem adósként, sem egyéb kötelezettként nem szerepel, a Kérelmezett a Kérelmező személyes adatait az adatkezelés eredeti céljától eltérő céllal kezelte.

Fenti két jogsértést végül a NAIH 1.000.000 Ft adatvédelmi bírság kiszabásával büntette.

Share
Szigethy Tibor adatvédelmi és információbiztonsági menedzser
Az oldalt a Webnode működteti Sütik
Készítsd el weboldaladat ingyen! Ez a weboldal a Webnode segítségével készült. Készítsd el a sajátodat ingyenesen még ma! Kezdd el