A Nemzeti Adatvédelmi- és Információszabadság Hatóság (a továbbiakban: NAIH vagy Hatóság) 2022-ben ünnepli megalakulásának 10. évfordulóját, ebből az alkalomból közzétette beszámolóját a 2021. évi tevékenységéről.
Jelen cikkünkben a Hatóság által a beszámolóban ismertetett 4 jelentősebb – GDPR hatálya alá tartozó – ügyet dolgozzuk fel röviden az adatvédelem területén és összefoglaljuk a lényeges tanulságokat, észrevételeinket.
1. Kiskorú személyes és különleges személyes adatának megjelenítése a médiában (NAIH-68/2021., előzmény: NAIH-6450/2020.)
A kérelmező, fiatalkorú gyermek törvényes képviselője útján egy országos kereskedelmi tévécsatorna egyik riportja miatt fordult a Hatósághoz. A híradásban bemutatták az utcát, a házat, annak leégett tetőszerkezetét, elmondták azt is, hogy életveszélyes egészségi állapotban van a sérült fiatal, és közölték a fiú keresztnevét is. A Hatóság az eljárás során megállapította, hogy a riport az összes elhangzott információval együttesen, illetve összességében alkalmas volt arra, hogy azt végig nézve egyes nézők számára az érintett azonosítható legyen. Az azonosítható érintettről egészségügy adatokat nyilvánosságra hozni az adatkezelőnek nem volt sem megfelelő célja, sem jogalapja. A Hatóság ötmillió forint adatvédelmi bírságot szabott ki, és elrendelte az adatok törlését.
Észrevételek, tanulságok az ügy kapcsán:
Az ügyben ismertetett adatkezelésnek nem volt jogalapja, mert az adatkezelő által hivatkozott, az újságírásra, mint közérdekű tevékenységre való hivatkozás általánosságban a Hatóság álláspontja szerint nem fogadható el az adatkezelés jogalapjaként és több bírósági ítélet is megerősítette, hogy az ilyen adatkezelések jogalapja az adatkezelő jogos érdeke.
2. Az érintett hozzáférési jogának tartalma igazságügyi szakértői vizsgálat során (NIAH-7689/2020; előzmény: 2658/2021)
A panaszos kirendelt igazságügyi szakértői vizsgálaton vett részt, amelyet követően kérte a szakértőt a vizsgálat során keletkezett, általa megadott minden adat másolatának, valamint a szakértőnek a tesztek kiértékelésével kapcsolatban keletkezett szakmai adata másolatának átadására. A Hatóság a szakértői törvény, az Alaptörvény, a GDPR, és a szakértőkre vonatkozó szakmai szabályok elemzésével megállapította, hogy a szakértői függetlenség, a kirendeléssel érintett eljárás egyéb szereplőinek érdeke, illetve a megismerni kívánt adatokon fennálló egyéb érintetti jogok (helyesbítés, törlés) kizártsága miatt a hozzáférési jog ezen adatokra nem gyakorolható. Az érintett az általa megadott adatokon és az elkészült szakvélemény tartalmán felül, a szakvéleményben fel nem tüntetett, a szakértő szakmai munkája során keletkezett mutatók, jelölések, egyéb szakanyagok megismerésére nem jogosult, így ezen adatok másolatának kiadását a Hatóság nem rendelte el.
Észrevételek, tanulságok:
A GDPR elveivel, eszmerendszerével és a hatályos hazai jogszabályokkal nem összeegyeztethető, hogy a jogszabályi előírásokat kijátszva a szakértői munka ellenőrzésére, akár a későbbi szakvélemény eredményének befolyásolása miatt nyújtja be az érintett a hozzáférési kérelmét.
3. Hozzáférés kiskorú pszichiátriai kezelésére vonatkozó egészségügyi adatokhoz (NAIH-1612/2020; előzmény: NAIH-103/2021)
Egy kiskorú gyermek pszichiátriai kezelésének teljes anyagát kívánta megismerni a gyermek törvényes képviselőjeként eljáró anya. Az egészségügyi szolgáltató a másolat kiadását megtagadta az egészségügyről szóló törvényre való hivatkozással, amely értelmében „a pszichiátriai beteg esetében kivételesen korlátozható a betegnek az egészségügyi dokumentáció megismeréséhez való joga, ha alapos okkal feltételezhető, hogy a beteg gyógyulását nagymértékben veszélyeztetné, vagy más személy személyiségi jogait sértené az egészségügyi dokumentáció megismerése”. A Hatóság az adatkezelőt arra kötelezte, hogy tételesen, a gyermekről kezelt minden dokumentum vonatkozásában vizsgálja meg, hogy fennállnak-e az adatok kiadásának feltételei.
Észrevételek, tanulságok az ügy kapcsán:
Jogszabályban biztosított felhatalmazás alkalmazása a hozzáférési jog teljesítésének megtagadása során nem lehet parttalan, nem ad lehetőséget a jogkorlátozás részletes vizsgálat nélküli elrendelésére a teljes dokumentációra vonatkozóan. Az adatkezelőnek nincs jogosultsága arra, hogy a kérelmező/érintett hozzáférési jogát általánosságban úgy korlátozza, hogy annak indokoltságát részletesen nem vizsgálja.
4. Érintetti telefonszámok kezelése a koronavírus-járvánnyal kapcsolatos tájékoztató kampány során (NAIH-1366-1/2022.; előzmény: NAIH/2020/3082.)
Több, mint száz panasz érkezett a Hatósághoz, amelyben a Jobbik Magyarországért Mozgalomnak a koronavírus járvánnyal kapcsolatos telefonos tájékoztató kampánya adatkezelési gyakorlatát kifogásolták. A panaszosok szerint a telefonhívások olyan telefonszámra érkeztek, amelyekről korábban úgy nyilatkoztak, hogy nem kívánnak reklámcélú telefonos megkeresést fogadni. Ezen felül a hívás során nem kaptak tájékoztatást arról, hogy milyen célból kezelik a személyes adataikat, valamint, hogy milyen forrásból jutottak hozzá azokhoz. A Hatóság a vizsgálati eljárása során megállapította többek között, hogy a nyilvános telefonszámok vonatkozásában elfogadhatónak tartja a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogalapot, ezzel szemben azon telefonszámok vonatkozásában, amelyeknél az érintettek nem járultak hozzá a közvetlen üzletszerzés, tájékoztatás, közvélemény- vagy piackutatás céljából történő megkereséshez, illetve nyilatkozat útján kifejezetten tiltakoztak az ellen, a Jobbik nem rendelkezett jogalappal, ezért ezen adatkezelés tekintetében megsértette a GDPR 6. cikkét. Ennek megfelelően a Hatóság felszólította a Jobbikot, hogy a jövőben többek között ne gyűjtsön olyan telefonszámokat, melyek esetében az előfizető úgy nyilatkozott, hogy nem kíván közvetlen üzletszerzés, közvélemény- vagy piackutatás, tájékoztatás, valamint a gazdasági reklámtevékenység céljából kapcsolatfelvételt fogadni. Mivel a Jobbik teljesítette a Hatóság felszólításában foglaltakat, a NAIH nem indította meg hatósági eljárást, a felszólítását viszont közzétette honlapján.
Észrevételek, tanulságok:
Minden egyes adatkezelés vonatkozásában külön szükséges a megfelelő jogalap meghatározása, az egyes adatkezelések összevonása és egyként való kezelése egy adatkezelési jogalapra való hivatkozással nem elfogadható gyakorlat. Ezen kívül az érintett kifejezett és önkéntes hozzájárulását minden esetben jogszerűen be kell szereznie az adatkezelőnek, amely esetekben egyéb jogalap nem alkalmazható és elfogadható az adatkezelés körülményeire tekintettel.
Amennyiben adatvédelmi ügyvéd, adatvédelmi jogász segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Web: dmp.hu
Telefon: +36 30 648 5521
E-mail: [email protected]