Jelen bejegyzésemben több üggyel is foglalkozok. Mindegyik a folyamatok nem megfelelő megtervezéséhez kapcsolódik, és fontos tanulsága van az adatkezelők számára.
Az első ügy a NAIH-924-10/2021, mely 10.000.000 Ft bírsággal járt a Magyar Telekom Nyrt. számára. Ezen bírságot a hatóság azért szabta ki, mert egy magánszemély tévesen adta meg email címét hírlevél küldésre, így az egy másik magánszemélyhez tartozott. A valós tulajdonosa jelezte többször is a Magyar Telekom ügyfélszolgálatnak, hogy le kíván iratkozni, de akkor mindig egy olyan linket kapott a válaszban, ahol előfizetőként kellett volna bejelentkeznie, és azt követően tudja megváltoztatni a hírlevél fogadási beállítását. A probléma lényege az volt, hogy ő nem Magyar Telekom ügyfél, így nem tudott bejelentkezni erre a felületre, így a hírlevelek továbbra is jöttek. Ezt megunva fordult a hatósághoz, aki már sokadik hatósági eljárását indította meg kapcsolattartási témában a Magyar Telekomnál. A hatóság hibásnak értékelte az adatkezelői gyakorlatot, hogy csak, mint ügyfél tudja a hírlevél profilját módosítani több szempontból is.
- Elkerülhető lett volna a 10.000.000 Ft-os bírság, ha egy feliratkozó kapcsolati adatára, email vagy mobilszám, üzenetet küldünk a feliratkozás tényéről, és egy megerősítő választ kérünk, aminek a hiányában a feliratkozás megadott időn belül érvényét veszti.
- Hibás volt az a gyakorlat, hogy csak az ügyfélprofilon belül van lehetőség a hírlevél fogadás módosítására, hiszen van, hogy ügyfélprofillal nem rendelkező személyek kívánják módosítani azt. Egy hírlevélnek mindig része legyen egy olyan felület, ahol bárki ügyfélstátusztól függetlenül módosíthatja, hogy kér vagy nem kér hírlevelet.
- A hatóság úgy ítélte meg, hogy a sokadik ilyen ügyet követően sem módosította megfelelően eljárásrendjét az adatkezelő, hogy az ügyfélszolgálati kollégák érdemben segíteni tudjanak ilyen helyzetben.
Számunkra a tanulság, hogy a folyamatainkat úgy építsük fel, hogy ha bekérünk egy elérhetőséget az adatkezelés során, és lehetőségünk van rá, akkor alakítsunk ki ellenőrző mechanizmust. Például küldjön vissza az érintett egy sms-t, hogy rögzüljön a mobil száma, vagy kattintson az értesítő emailben szereplő linkre, hogy rögzüljön az email címe. Ami még ennél is fontosabb, hogy minden hírlevelünk, tömeges kéretlen kommunikációnk végén adjunk meg egy web helyet, vagy más elérhetőséget, ahol az adott érintett, mindenfajta különösebb nehezítés nélkül, az adott emailcím megadását követően leiratkozhat.
Ha valaki részletesebben át szeretné olvasni a hatóság döntését, az alábbi linken megteheti:
A másik hatósági ítélet, egy pénzintézet és egy volt ügyfele közötti ügy. A NAIH, úgy ítélte meg, hogy a pénzintézet kérelmére, üzleti titokként kezeli kilétét, az adott rendszerekkel együtt. Az eljárás során az érintett, kérelmező, azt kérte a hatóságtól, hogy a pénzintézet és a közte kötött deviza szerződés adatkezelésének jogellenességét állapítsa meg, mivel a szerződés megszűnését követő, jogszabályban előírt 8 éven túl is tárolta szerződését, adataival.
A hatóság végül is részben adott csak helyt az érintett panaszainak. Erre több indokot is adott.
- Az érintett szerződés adatkezelésének 2018 május 25.-i és azt követő időszakát vizsgálta, és a kérelemben szereplő megelőző időszakot nem, mivel a kérelem vonatkozásában, csak az azt követő időszakra tehet megállapításokat.
- Az érintett az általános adatvédelmi rendelet előtti infotörvény bekezdéseire is hivatkozik kérelmében, mely már nem volt a vizsgált időszakban hatályos, így az adott részét a kérelemnek elutasította.
- A hatóság megállapította, hogy a pénzintézet megsértette az általános adatvédelmi rendelet a szerződés 2018 május 25.-i és azt követő tárolásával, mivel addigra a jogszabályban előírt tárolási kötelezettségek már megszűntek.
- A hatóság ugyanakkor enyhítő körülménynek tekintette, hogy a pénzintézet, a hatósági eljárás során törölte a szerződést, és erről nyilatkozott a hatóság számára.
- A hatóság súlyosbító körülménynek értékelte, hogy a szerződéshez tartozó bizonyítottan beszkennelt aláírás karton megsemmisítéséről nem nyilatkozott a pénzintézet, ennek pótlására felszólította.
- A hatóság enyhítő körülménynek értékelte, hogy az érintett kérelmező a pénzintézet felé tömeges, 48 darab, beadványt nyújtott be, melynek nyomon követését és teljesítése, a pénzintézet számára nehézséget okozhatott.
A fenti körülmények figyelembevételével a hatóság nem szabott ki bírságot a pénzintézet számára.
Mit tanít számunkra, ez a hatósági határozat? Nagyon fontos a megőrzési idők utáni megsemmisítési folyamatok felépítése. Minden osztály, munkavállaló legyen tisztába vele, hogy az általa kezelt iratoknak mi a megőrzési ideje. Ezeket időrend szerint csoportosítva, automatizáljuk megsemmisítési folyamatainkat.
Fontos, hogy egy-egy időszak megsemmisítését követően, készüljön róla jegyzőkönyv, amit a GDPR dossziénkba tároljuk el.
Tisztában kell lenni a tárolási és megsemmisítési határidőkkel, már csak azért is, hogy ha egy kérelmező olyan információt kér tőlünk, amit már megsemmisítettünk, megfelelő választ tudjunk számára adni, és esetleg ne kapkodás kezdődjön, hogy hova tűntek az adatai.
Ha valaki részletesebben át szeretné olvasni a hatóság döntését, az alábbi linken megteheti:
A fenti két NAIH határozat is azt mutatja, hogy kritikus az adatkezelőnél a megfelelő folyamatok kialakítása, hogy a GDPR-hoz szükséges adatkezelési és adattörlési lépések automatikusan végrehajtódjanak. Ezen adatkezelési folyamatok áttekintésében segít Önnek a Beszerző Központ Kft.
Remélem segítettem bejegyzésemmel. Ha bármilyen kérdés felmerülne, örömmel állok rendelkezésre.
Földvári György
adatvédelmi szakértő
Jelen írás a szerző a véleményét tükrözi a dokumentum készítésekor, az adott időpontban, és nem tekinthető jogi állásfoglalásnak!