60 milliós GDPR-bírság a UPC-nek

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) minapi döntésében 60 millió forint adatvédelmi bírságot szabott ki a UPC Magyarország Kft.-re a személyes ügyfélszolgálatain történő hangrögzítési gyakorlatának jogellenessége miatt.

Írta: IT café
Forrás: adozona.hu
2021-02-17 16:54

Az ügy különösen érdekes részletei miatt dr. Kéri Ádám ügyvéd az adozona.hu-n ismertette a történtek legfontosabb pontjait, az alábbiakban ezt közöljük.

Mint Kéri Ádám írja, az eset hátterében egy bejelentés állt, amelyben a bejelentő azt sérelmezte, hogy a UPC tatabányai ügyfélszolgálati irodájában hangfelvétel készül az ügyintézés során, azonban az érintettek arról nem kapnak (megfelelő) tájékoztatást.

A bejelentő véletlenül vette észre, hogy a mikrofon üzembe van helyezve. Amikor rákérdezett, hogy történik-e hangrögzítés, az ügyintéző igenlő választ adott, továbbá tájékoztatta arról, hogy a hangrögzítésről a számhúzó rendszer kijelzőjén már tájékoztatták az ügyfeleket. A bejelentő szerint azonban ez nem kellően figyelemfelhívó, illetve nem mindig történik sorszámhúzás az ügyintézéssel összefüggésben.

Az eljárás során a UPC előadta, hogy a tulajdonában mintegy 24 üzlet állt, melyekben havonta nagyságrendileg 50 ezer ügyfelet szolgált ki. A hangfelvétel-készítés célja az volt, hogy rögzítsék a leendő ügyfelek érdeklődését és a panaszbejelentéseket, illetve hogy az adatkezelésre vonatkozó nyilatkozatok rekonstruálhatóak legyenek. További célként hivatkozott a szerződések megkötésére vonatkozó folyamatok biztosíthatóságára, a későbbi vitás helyzetek bizonyíthatóságára, illetve arra, hogy teljesíteni lehessen a „hibajavítási és egyéb jogszabályban meghatározott” kötelezettségeket.

Elmondják, hogy az adatkezelés a GDPR 6. cikk (1) bekezdés f) pontjában nevesített jogos érdek jogalapon történt. A konkrét jogos érdek elsősorban a UPC gazdasági érdekeinek védelme (beleértve a minőségbiztosítást is), visszaélések megelőzése, illetve ezekhez kapcsolódóan az érintett fogyasztó jogainak, polgári jogi igényeinek az érvényesíthetősége.

Garanciaként hivatkoztak az 5 éves megőrzési határidőre, a személyes adatokhoz hozzáférők szűk körére, az érintetti jogok gyakorolhatóságára, valamint az adattovábbítás hiányára.

NAIH: nem állnak fenn a jogos érdek alapú adatkezelés feltételei

A felügyeleti hatóság a jogos érdek alapú adatkezeléssel összefüggésben kijelentette, hogy annak érvényességéhez megfelelő tartalmú érdekmérlegelés szükséges. Az érdekmérlegelésnek ügytípusonként, azaz érdekenként és célonként szükség esetén el kell különülnie. Az érdekmérlegelés részeként be kell mutatni az adatkezelő vagy más jogos érdekét, az érintett ellentétes jogait és érdekeit, ezeket össze kell vetni, és be kell mutatni az adatkezeléshez fűződő érdek elsődlegességét.

A hatóság az érdekmérlegelési teszttel kapcsolatban megállapította, hogy nem elfogadható, hogy a UPC az ügyfelek, leendő ügyfelek (azaz az érintettek) ellenérdekének vizsgálata során csupán annyit jegyzett meg, hogy „az adatkezelés érinti a természetes személyek jogait”, és nem is vizsgálta, hogy az érintettek konkrétan mely jogait korlátozza az adatkezelés, valamint, hogy a korlátozás milyen mértékű és jár-e kockázattal.

Azt sem vizsgálta ezzel összefüggésben, hogy amennyiben kockázattal jár, milyen kockázatot jelent az érintettek részére, tehát a UPC az egymással szemben álló érdekek és a korlátozás jogszerűségének mérlegelését nem végezte el.

Nem lehet tehát az érdekmérlegelésből megtudni, hogy az adatkezelői érdekek miért előznék meg az érintettek érdekeit, az ő vagy harmadik személyek érdekeivel szemben az egyes érintettek privátszférájának korlátozása miért lenne arányos, így tehát semmi nem utal arra, hogy az érdekek mérlegelését valóban elvégezte.

A hatóság nem tartotta megfelelőnek – az érdekmérlegelési tesztben említett – az érintettek jogainak biztosítása érdekében beépített garanciákat sem. Az 5 éves elévülési idő ugyanis a hatóság szerint nem garancia, ráadásul nem is minden esetben felel meg a valóságnak.

Az sem garancia, hogy 30 fő fér hozzá az adatokhoz, különösképpen, mivel a hozzáférési jogosultságok vonatkozásában szabályozás sem létezett.

A sorszámhúzó tájékoztatójában elhelyezett, tiltakozási jogra felhívó figyelmeztetés hasonlóképpen nem elegendő garanciális elem, mivel nem megfelelő formában alkalmazta az adatkezelő.

Pontatlan célok, szükségtelen adatok jellemezték az adatkezelést

A hatóság elismerte, hogy az adatkezeléseknek célja volt. A UPC nyilatkozataiban, illetve dokumentumaiban ugyanakkor nem határozta meg kellően egyértelműen, hogy milyen célból is készít hangfelvételeket a személyes ügyfélszolgálaton valamennyi ügyintézésről, hanem felsorolta az összes célt, érdeket, szempontot és körülményt, az adatkezelés által elérhető pozitív hatást, amely alátámaszthatja, hogy az általa végzett hangrögzítés jogszerű.

A UPC által felsorolt „célok” egy része azonban túlzottan általános, nem konkrét és egyértelmű (nyilatkozatok rögzítése), más része pedig nem adatkezelési cél, hanem adatkezelési jogalap (jogszabályban meghatározott kötelezettség teljesítése).

A hatóság továbbá nem tartotta jogszerű célnak azt, hogy a UPC hangfelvételen rögzíti a nem ügyfél érintettek „érdeklődéseit”, ugyanis nem merült fel olyan körülmény, amely érvényesülése érdekében szükség lett volna arra, hogy egy szerződés vagy más nyilatkozat megkötését megelőző szóbeli beszélgetés, illetve bármilyen szolgáltatás iránti szóbeli érdeklődés rögzítve legyen.

A hatóság szerint a szolgáltató szükségtelen adatokat is rögzített, hiszen a hangrögzítés onnantól indult, amikor az ügyfél megérkezett az ablakhoz, és odáig tartott, amikor elköszönt. Ez pedig jóval több személyes adat kezelését jelenti, mint egy nyomtatvány kitöltése vagy szerződés aláírása. Abból pedig, hogy az adatkezelő a tiltakozásnak minden esetben helyt ad és az adott személyes adatot törli, azt vonta le következtetésként, hogy az adatkezelés ténylegesen nem is volt szükséges. Végezetül azt is megjegyezte, hogy a hangrögzítés alternatívája a papír alapú ügyintézés.

A tájékoztatás sem volt megfelelő

A hatóság részben megfelelőnek tartotta az adatkezelő azon gyakorlatát, hogy a sorszámhúzásnál már adatkezelési figyelmeztetést is elhelyezett. Ennek megfelelőségét azonban a figyelemfelhívó jelleg hiánya okán kifogásolta.

Megtévesztőnek tartotta továbbá, hogy az ügyfeleket hozzájárulásuk megtagadhatóságára figyelmeztette, holott az adatkezelés jogalapja nem az ügyfelek hozzájárulása volt.

Nem tartotta megfelelőnek továbbá az adatkezelő tájékoztatóit, melyekből nem derült ki világosan, hogy a személyes ügyintézésről minden esetben hangfelvétel készül, nem voltak teljes körűek az adatkezelés céljai, valamint az adatkezelés időtartamának meghatározása sem volt pontos.

Hozzászólások (3)

Azóta történt

Magyarország az élmezőnyben van a GDPR-bírságolásban

A szakértők szerint újabb mérföldkőhöz érkeztünk a GDPR-ban, és az érintettek számára szükséges lehet a felülvizsgálat.

Mérleg 2021-04-30 1
Tízből csak egy magyar weboldal felel meg a GDPR-nak

A magyar weboldalak alig több mint 10%-a ment át egy adatvédelmi gyorsteszten.

Mérleg 2021-05-21 25
Hétszeresére nőtt a GDPR-bírságok mértéke

A DLA Piper 2022-es globális GDPR and Data Breach riportja Magyarország mellett még további 30 országra terjed ki, és átfogó képet ad a legfontosabb végrehajtási trendekről.

Mérleg 2022-01-27 7

Előzmények

Újabb durva bírság a GDPR megsértéséért

Norvégia ugyan nem uniós tagállam, de az általános adatvédelmi rendelet előírásait ebben az országban is alkalmazzák.

Közösségi média 2021-01-26 23
Meredeken nő a GDPR-büntetések mennyisége és nagysága

Ugyanakkor még mindig nagyon óvatosan alkalmazzák a jogszabályokat - de lehet, hogy ennek hamarosan vége.

Mérleg 2021-01-19 11
Brutális GDPR-bírságot szabtak ki

A német adatvédelmi biztos szerint súlyos törvénysértés történt, a megbüntetett vállalkozás vitatja ezt, és fellebbezni fognak.

Mérleg 2021-01-18 86
Súlyos adatvédelmi bírságot kapott a DIGI

Bár a vállalat teljes mértékben törvényesen és hatékonyan kezelte az incidenst, a hatóság szerint a mulasztások nem maradhatnak büntetlenül.

Biztonság 2020-06-15 110

Hirdetés

Felesleges óvatosság a vírusvédelem?

PR Gyakran hallani ismerősöktől, fórumokban, hogy nem kell vírusvédelem, maximum a beépített, ingyenes. Sőt, szakcikkekben is sokszor lehet találkozni olyan állításokkal, hogy manapság már felesleges dolog az antivírus, kár erre költeni.