Az adatvédelmi bírság egyre gyakoribb probléma
30 milliós bírságot szabott ki a HAIH egy szépségszalonra
Az eredeti hírt itt találja.
Az egyik közelmúltban közzétett határozatok közül az egyiket egy budapesti szépségszalon adatvédelmi megfelelőségének vizsgálata tárgyában hozta a Nemzeti Adatvédelmi és Információszabadság Hatóság. Ebben az ügyben a Hatóság szokatlanul magas összeget, mindösszesen 30.000.000.- Ft. összegű bírságot szabott ki, továbbá megtiltotta a kamerás adatkezelés a szalon bizonyos helyiségeiben, valamint több megállapítást tett a GDPR megsértésével kapcsolatban és több ízben felszólította a Társaságot a jogellenes helyzetek megszüntetésére.
Mi áll ennek az ügynek a hátterében?
A GDPR – a Hatóság határozatában is idézett – 5. cikk (1) bekezdése szerint a személyes adatok kezelésének alapelvei:
a) jogszerűség, tisztességes eljárás és átláthatóság;
b) célhoz kötöttség;
c) adattakarékosság;
d) pontosság;
e) korlátozott tárolhatóság;
f) integritás és bizalmas jelleg.
A (2) bekezdés szerint az adatkezelő felelős az (1) bekezdésnek való megfelelésért, továbbá képesnek
kell lennie e megfelelés igazolására („elszámoltathatóság”)
A tárgybani esetben több bejelentés is érkezett a Társasággal szemben, míg A Hatóság még 2021-ben hatósági ellenőrzést indított és másnap helyszíni ellenőrzést is tartott a Társaság székhelyén található szépségközpontban. A helyszíni ellenőrzés során tapasztalak alapján hivatalbeli eljárás megindítását határozta el. Fontos megjegyezni, hogy a Társaság ebben a vizsgálati szakaszban nem tett eleget együttműködési kötelezettségének, elmulasztotta a határidőben történő válaszadást, így sor került első körben 600.000.- Ft., majd további 500.000.- Ft. összegű eljárási bírság kiszabására is.
Az egyik vizsgált téma a kamerás adatkezelés volt. A Társaság összesen 32, képet és emellett hangot egyaránt rögzítő kamerát üzemeltetett a helyszínen, ami rendkívül magasnak számít a kamerák számát illetően főleg a Társaság tevékenysége és annak fényében, hogy a Társaság az eljárás kezdetkor nem rendelkezett erre vonatkozó írásos adatkezelési tájékoztatóval. A hangrögzítés önmagában a magánszféra súlyosabb sérelmével jár, valamint a képrögzítéstől eltérő célú adatkezelésnek minősül. Ráadásul a kamerafelvételeket rögzítő számítógépekhez szinte bárki hozzáférhetett a dolgozók közül. A kamerák olyan helyiségekben is megtalálhatóak voltak, mint a kezelőhelyiségek, ahol a vendégek intim élethelyzetekben voltak láthatóak, vagy a munkavállalók pihenéséül szolgáló helyiségek. A Hatóság álláspontja szerint az integritás és bizalmas jelleg elvéből fakadóan a Társaságnak megfelelő technikai és szervezési intézkedéseket kellett volna hoznia az adatbiztonság érdekében, továbbá a megfelelő dokumentáció hiányában az adatkezelés nem felelt meg az átláthatóság követelményének sem.
A másik téma a vendégekről készített adatbázis kezelése. Kérdésként merült fel a Hatóság részéről, hogy kerülhettek a Társaság megalakulását megelőző időszakból keletkező ügyfél rögzítések, valamint a Társaság nagy számban végzett úgy egészségügyi (különleges adatokra vonatkozó) adatkezelést, hogy arra vonatkozóan nem rendelkezett hozzájárulással, vagy egyéb megfelelő jogalappal. Ilyen esetekre akkor került pl. sor, amikor egy vendég lemondta az előzetesen egyeztetett időpontját és ekkor a vendégek által előadott egészségügyi indokok kerültek részletesen rögzítésre (pl. „terhes”). Itt külön kiemeli a határozat az ún. „Ügyfélajánlási rendszert”, azaz az olyan eseteket, amikor a meglevő vendégek ajánlottak új ügyfeleket a Társaság számára, aki úgy kereste meg ezen személyeket, hogy szintén nem rendelkezett erre megfelelő jogalappal. A Társaság adatbázisában nem volt nyomonkövethető, hogy a vendégek mely személyes adatai kerültek szerződéses célokra kezelésre, így a Társaság megsértette a célhoz kötött adatkezelés elvét is, továbbá nem volt igazolható sem az adatkezelések jogszerűségéhez szükséges előzetes tájékoztatás megadása a Társaság részéről.
A marketing célú megkeresésekkel kapcsolatban a Hatóság bekérte a Társaság levelezőrendszer szolgáltatójától a Társaság által küldött leveleket, amikor a Társaság arra hivatkozott, hogy a levelező szolgáltatót váltott és nem tudja elérni a korábbi leveleit, amikben a személyek hozzájárultak adataik kezeléséhez. Jól látható, hogy a NAIH mennyire alaposan járt el a tényállás felderítése ügyében. Számos esetben hiányolta a Hatóság a marketing célú hozzájárulást, valamint az erről szóló tájékoztatást a Társaság részéről.
A Hatóság határozatában megtiltotta a kamerás adatkezelést a
kezelőkben, valamint a diagnosztikai és vizsgálati szobákban, továbbá utasította a Társaságot,
hogy dokumentált módon törölje az ezen helyiségekben készült videofelvételeket. A Hatóság utasította a Társaságot arra a kamerás adatkezelésével kapcsolatban, hogy tegye meg a megfelelő technikai és szervezeti intézkedéseket annak érdekében, hogy az adatkezelési műveletei összhangban legyenek a jogszabályi rendelkezésekkel. Hatóság megtiltotta továbbá az előjegyzésekkel összefüggésben a vendégek egészségügyi adatainak kezelését és utasította a Társaságot, hogy fejezze be az adatbázisában az előjegyzésekhez fűzött megjegyzések során az egészségügyi adatok
rögzítését, továbbá arra, hogy törölje az előjegyzésekhez fűzött megjegyzések közül az
érintettek egészségügyi személyes adatait. A Hatóság a marketing célú adatkezeléssel kapcsolatban felszólította a Társaságot, hogy szüntesse meg a jogellenes adatkezelést és az adatkezelési
műveletet hozza összhangba a jogszabályi rendelkezésekkel azáltal, hogy igazolja a vendégek
adatainak marketing célú adatkezelésének jogalapját, valamint arra utasította a Társaságot,
hogy törölje az ügyfélajánlás útján kezelt személyes adatokat az adatbázisából.
A magasnak számító bírság összegénél a Hatóság súlyosbító tényezőket is figyelembe vett, mint pl. súlyosabb jogsértésekről volt szó ebben az esetben, ezek a jogsértések éveken keresztül fennálltak, különleges adatok kezelését érintő jogsértés, továbbá a magas érintetti esetszám miatt (a Társaság 7.789 vendégen végzett kozmetikai kezeléseket, továbbá az adatbázis állományaiban 357.157 érintetthez köthetően 2.218.913 bejegyzés, továbbá 2.218.913 db kommunikációs rekord volt található) került sor a bírság összegének ilyen mértékű megállapítására. Ezen felül a magas érintetti esetszám indokolta a Hatóság határozatának Társaság adataival történő közzétételét is. A Hatóság a feltárt tényállás alapján a tisztességtelen piaci magatartásról szóló törvény rendelkezései megsértése miatt továbbította az iratokat a Gazdasági Versenyhivatal részére is.
A fentiek alapján jól látható, miért van szükség – az ügyfelekre és a munkavállalókra egyaránt kiterjedő részletes adatkezelési tájékoztatóra a szolgáltatói tevékenységet végző Társaságok esetében.
dr. Balassa Ágnes Zsófia
