Ebben az esetben az egyik bank sms üzeneteket küldött hitelkártya tartozásról egy olyan személynek, aki nem volt a bank ügyfele. Az sms-eket fogadó személy ezért kapcsolatba lépett a bankkal és kérte, hogy a bank azonnal törölje a telefonszámát.
A bank ezt megtagadta, mert álláspontja szerint ezt a számot a szerződéskötéskor az ügyfele adta meg, ezért csak az ügyfele módosíthatja a telefonszámot. Bár a bank küldött leveleket is az ügyfelének, de ezekre választ nem kapott. A Hatóság szerint a levél kiküldése szép dolog, de nem elegendő. Ugyanakkor egyetértett a bankkal abban, hogy nincs törlési kötelezettsége, ha azt egy harmadik fél kezdeményezi. Viszont köteles lett volna korlátozni ezt az adatot a helyzet tisztázásáig.
A Hatóság úgy döntött, hogy az ügy kezelésénél a bank nem kötelezhet egy harmadik személyt, azaz a panaszost arra, hogy mutassa be a mobiltelefon szolgáltatásra előfizetői szerződését azért, hogy a telefonszáma törlésre kerüljön, hanem csak tájékoztathatja, hogy ha ezt megteszi, az segíthet az ügy megoldásában.
Végül, amint az érdemi vizsgálat lezárult, azaz a telefonszám pontatlansága egyértelműen megállapításra került, a banknak törölnie kellett volna ezt az adatot. Mivel ebben az esetben a bank nem tett eleget az érintett törlésre vonatkozó kérésének, nem korlátozta az adatkezelést és továbbra is küldött sms-eket a nem megfelelő telefonszámra, a NAIH 500.000 Ft bírságot szabott ki.
Tanulságok:
Ezúttal nem okoskodok tanulságokkal, mert a bank igazán jól próbálkozott és a NAIH eljárása, döntése kiszámíthatatlan volt. Ezt - mármint a bank szakszerű adatvédelmi kezelését - a határozatában a hatóság is itt-ott elismeri. Szóval ez egy tanulópénz volt mindenkinek. Érdekessége az ügynek, hogy a NAIH "enyhítő körülmény"-t is felhoz, ami jó jel. A banknak egyébként 500.000 nem sok...
Akit érdekel, itt vanak a NAIH részletes indokai:
- A jogsértés jellege körében értékelte azt, hogy az alapelv sérelme történt, továbbá a Kötelezett nem segítette elő az érintetti jogok gyakorlását.
- Súlyos jogsértésként értékelte a Hatóság, hogy a Kötelezett nem intézkedett az adatkezelés korlátozása iránt az adatok pontossága vizsgálatának idejére.
- A Kérelmező többszöri panasza ellenére sem segítette elő az adatok pontosságára vonatkozó alapelv érvényesülését, nem korlátozta az adatkezelést, ezért a jogellenes adatkezelés huzamosabb ideig fennállt.
- A jogsértés súlya tekintetében enyhítő körülményként értékelte a Hatóság azt, hogy a Kötelezett ügyfelének adatváltozás bejelentési kötelezettségének elmulasztása is közrehatott a Kötelezett jogellenes adatkezelésében, mely ugyan a Kötelezettnek nem ad felmentést a saját kötelezettségei teljesítése alól, de részben csökkenti az ezzel kapcsolatos felelősségét.
- Enyhítő körülményként került értékelésre az is, hogy a Kötelezett elmarasztalására az általános adatvédelmi rendelet megsértése miatt még nem került sor, továbbá a Kötelezett a jogsértés feltárása során együttműködő magatartást tanúsított.
Fentiekre figyelemmel a kiszabott adatvédelmi bírság jelképes összegű és nem közelíti meg a kiszabható bírság maximumát.