Az Adózóna cikkében dr. Kéri Ádám ügyvéd bemutatta a
bírsághoz vezető döntés lényegét, amely minden
ügyfélkapcsolatokat kezelő számára tanulságos.
A 2020. december 18-án benyújtott panasz szerint a szolgáltató
2020. november 13-án kéretlen elektronikus levelet küldött a
panaszos e-mail-fiókjába, mivel feltehetően egy harmadik személy
tévesen adta meg a saját e-mail-címét. Gmail-fiók esetén ilyen
tévedéshez elegendő az is, hogy az érintett a @jel előtti
e-mail-címnél rossz helyre teszi a pontot, mivel a
gmail-szolgáltatás azonosnak tekint minden, a @jel előtti ponttal
elválasztott változatot. Emiatt a panaszos az ügyfélszolgálathoz
fordult, hogy töröljék az e-mail-címét, megjelölve, hogy nem
kért marketingcélú hírlevelet, és nem is a szolgáltató
ügyfele.
Ezt követően a panaszos még számos alkalommal kapott hírlevelet,
illetve kapott egy-egy leiratkozási linket is, amely az ügyfélfiókon
keresztül tette volna lehetővé a leiratkozást. Jelezte, hogy nem
leiratkozni akar, hanem töröltetni az e-mail-címét, illetve nem
rendelkezik ügyfélfiókkal, így le sem tud iratkozni. A
szolgáltató a hatóság megkeresésére az e-mail-címet törölte.
Indokolásul előadta, hogy egyik ügyfelük tévesen adta meg a
saját elérhetőségét. Ezen túlmenően ügyintézőjük nem
ismerte fel a probléma lényegét, ezt azonban a belső szabályozás
módosításával orvosolják. A gmail-fiókokkal kapcsolatos
problémáról akként nyilatkozott, hogy az előtte is ismert, erre
tekintettel kezelik az ilyen e-mail-címeket.
A felügyeleti szerv kiemelte, hogy az adatok pontosságának
ellenőrzése az adatkezelő és nem az ügyfelek kötelezettsége.
Hiába hivatkozik tehát az adatkezelő arra, hogy az ügyfél a
saját e-mail-címét, tajszámát, lakcímét stb. tévesen adta
meg, ezt ugyanis le kell ellenőriznie. Az adatpontosság elve
ugyanis az adatkezelőt kötelezi. Bizonyos személyes adatokat az
okmányok megtekintésével, míg az elektronikus kapcsolati adatokat
visszaigazoló e-mail küldésével tudja ellenőrizni. Ha ezen
lépéseket a szolgáltató elmulasztja megtenni, adatvédelmi
jogsértést követ el. A beépített adatvédelem, illetve az
integritás, bizalmi jelleg, valamint a kockázatarányos védelem
elvei alapján az adatkezelőnek továbbá belső eljárásrendjében
is kezelnie szükséges az olyan ismert eseteket, mint például a
gmail-fiókok ismert és fent részletezett problémája.
A felügyeleti szerv kiemelte azt is, hogy az adatkezeléshez a
szolgáltató jogalappal nem rendelkezett, annak jogalapja a
hozzájárulás lett volna. Ebből az is következik, hogy a panaszos
kérelmére az adatkezelést meg kellett volna szüntetni, az
adatokat pedig törölni kellett volna. Ezt a szolgáltató kizárólag
a hatóság kérésére tette meg.
További problémaként értékelte, hogy a szolgáltató
sablonszöveggel válaszolt a panaszosnak, mely lehetetlenné teszi,
hogy az egyedi panaszt ténylegesen kivizsgálják. Ez egyben az
érintetti jogok elősegítésének akadályozását is jelenti.
Jelen esetben is észre kellett volna venni, hogy a panasz nem
leiratkozási kérelem, és ennek megfelelően kellett volna kezelni.
Ilyen esetben a hatóság bekéri a szolgáltató eljárásrendjét
is, és azt a 2016/679. számú általános adatvédelmi rendelet
(GDPR) tükrében ellenőrzi.
Jellemző, hogy a pénzintézetek a hazai piacon a személyi kölcsön
nyújtására irányuló ajánlataikat az ügyfeleik között sms-ek
küldésével népszerűsítik. Problémát jelent ugyanakkor az,
hogy ezek az sms-ek automatizáltak, így az ügyfél le sem tudja
mondani az üzenetküldést. A fenti jogeset is rámutat arra, hogy
az ügyfél számára nem teremthető olyan helyzet, amelyben az
adatkezelés megszüntetése számára terhesebb feltételekkel
történik, mint maga az adatkezeléshez adott hozzájárulás (ha
egyáltalán ilyen hozzájárulás létezik). Ezt pedig a NAIH előtt
feltehetően alappal lehetne sérelmezni.
