Az első esetben 500 ezer forint adatvédelmi bírságot szabott ki a NAIH, mégpedig azért, mert egy hatósághoz forduló azt kifogásolta, hogy szöveges üzeneteket kapott a telefonszámára egy olyan hitelkártya tartozással kapcsolatban, amely hozzá nem köthető, hiszen nem ügyfele az adatkezelőnek, azaz a pénzintézetnek - írja blogbejegyzésében a Crosssec Solutions.
A bizonyos sms-ek még augusztusban érkeztek meg a panaszoshoz, aki ezután kérte a pénzintézetet, hogy a telefonszámára ne érkezzen több üzenet, és vizsgálják ki az ügyet. Ezt megtették, szeptember elején így arról tájékoztatták a panaszost, hogy a szükséges lépéseket megtették, ám októberben újabb üzenet érkezett.
Ez már sok volt az érintettnek, aki a NAIH-hoz fordult. A bank védekezése szerint adatpontosító levéllel kereste meg azt az ügyfelét (postai levél útján), akinél a kérelmező telefonszáma volt megadva a banki rendszerben, azonban az ügyfél többszöri felhívás ellenére sem vette fel a kapcsolatot a velük.
Az adatkezelő éppen ezért nem törölte a telefonszámot, mondván az a szolgáltatásnyújtáshoz kapcsolódóan kezelt adat - mely egyben banktitkot képez -, így annak módosítására vagy törlésére csak az adat gazdája jogosult.
A hatóság most úgy döntött, hogy az eljárás tárgyát képző telefonszám adat a kérelmező személyes adatának minősül, így annak tárolása és felhasználása adatkezelés. Márpedig a GDPR miatt az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést.
A hatóság álláspontja szerint a bank az ügyfelnek küldött levele "megfelelő" volt, ám "nem elegendő" intézkedés. A NAIH szerint - észszerű intézkedést hozva - az adatkezelőnek átmenetileg korlátoznia kell a pontatlan adat kezelését, amit a bank elmulasztott.
A hatóság szerint amikor kétségessé vált, hogy jó telefonszámra küldik-e az üzenetet, a banknak az adatpontosság ellenőrzéséig nem szabadott volna üzenetet küldenie.
Egy tartozás is tud galibát okozni
A másik ügyben egy NAIH-hoz forduló sértett elmondta, hogy a bank engedményezett egy vele szemben fennálló 2011-ben lejárt követelést, és 2018. július 16-án felszólította ennek teljesítésére. A levél kézhezvételét követően az érintett felvette a kapcsolatot az adatkezelővel annak érdekében, hogy tisztázzák az ügyet, mert nem tartotta jogosnak a követelést.
Mindezt emailen tette, melyben azt is kérte, hogy bocsássák rendelkezésére azokat a dokumentumokat, amelyekre a követelésüket alapozzák, illetve tájékoztatást kért a pénzintézet által kezelt személyes adatairól is - olvasható a Crosssec Solutions másik blogbejegyzésében.
A bank ekkor azt kérte, hogy a levélküldő természetes személyazonosító adataival (név, születési idő és hely, anyja neve) azonosítsa magát, hogy eleget tudjon tenni a kérelemnek. Ezt azonban az érintett nem fogadta el, mondván a neve és az ügyszám elegendő az azonosításhoz. Ezután újabb email ment, melyben a dokumentumok postai kézbesítését és az email cím törlését kérte a NAIH-hoz forduló panaszos.
A bank ugyancsak emailben válaszolt, hogy mivel az azonosítás nem volt sikeres, ezért lezárja az ügyet. Az érintett ügyfél ezután postai úton is kérte személyes adatainak törlését. Újabb postai levél volt a válasz, mely szerint a követelést visszavásárolták, a kérelmező személyes adatai törlése iránt intézkednek, de a személyes adatai továbbra is fellelhetők az informatikai rendszerről készített biztonsági másolatokban. A panaszos ezzel nem értett egyet, személyes adatai azonnali törlését kérte, kifogásolta továbbá, hogy az adatkezelő nem tájékoztatta a biztonsági mentések felhasználásáról, annak őrzési idejéről, valamint, hogy az e-mailben történő azonosítás során valamennyi természetes személyazonosító adatának megadását kérte.
A kelleténél több adatot kértek be
A NAIH álláspontja szerint a személyazonosság igazolása és az azonosítás nem azonos fogalmak, ezért az azonosításhoz csak kivételes esetben szükséges mind a négy természetes személyazonosító adat megadása; a legtöbb esetben elegendő a név, és a további három adat közül az egyik, amennyiben az az ügyfél azonosításához feltétlenül szükséges.
A pénzintézet ennek ellenére úgy kérte be mind a négy személyazonosító adatot, hogy abból az egyikkel (születési dátum) a felszólítás idején nem is rendelkezett; így fennállt az adattakarékosság elvének sérülésének veszélye, hiszen olyan adatot kért be (és kezelt volna) azonosítás céljából, melyet nem tudott volna mivel összehasonlítani - olvasható a Crosssec Solutions blogbejegyzésében. Gond volt az is, hogy a bank nem közölte az ügyféllel, hogy panasza kivizsgálását postai levélben is kérheti, és az ilyen formában benyújtott kérelmét további természetes személyazonosító adatok megadásának hiányában is elbírálja, ha az tartalmazza a nevét, az ügyszámot és az aláírását.
A hatóság végül összesen 500 ezer forintnyi bírságot szabott ki ebben az esetben is.