Először fordult elő, hogy az uniós adatvédelmi rendelet miatt egy költségvetési szervet, nevezetesen a kecskeméti önkormányzatot. Az ok meglehetősen prózai: jogellenesen közöltek személyes adatokat harmadik féllel - írja blogbejegyzésében a Crosssec Solutions.
A részletekbe belemenve az látható a határozatban, hogy azért fordult a NAIH-hoz az érintett, mert miután közérdekű bejelentést tett egy, az önkormányzat által alapított és felügyelt intézményre, oda úgy juttatták el a dokumentumot a helyhatóságtól, hogy abban nem anonimizálták a bejelentő adatait.
Ezáltal a bejelentő munkáltatója egyértelműen be tudta őt azonosítani, aminek következtében közalkalmazotti jogviszonyát rendkívüli felmentéssel megszüntette. Az okot nem is titkolta, egyik indokként ugyanis éppen az érintett által tett közérdekű bejelentést jelölte meg.
A bejelentő végül a NAIH-hoz fordult, amely megállapította, hogy az önkormányzat az adatközléssel megsértette a GDPR 5. cikk (1) bekezdésének a) pontját, valamint a 6. cikkét, ezért pedig egymillió forintos bírságot szabott ki a kecskeméti önkormányzatra.
Egy telefonszám tárolásának rejtélyei
A másik ügy során az érintett egy gépkocsi beszerzésének finanszírozására kölcsönszerződést kötött egy pénzintézettel, majd közölte velük, hogy megváltozott a lakcíme, valamint kérte, hogy a nyilvántartott személyes adatai közül a telefonszámot töröljék.
A pénzintézet válaszul azt közölte, hogy a lakcímadatot csak akkor tudja módosítani, ha a kérelmező megküldi számára a lakcímkártyájának másolatát, valamint közölte azt is, hogy a telefonszámot nem törli a nyilvántartásból, mert annak kezelésére az általa elvégzett érdekmérlegelést követően lejárt tartozás telefonos megkeresés útján történő érvényesítése érdekében és céljából jogos érdeke van.
Miután megtagadta az adat törlését, a NAIH két dolgot vizsgált: bár az előírások szerint az adatkezelő nem köteles törölni az adatokat, ha másik jogalapja van az adatkezelésre, a hatóság álláspontja szerint ebben az esetben a jogos érdek jogalap megállapításához készített érdekmérlegelés több okból sem felel meg az általános adatvédelmi rendelet követelményeinek. Például a követeléskezelés nem jogi eljárás, hanem egy olyan a végrehajtást megelőző "eljárás", mely a felek kölcsönös együttműködését és konszenzusát kívánja elősegíteni, így nem elfogadható a pénzintézet indoklása.
A NAIH szerint az ugyanakkor nem kifogásolható, hogy a lakcímadat módosításához a Kötelezett az adat megváltozásának igazolását kéri, mert azt a GDPR kifejezetten nem tiltja, a pontosság elve és a Pmt. 12. paragrafus miatt pedig észszerű intézkedésnek is tekinthető - olvasható a Crosssec Solutions blogbejegyzésében.
Mindezek miatt a hatóság végül 1 millió forintnyi bírságot szabott ki.