2017. október 24. napján hozott határozatot az OMV Hungária Ásványolaj Kft. (továbbiakban: Adatkezelő) adatkezelésével kapcsolatban indított ügyben a NAIH. A Hatóság az Adatkezelőt 18 millió forint bírság megfizetésére és meghatározott cselekmények végrehajtására kötelezte.
Azt gondolom, hogy az Adatkezelő viselkedése, illetve a NAIH erre adott válasza mindenki számára jó példaként szolgálhat arra nézve, hogy hogyan ne viselkedjen egy hatósági ellenőrzés során, ezért néhány mondatban összefoglalom a kedves Olvasónak az ügyet.
Az ügy
Az Adatkezelő üzemanyag nagykereskedelemmel és üzemanyagtöltő állomások franchise rendszerben történő üzemeltetésével foglalkozik. Jelenleg Magyarországon 130 franchise bérlővel áll szerződéses jogviszonyban, és összesen 164 franchise benzinkutat üzemeltet ezen szerződéses
jogviszonyokon keresztül.
A NAIH a vizsgálatot állampolgári panasz alapján indította. A panasz szerint az Adatkezelő franchise partnere által üzemeltetett töltőállomáson a kasszánál mikrofon került elhelyezésre, amelyet a töltőállomáson tartózkodó fizető ügyfelek és a munkavállalók hangjának rögzítésére használtak. A panaszos szerint a hangfelvétel rögzítéséről szóló tájékoztatást a kút üzemeltetői nem helyeztek el, a hangfelvételt erre irányuló kérése ellenére pedig nem adták neki ki. A hangrögzítéssel párhuzamosan képrögzítés is történt.
Megállapítások
A vizsgálat során a NAIH arra a megállapításra jutott, hogy az Adatkezelő a franchise partnerei számára “központilag” tette kötelezővé a hang-, illetve képrögzítést a kasszánál, így ezen körben az Adatkezelőt tekintette adatkezelőnek, a franchise partnereket, illetve a kamerarendszert üzemeltető társaságot pedig adatfeldolgozóknak.
A hang-, és képrögzítés alkalmazása kapcsán az Adatkezelő arra hivatkozott, hogy vagyonvédelmi okokból szükséges, mivel álláspontja szerint kizárólag a képi megfigyelés nem minősül elég hatékonynak a vagyonvédelem tekintetében. Előadta, hogy a rendvédelmi szervek többször kértek már tőle kép-, illetve hangfelvételt, mint bizonyítási eszközt, azonban ezen állításait igazolni nem tudta. A tárolási idővel kapcsolatban először előadta, hogy 30 napig őrzi a felvételeket. Később ezen állítását annyiban módosította, hogy 60 napban jelölte meg a tárolási időt, mivel álláspontja szerint az általa folytatott tevékenység a hitelintézeti törvény (Hpt.) szerinti pénzforgalmi szolgáltatási tevékenységnek minősül.
A hangrögzítés kapcsán a NAIH megállapította, hogy a megjelölt céllal, tehát a vagyonvédelemmel kapcsolatban a kezelése teljességgel szükségtelen és irreleváns, mivel az utólagos bizonyítást egyáltalán nem segíti elő, valamint a hang rögzítése túllép a minimálisan kezelhető adatok körén. Az Adatkezelő által megjelölt vagyonvédelmi cél érvényesülése a hangfelvétel rögzítése nélkül is elérhető.
A NAIH megállapította, hogy az Adatkezelő megszegte a szükségesség és arányosság követelményét a hangfelvétel alkalmazásával, mely a munkavállalók, illetve akár százezres nagyságrendű ügyfél személyes adatait is érintheti. Az Adatkezelő megszegte továbbá a tájékoztatás követelményét mind a munkavállalók, mind az ügyfelek vonatkozásában.
Konklúzió
Azt gondolom a legnagyobb tanulságot a jelen ügyben az Adatkezelő magatartása szolgáltathatja. Érdekes volt a határozatot olvasva látni, hogy az Adatkezelő milyen, mármár gőgős makacssággal ragaszkodott ahhoz, hogy bebizonyítsa, hogy márpedig az által folytatott adatkezelési gyakorlat jogszerű, sőt, még tárolási időt is “csak azért is” meghosszabbította a hatósági figyelmeztetés ellenére. Ebben a körben még attól sem riadt vissza, hogy elkezdje azt bizonygatni, hogy az általa végzett tevékenység a kasszánál a Hpt. szerinti pénzügyi tevékenységnek minősül. Azt gondolom, nem kell jogtudósnak lenni ahhoz, hogy valaki a Hpt. egyszeri átfutása alapján is könnyedén megállapítsa, hogy nem minősül az Adatkezelő pénzügyi intézetnek.
Álláspontom szerint az Adatkezelőnek a NAIH jelzését követően azonnal át kellett volna tekintenie a teljes adatkezelési gyakorlatát, és inkább valami féle “megbánást” kellett volna tanúsítania, és törekednie kellett volna a jogszerű állapot minél előbbi elérésére. Ezzel szemben az tapasztalható, hogy csak egyre kellemetlenebb helyzetbe hozta magát azzal, hogy próbálta valahogy kimagyarázni az egyértelmű jogsértését. Nem igazán tudom értelmezni az egyébként is jogszabály ellenes 30 napos adattárolási határidőről az eljárás során az áttérést a 60 napra, ahelyett, hogy belátták volna, hogy hibáztak, és minél előbb intézkedni a 3 napos törlés iránt.
Ha az Adatkezelő együttműködő lett volna a Hatósággal, és nem a fentiek szerint járt volna el, álláspontom szerint a bírság összege a töredéke lett volna a valójában kiszabott bírságnak. A határozat V. fejezetében a NAIH kifejti, hogy az összeg kialakításakor elsősorban az érintettek roppant magas számát, a jogsértés súlyát, ismétlődő jellegét, és az Adatkezelő nagy gazdasági súlyát és így kiemelt felelősségét vette figyelembe. Kifejezetten rögzíti a NAIH, hogy “súlyosbító” körülményként vette figyelembe, hogy az Adatkezelő többszöri felszólítás ellenére sem hagyott fel a jogsértő gyakorlattal.
További blogposztjainkat az alábbi címen találják.