Cikkünkben a Hatóság által a beszámolóban ismertetett 5 jelentősebb – GDPR hatálya alá tartozó – adatvédelmi ügyet dolgozzuk fel röviden és összefoglaljuk a lényeges tanulságokat és észrevételeinket.

1. Mesterséges intelligencia alkalmazása ügyfélszolgálati hangfelvételek elemzésére (NAIH-7350/2021., NAIH-85/2022.)

Egy banknál az ügyfélszolgálati vonal rögzített, a hívások hanganyagában mesterséges intelligencián alapuló beszédjel-feldolgozás segítségével hangelemző szoftverrel automatikusan elemzésre került a beszélő érzelmi állapota, hangulata, valamint bizonyos kulcsszavak használata. A hangelemző szoftver az elemzett paraméterek alapján listát állított fel meghatározott szempontok szerint a beszélgetésekről. A bank az adatkezelés célját minőségellenőrzésben és panaszmegelőzésben, az adatkezelés jogalapját az ügyfelek megtartásához, belső működése hatékonyságának növeléséhez fűződő jogos érdekében határozta meg. A mesterséges intelligencia használatáról, a hangelemzésről, vagyis a profilalkotásról, automatikus döntéshozatalról nem tájékoztatta az ügyfeleket semmilyen módon. A bank nem készített megfelelő érdekmérlegelési tesztet sem, csak azt állapította meg, hogy az általa elérni kívánt jogosnak megjelölt érdeke érvényesítéséhez szükséges az adatkezelés, az arányosságot, az érintetti oldalt valójában nem vizsgálta. A Hatóság szankcióként 250 millió Forint adatvédelmi bírságot szabott ki.

Észrevételek, tanulságok:

A mesterséges intelligencia a jellemzően emberi közreműködést nem igénylő, vagy igen korlátozott mértékű emberi közreműködést igénylő működéséből adódóan jelentős kockázatok merülnek fel az adatvédelem területén. Ennek megfelelően még a mesterséges intelligencián alapuló adatkezelés bevezetése előtt az adatkezelőknek feltétlenül egyeztetnie kell a kijelölt adatvédelmi tisztviselővel (az adatvédelmi tisztviselő más néven DPO), vagy a Hatósággal. A jogos érdek jogalappal összefüggésben fontos kiemelni azt is, hogy az nem arra szolgál, hogy az adatkezelő bármilyen indokkal kezeljen személyes adatokat.

2. Civil szervezet adománygyűjtő tevékenységével összefüggésben végzett adatkezelés jogszerűsége (NAIH-3211/2021.)

Egy alapítvány adománygyűjtés céljából keresett meg olyan személyeket, akik potenciálisan adományt adhatnak részére. Az adatkezelés jogalapjaként a GDPR 6. cikk (1) bekezdés e) pontját (az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges), valamint a civil szervezetek gazdálkodása, az adománygyűjtés és a közhasznúság egyes kérdéseiről szóló Korm. rendeletet jelölte meg. Az alapítvány a csekkbefizetést követő 3 hónap elteltével újabb postai tájékoztató levelet küldött az adományozóknak, ha azok korábban nem kérték kifejezetten személyes adataik törlését. A támogatók toborzása céljából történő adatkezelés jogalapjaként az alapítvány a GDPR 6. cikk (1) bekezdés e) pontja szerinti jogalapot jelölte meg, mellette pedig kiemelte, hogy az adatkezeléshez ezáltal az alapítványnak jogos érdeke fűződik. Az alapítvány adatkezelési tájékoztatójában az adatkezelés jogalapjaként az érintettek hozzájárulását jelölte meg. Az alapítvány azonban olyan jogszabályi rendelkezést, amely részére a közfeladat ellátását előírta, nem jelölt meg, az általa hivatkozott jogszabály ilyen feladatot nem ír elő, továbbá az alapítvány az érintettek adatkezeléshez történő hozzájárulását sem tudta igazolni. A Hatóság megállapítása szerint az alapítvány az érintettek adományozást követően történő megkeresésének nem volt jogalapja, mivel az érvényességéhez szükséges tartalmi elemek hiányoztak a hozzájárulás esetén.

Észrevételek, tanulságok az ügy kapcsán:

Az adatkezelés jogszerűsége kizárólag akkor állapítható meg, ha az adatkezelő a személyes adatok valamennyi adatkezelési célból történő kezeléséhez érvényes jogalappal rendelkezik, illetve, ha az érintett megfelelő tájékoztatást és döntési lehetőséget kapott arra vonatkozóan, hogy a megadott személyes adatait milyen adatkezelési célból fogják kezelni a jövőben. Az érintetti hozzájárulás beszerzésére vonatkozóan érvényesül az elszámoltathatóság elve, azaz az adatkezelőnek igazolnia kell, hogy az érintett hozzájárulásának beszerzése megfelelően, érvényesen megtörtént.

3. Jogos érdekre alapított ügyfél-elégedettség mérés (NAIH-2857/2021)

Miután a kérelmező a kérelmezettnél (szakszerviz) megvizsgáltatta és szervizeltette a gépkocsiját, kérelmezett kérésére megadta az e-mail címét. A megadott e-mail címre kapott a kérelmezettől egy elégedettségméréssel kapcsolatos e-mailt, amely alapján véleményt is nyilvánított. Ezt követően kéretlen e-mailt kapott azzal a kéréssel, hogy a fentiekkel kapcsolatban töltsön ki egy elégedettségi kérdőívet, majd egy újabb e-mailt, melyben a válaszadás hiánya miatt ismét felkérték a kérdőív kitöltésére. Az e-mailek nem azonosítható harmadik feladótól jöttek. Az adattovábbításhoz a kérelmező hozzájárulását nem kérték, erről tájékoztatást sem kapott. A NAIH vizsgálata során feltárt tényállás szerint a kérdéses e-maileket a kérelmezettel szerződéses viszonyban álló importőr küldte egy adatfeldolgozóján keresztül, a kérdéses e-mail tekintetében tehát az importőr volt az adatkezelő. Az importőr nem tudta alátámasztani, hogy a megjelölt elégedettségmérés és panaszkezelés célokhoz milyen módon kapcsolódnak az általa kezelt adatok. Az ügyben ötmillió forint összegben adatvédelmi bírság került kiszabásra.

Észrevételek, tanulságok:

Az adatkezelés célja tekintetében szükségtelen jellegű és mennyiségű személyes adat kezelése sérti az adattakarékosság elvét, emellett nem támasztható alá az adatkezelés jogszerűsége és a GDPR 6. cikk (1) bekezdés f) pontja szerinti, adatkezelői jogos érdek mint az adatkezelés jogalapja, mivel a szükségtelenül, aránytalanul sok és az adatkezelési cél megvalósításához nem szükséges, valamint arra nem alkalmas személyes adatok kezelése az érintettek jogaira és szabadságaira nézve aránytalan magánszférába való beavatkozást és kockázatot jelent. Az adott adatkezelés céljának eléréshez nélkülözhetetlen személyes adatokon felüli és a nem kellően alátámasztott, valamint nem igazolható adatkezelői jogos érdek alapján folytatott adatkezelés jogsértő és adatvédelmi bírság kiszabását vonhatja maga után.

4. Társasházi kamerarendszerrel kapcsolatos adatkezelés (NAIH-5896/2021., előzmény ügyszámok: NAIH/2019/3200., NAIH/2020/1000.)

A határozat fontos megállapítása az adatkezelés jogalapját érinti. A társasház a kamerarendszerrel összefüggő adatkezelés jogalapjaként a társasházi törvény 25. §-ára – a kamerák létesítésére irányuló döntéshez szükséges szavazatszám – hivatkozott. A Hatóság ezzel azonban nem értett egyet, mivel álláspontja szerint az adatkezelés jogalapja a GDPR szerinti jogos érdek jogalapja lehet. A vizsgált ügyben a társasház egyes kamerái közterületet is megfigyeltek és a társasház nem alkalmazott közterületet kitakaró megoldásokat. A Hatóság megállapította, hogy a társasház a közterületet megfigyelő kamerákat jogalap nélkül üzemeltette. A Hatóság a jogsértések miatt elmarasztalta a társasházat és utasította arra, hogy a kamerás megfigyelést tegye jogszerűvé, alapozza megfelelő jogalapra, az ahhoz szükséges érdekmérlegelést elvégezve, megfelelve a GDPR 6. cikk (1) bekezdés f) pontja szerinti jogalap követelményeinek, emellett ne üzemeltessen közterületet figyelő kamerákat, vagyis szüntesse meg ezen kamerákkal összefüggésben az adatkezelést / módosítsa a kamerák látószögét.

Észrevételek, tanulságok az ügy kapcsán:

Az adatkezelő jogosult kiterjeszteni a kamerás megfigyelést a saját tulajdonú terület közvetlen környezetére is, de csak megfelelő technikai vagy szervezési intézkedések (például a megfigyelés céljának szempontjából nem releváns terület kitakarásának alkalmazása) mellett. Ugyanakkor abban az esetben, ha az adatkezelő nem alkalmaz közterületet kitakaró megoldásokat, vagy aki akár célirányosan a közterületet megfigyelő kamerarendszert üzemeltet, mindenképpen alkalmaznia kell a GDPR adatkezelők számára meghatározott valamennyi előírását, megfelelő jogalapra kell alapoznia adatkezelését.

5. Hangfelvétel jogellenes hozzáférhetővé tétele – kiskorú érintett személyes és különleges személyes adatainak jogellenes kezelése (NAIH-1743/2021)

Egy óvodában titokban, a gyermek szülőjének hozzájárulása nélkül készítettek, majd egy Facebook csoportban közzétettek egy felvételt egy beszélgetésről, amelyen az óvodai csoportba járó egyik gyermek egészségi állapotára vonatkozó információk hangzottak el. A felvétel a Messenger csoportból eltávolításra, további három személynek azonban e-mailen megküldésre került. A felvétel készítője szerint a felvétel készítésének oka az volt, hogy később nehezen felidézhető szakmai információk is elhangzottak, a felvétel közzétételének célja pedig a többi szülő tájékoztatása volt arról, hogy egy betegséggel küzdő gyermek jár a csoportja és e tájékoztatás a gyermek érdeke. A Hatóság döntésében azonban megállapította, hogy a felvétel megosztása a kérelmezett által megjelölt cél nem tekinthető a GDPR szerinti jogszerű célnak, továbbá a felvétel megosztásával végzett adatkezelés jogalap nélkül történt. A Hatóság a felvétel készítőjét a jogsértések miatt figyelmeztetésben részesítette.

Észrevételek, tanulságok az ügy kapcsán:

A GDPR fokozott védelemben részesíti a személyes adatok különleges kategóriáiba tartozó adatokat, emellett a gyermekek, mint érintettek személyes adatait is. Ilyen személyes adatok kezelése során ennek megfelelően fokozott körültekintéssel kell eljárnia az adatkezelőknek. Ezen kívül az érintett hozzájárulása, előzetes tájékoztatása nélkül hangfelvétel készítése és annak nyilvánosságra hozatala alapvetően jogellenes, amennyiben az nem szolgál közérdeket vagy létfontosságú érdekek védelmét.

Amennyiben adatvédelmi ügyvéd, adatvédelmi jogász segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu