A Magyar Telekom GDPR bírságának néhány tanulsága.
A NAIH 10 millió forintos bírságot szabott ki a Magyar Telekom Nyrt. -re. A döntés szerint az adatkezelő tévesen küldött hírlevelet e-mailben az érintettnek. Ennek oka az volt, hogy egy harmadik fél tévesen rossz e-mail címet adott meg, nevezetesen az érintettét. Az érintett ezt követően többször kérte az adatkezelőt, hogy törölje adatait. Továbbra is kapta a hírlevelet, és az adatok törlése helyett az adatkezelő linket küldött neki a hírlevélről való leiratkozáshoz.
A sértett magánszemély 2020. december 18. napján kérelmet nyújtott be a Hatósághoz, amelyben előadta, hogy a Magyar Telekomtól 2020. november 13-án kéretlen elektronikus levelet kapott az email fiókjába, mivel feltehetően egy harmadik személy tévesen adta meg az e-mail címét (amelyet a gmail szolgáltatás azonosnak tekint minden a @jel előtti ponttal elválasztott változattal).
Emiatt a sértett többször jelezte a cég felé, hogy nem a cég ügyfele, a levélcímét kérte törölni. A Magyar Telekom minden alkalommal sablon válaszokat küldött, benne hírlevél leiratkozási hivatkozással.
A cég a Hatóság tényállás tisztázó végzésének kézhezvételét követően törölte a sértett email cím adatát az adatbázisából.
A Hatóság megállapította, hogy a Magyar Telekom nem rendelkezett az általános adatvédelmi rendelet 6. cikk (1) bekezdése szerinti egyik jogalappal sem a sértett email címével kapcsolatban, és az erről történő tudomásszerzés – a sértett többszöri kifejezett jelzése – ellenére nem tett eleget az általános adatvédelmi rendelet 5. cikk (1) bekezdés d) pont szerinti kötelezettségének, és a sértett érintetti kérelmét érdemben nem válaszolta meg. A kért törlést csak akkor teljesítette, amikor a Hatóság eljárásáról tudomást szerzett.
Idézet a Hatósági határozatból:
„Az adatvédelmi bírság mértékének meghatározásakor a Hatóság enyhítő körülményként vette figyelembe, hogy
- a Kérelmezett a Hatóság megkeresését követően még az eljárás lezárása előtt törölte a Kérelmező jogszerűtlenül kezelt személyes adatát,
- a probléma gyökere harmadik személy téves adatszolgáltatása volt (azonban a tudomásszerzést követően a probléma hatékony megoldása már a Kérelmezett kötelezettsége lett volna az általános adatvédelmi rendelet 25. cikke alapján, amelynek elmaradása miatt szükséges a bírság, nem önmagában a téves adat miatt),
- a jogsértés jellege, súlyossága közepesen jelentős az egyedi esetben (az általános adatvédelmi rendelet 25. cikkén kívüli jogsértések tekintetében),
- a jogsértés időtartama az egyedi esetben nem volt jelentős,
- a jogsértés által érintett személyes adat csak kapcsolati adat volt, nem érintett szenzitív adatot,
- a belső szabályok kialakítása nem szándékos adatvédelmi jogsértés elkövetésére irányult.
Az adatvédelmi bírság mértékének meghatározásakor a Hatóság súlyosbító körülményként vette figyelembe, hogy
- a jogsértést előidéző belső eljárási probléma hosszabb ideje fennáll, és az általános adatvédelmi rendelet 25. cikk szerinti kötelezettség megsértésére vezethető vissza,
- a Kérelmezett a korábbi hasonló ügyekben tett vállalásai és a Hatóság korábbi megállapításai ellenére a problémát megszüntető tényleges megoldást a mai napig nem dolgozott ki, a megoldási kísérletei a probléma érdemét, a törlési jog könnyű és felesleges adminisztráció nélküli gyakorlásának kérdését nem érintették, különösen figyelembe véve az érintettek azon jogos igényét, hogy fiók regisztráció és egyéb felesleges adminisztráció nélkül, a tényleges adat feletti rendelkezési jog bemutatásával tudjanak eljárni,
- a Kérelmezett adatkezelésének kiterjedtsége és piaci pozíciója alapján elvárható lenne a Kérelmezettől, hogy ne egyes ügyintézői egyedi és felügyelet nélküli döntésétől függjön az érintetti jogok gyakorolhatósága, különösen, ha az érintett számára sokkal egyszerűbb technikai megoldással is biztosítani lehet a tévesen megadott adat törlését,
- az online is elérhető pénzügyi beszámolója szerint 2020-ban Kérelmezett gazdasági egységének 524 131 000 000 Ft, azaz ötszázhuszonnégymilliárd-százharmincegymillió forint éves bevétele volt, így nagyon kis mértékű bírságnak semmilyen büntető vagy prevenciós hatása nem lenne.
A fentiek alapján a Hatóság a rendelkező rész szerint a maximálisan kiszabható összeg kb. négy tízezredének (0,04%) megfelelő összegű adatvédelmi bírság kiszabását tartotta az eset összes körülménye alapján arányosnak és visszatartó erejűnek a Kérelmezett vonatkozásában.”