Az osztrák adatvédelmi hatóság egy érdekes döntést hozott a mobiltelefonok helymeghatározása ügyében: nem találta „személyazonosításra alkalmasnak” a mobiltelefonokról származó forgalmi- és helymeghatározó adatokat.
A noyb nevű non-profit szervezet 2020 júniusában panaszt nyújtott be a hatóságnak az osztrák A1 mobilszolgáltató ellen. Az ok: az A1 többször is megtagadta a helymeghatározási és egyes forgalmi adatok átadását egy ügyfélnek, hivatkozva az adatvédelmi hatóságnak a GDPR alkalmazása előtti elavult gyakorlatára. Az érv: a mobiltelefonon lévő adatok nem „személyesek”, mert a mobiltelefon tulajdonosán kívül más is használhatta a készüléket.
Az EU 2016/679 (GDPR) rendeletéből:
- cikk, Fogalommeghatározások:
„E rendelet alkalmazásában:
- „személyes adat”: azonosított vagy azonosítható természetes személyre („érintett”) vonatkozó bármely információ; azonosítható az a természetes személy, aki közvetlen vagy közvetett módon, különösen valamely azonosító, például név, szám, helymeghatározó adat, online azonosító vagy a természetes személy testi, fiziológiai, genetikai, szellemi, gazdasági, kulturális vagy szociális azonosságára vonatkozó egy vagy több tényező alapján azonosítható;”
- cikk, Az érintett hozzáférési joga
„(1) Az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, és ha ilyen adatkezelés folyamatban van, jogosult arra, hogy a személyes adatokhoz és a következő információkhoz hozzáférést kapjon:”
Az osztrák adatvédelmi hatóság (DSB) 2021 október hozott döntése szerint az A1 jogosan tagadta meg a tájékoztatást, nem volt ok a korábbi döntési útmutatástól eltérni.
A DSB álláspontja szerint, mivel a felhasználó nem tudja bizonyítani, hogy a létrehozott helyadatok kizárólag rá vonatkoznak, a helyadatokra általában nem vonatkozik a GDPR 15. cikke szerinti hozzáférési jog.
Az érintett nyilatkozata szerint PIN kóddal ÉS ujjlenyomattal védte a mobiltelefonját, magántelefon (nem céges), nincs gyereke, a mobiltelefonját soha nem adta kölcsön, és egyéb jel nem utalt arra, hogy a mobiltelefont más használhatta volna.
Abból az elvont lehetőségből, hogy valaki más használhatta a felhasználó mobiltelefonját, a DSB arra a következtetésre jutott, hogy a felhasználónak nincs joga a mobiltelefonja (egy erősen személyes, jelszóval/ujjlenyomattal/stb. védett eszköz) által generált adatokra vonatkozó információkhoz.
Azaz: a felhasználó egyszerűen nem tudja bizonyítani egy eszköz vagy fiók kizárólagos használatát, hacsak nem rögzíti videóra az egész élet.
Ez az elv bármely internet-kompatibilis eszközre igaz, azaz előfordulhat, hogy valaki más használja.
Például az okosóra: az összegyűjtött egészségügyi adatokról nem kaphat a felhasználó információt, valaki más hordozhatta azokat! Amazon rendelés? Nem adható ki adat, mert más is leadhatott volna rendelést!
Azaz ennek a döntésnek az eredményeként az adatszolgáltatáshoz való alapvető jog csak kivételes, igen ritka esetekben állna fenn.
Ugyanakkor a hatságok az esetleges bűnügyi adatokkal összefüggésben egy felhasználó összes forgalmi adatát lekérhetik a mobiltelefon-szolgáltatótól. Maga a felhasználó viszont nem…
A döntés nem jogerős – a noyb panaszt nyújtott be a Szövetségi Közigazgatási Bírósághoz, amely most megvizsgálja az ügyet.
Mivel a GDPR EU-szintű és egységes jogalkalmazást feltételez, ebből az következhet, hogy ha a döntés jogerős lesz, akkor minden nemzeti hatóság ez alapján kell, hogy döntést hozzon?