REKORD ADATVÉDELMI BÍRSÁG – 5 HIBA, AMI EHHEZ VEZETETT

2017 Október 31

A Nemzeti Adatvédelmi és Információszabadság Hatóság a közelmúltban tette közzé a Magyar Szcientológiai Egyház jogellenes adatkezeléséről hozott határozatát. A Hivatal a maximális 20 Millió Forintos bírságot szabta ki, figyelembe véve az érintettek jelentős számát és a jogsértés kiemelkedő súlyát. A Szcientológiai Egyháznak szerencséje van, hogy az Adatvédelmi Rendelet még nem alkalmazandó, különben a bírság 20 Millió Forint helyett akár 20 Millió Euro is lehetett volna. Ugyanakkor az egyház által elkövetett hibák az Adatvédelmi Rendelet alapján is jogsértésnek minősülnek, ezért összegyűjtöttem 5 hibát, amiből okulni lehet.

1. Személyes adatok továbbítása “nem biztonságos” harmadik országokba

Ahhoz, hogy valaki az Egyház tagjává váljon és szolgáltatásokat vehessen igényben (pl. a méregtelenítő programot), különböző jelentkezési lapokat kellett kitöltenie. A jelentkezési lapon a tagjelölt hozzájárult ahhoz, hogy személyes adatait az Egyház Egyesült Államokbeli, illetve bármely más országban található szervezetéhez továbbítsák.

Az Egyház ugyanakkor nem továbbíthatta volna a személyes adatokat olyan harmadik országba, ahol a személyes adatok megfelelő szintű védelme nem biztosított. Emellett a tagjelöltek hozzájárulása nem tekinthető önkéntesnek, mivel addig el sem kezdhették a méregtelenítő programot, amíg nem egyeztek bele a harmadik országba történő adattovábbításba.

Hogy az ehhez hasonló jogsértéseket elkerüld, csak olyan országba továbbíts személyes adatokat, ahol ezek megfelelő szintű védelme biztosított.

2. Harmadik személyek adatainak kezelése a tudomásuk nélkül

Az Egyház tagjai, illetve a tagjelöltek a kérdőíveken, illetve az üléseken rendkívül bizalmas magánéleti információkat osztottak meg magukról, például a szexuális szokásiakról, bűnelkövetésről, kábítószer használatról. Azonban az ilyen információkat nemcsak saját magukról, hanem családtagjaikról és barátaikról is fel kellett tárniuk. Például a tagoknak meg kellett nevezniük az olyan személyeket, akikkel valaha is intim kapcsolatba kerültek.

Ily módon az Egyház harmadik személyek személyes adataihoz jutott hozzá és kezelte azokat anélkül, hogy ezek a személyek egyáltalán tudtak volna az adatkezelésről. Az Egyháznak tehát gyakorlatilag nem volt jogalapja (pl. hozzájárulás) az adatkezelésre, vagyis az adatkezelés nem volt jogszerű.

Gondoskodj arról, hogy mindig legyen érvényes jogalapod az adatkezelésre. Leggyakrabban a jogalap az érintett hozzájárulás, de bizonyos esetekben az érintettel kötött szerződés teljesítése is megfelelő jogalap lehet.

3. Fölösleges érzékeny adatok bekérése a munkavállalóktól

Azoknak, akik az Egyháznál szerettek volna dolgozni, egy kb. 130 kérdésből álló kérdőívet kellett kitölteniük. A kérdések a jelentkező életének szinte minden szegmensére kiterjedtek, többek között a személyes kapcsolataikra, politikai nézetre, szexuális hovatartozásra, egészségügyi állapotra vagy például arra, hogy követeltek-e már valaha vissza pénzt egyházi szervezettől. Nemcsak a kulcspozíciókra jelentkezőknek kellett ilyen részletesen kitárulkozniuk, hanem – amint azt a Hatóság feltárta – egyszerű adminisztratív dolgozók (pl. akik gyakorlatilag postázási feladatokat végeztek) is kitöltötték a kérdőívet.

Az ilyen érzékeny személyes adatok bekérése nyilvánvalóan nem szükséges a munkaviszony létesítéséhez vagy teljesítéséhet. Az Egyház tehát nem a célhoz kötöttség és az adattakarékosság elvének megfelelően járt el.

Csak olyan személyes adatok megadását kérd a munkavállalóidtól, amelyek feltétlenül szükségesek a munkához és lehetőleg kerüld az érzékeny adatok bekérését, illetve a lehető legkevesebb érzékeny adatra kérdezz rá.

4. Hitelkártyával való visszaélések lehetővé tétele

Ha a tagok hitelkártyával fizették a tagdíjat vagy például kiadványokat vásároltak, az Egyház rögzítette a hitelkártya számát, lejárati dátumát, CID / CCV számát, illetve a tulajdonos aláírását. Gyakorlatilag tehát minden olyan adatot összegyűjtöttek, amely lehetővé tette a kártyával való fizetést. A hitelkártya-adatokat is továbbították az Egyesült Államokba.

Az Egyház által kialakított gyakorlat sérti az adatbiztonság követelményét, hiszen a hitelkártya-adatok rögzítése, tárolása és továbbítása lehetővé teszi a kártyával való visszaéléseket.

Mindig légy nagyon körültekintő és óvatos, ha hitelkártya-adatokat gyűjtesz és az adatokat csak addig tárold, amíg a szerződés teljesítéséhez szükséges. Gondoskodj olyan megfelelő szintű védelemről, ami megelőzi a visszaéléseket.

5. Marketing célú adatkezelés hozzájárulás nélkül

Az Egyház online tesztfelületet üzemeltet, amelyen a jelentkezők személyiségteszteket tölthetnek ki, a tesztek eredményei alapján pedig az Egyház felállítja a személyes fejlesztési tervüket. A jelentkezőknek a teszt elvégzéséhez hozzá kellett járulniuk személyes adataik kezeléséhez. Bár az Egyház tájékoztatta a jelentkezőket arról, hogy az adataikat marketing célból is kezelik, az ilyen célú adatkezeléshez nem kérték az értintett külön hozzájárulását.

Mivel a jelentkezők nem tudtak külön, kifejezett hozzájárulást adni a marketing célú adatkezeléshez, az Egyház önkéntes, kifejezett és félreérthetetlen beleegyezés nélkül kezelte ezeket az adatokat.

Amennyiben marketing célból kezelsz személyes adatokat, figyelj arra, hogy erről megfelelően tájékoztasd az érintettet és beszerezd a kifejezett hozzájárulását.

Jogi nyilatkozat: A cikk Magyar Szcientológiai Egyház által elkövetett jogsértéseiről szóló részei a Nemzeti Adatvédelmi és Információszabadság Hatóság NAIH/2017/148/98/H sz. határozatán alapulnak, amellyel szemben bírósági felülvizsgálat kezdeményezhető. Az Ügyvédi Iroda nem tudja megítélni a Hatóság megállapításainak helytállóságát, ezért ezek a megállapítások nem minősülnek az Iroda állításainak vagy véleményének.