Blog
Blog » REKORD ADATVÉDELMI BÍRSÁG – 5 HIBA, AMI EHHEZ VEZETETT
REKORD ADATVÉDELMI BÍRSÁG – 5 HIBA, AMI EHHEZ VEZETETT
2017 Október 31
A Nemzeti Adatvédelmi és Információszabadság Hatóság a közelmúltban tette közzé a Magyar Szcientológiai Egyház jogellenes adatkezeléséről hozott határozatát. A Hivatal a maximális 20 Millió Forintos bírságot szabta ki, figyelembe véve az érintettek jelentős számát és a jogsértés kiemelkedő súlyát. A Szcientológiai Egyháznak szerencséje van, hogy az Adatvédelmi Rendelet még nem alkalmazandó, különben a bírság 20 Millió Forint helyett akár 20 Millió Euro is lehetett volna. Ugyanakkor az egyház által elkövetett hibák az Adatvédelmi Rendelet alapján is jogsértésnek minősülnek, ezért összegyűjtöttem 5 hibát, amiből okulni lehet.
1. Személyes adatok továbbítása “nem biztonságos” harmadik országokba
Ahhoz, hogy valaki az Egyház tagjává váljon és szolgáltatásokat vehessen igényben (pl. a méregtelenítő programot), különböző jelentkezési lapokat kellett kitöltenie. A jelentkezési lapon a tagjelölt hozzájárult ahhoz, hogy személyes adatait az Egyház Egyesült Államokbeli, illetve bármely más országban található szervezetéhez továbbítsák.
Az Egyház ugyanakkor nem továbbíthatta volna a személyes adatokat olyan harmadik országba, ahol a személyes adatok megfelelő szintű védelme nem biztosított. Emellett a tagjelöltek hozzájárulása nem tekinthető önkéntesnek, mivel addig el sem kezdhették a méregtelenítő programot, amíg nem egyeztek bele a harmadik országba történő adattovábbításba.
Hogy az ehhez hasonló jogsértéseket elkerüld, csak olyan országba továbbíts személyes adatokat, ahol ezek megfelelő szintű védelme biztosított.
2. Harmadik személyek adatainak kezelése a tudomásuk nélkül
Az Egyház tagjai, illetve a tagjelöltek a kérdőíveken, illetve az üléseken rendkívül bizalmas magánéleti információkat osztottak meg magukról, például a szexuális szokásiakról, bűnelkövetésről, kábítószer használatról. Azonban az ilyen információkat nemcsak saját magukról, hanem családtagjaikról és barátaikról is fel kellett tárniuk. Például a tagoknak meg kellett nevezniük az olyan személyeket, akikkel valaha is intim kapcsolatba kerültek.
Ily módon az Egyház harmadik személyek személyes adataihoz jutott hozzá és kezelte azokat anélkül, hogy ezek a személyek egyáltalán tudtak volna az adatkezelésről. Az Egyháznak tehát gyakorlatilag nem volt jogalapja (pl. hozzájárulás) az adatkezelésre, vagyis az adatkezelés nem volt jogszerű.
Gondoskodj arról, hogy mindig legyen érvényes jogalapod az adatkezelésre. Leggyakrabban a jogalap az érintett hozzájárulás, de bizonyos esetekben az érintettel kötött szerződés teljesítése is megfelelő jogalap lehet.
3. Fölösleges érzékeny adatok bekérése a munkavállalóktól
Azoknak, akik az Egyháznál szerettek volna dolgozni, egy kb. 130 kérdésből álló kérdőívet kellett kitölteniük. A kérdések a jelentkező életének szinte minden szegmensére kiterjedtek, többek között a személyes kapcsolataikra, politikai nézetre, szexuális hovatartozásra, egészségügyi állapotra vagy például arra, hogy követeltek-e már valaha vissza pénzt egyházi szervezettől. Nemcsak a kulcspozíciókra jelentkezőknek kellett ilyen részletesen kitárulkozniuk, hanem – amint azt a Hatóság feltárta – egyszerű adminisztratív dolgozók (pl. akik gyakorlatilag postázási feladatokat végeztek) is kitöltötték a kérdőívet.
Az ilyen érzékeny személyes adatok bekérése nyilvánvalóan nem szükséges a munkaviszony létesítéséhez vagy teljesítéséhet. Az Egyház tehát nem a célhoz kötöttség és az adattakarékosság elvének megfelelően járt el.
Csak olyan személyes adatok megadását kérd a munkavállalóidtól, amelyek feltétlenül szükségesek a munkához és lehetőleg kerüld az érzékeny adatok bekérését, illetve a lehető legkevesebb érzékeny adatra kérdezz rá.
4. Hitelkártyával való visszaélések lehetővé tétele
Ha a tagok hitelkártyával fizették a tagdíjat vagy például kiadványokat vásároltak, az Egyház rögzítette a hitelkártya számát, lejárati dátumát, CID / CCV számát, illetve a tulajdonos aláírását. Gyakorlatilag tehát minden olyan adatot összegyűjtöttek, amely lehetővé tette a kártyával való fizetést. A hitelkártya-adatokat is továbbították az Egyesült Államokba.
Az Egyház által kialakított gyakorlat sérti az adatbiztonság követelményét, hiszen a hitelkártya-adatok rögzítése, tárolása és továbbítása lehetővé teszi a kártyával való visszaéléseket.
Mindig légy nagyon körültekintő és óvatos, ha hitelkártya-adatokat gyűjtesz és az adatokat csak addig tárold, amíg a szerződés teljesítéséhez szükséges. Gondoskodj olyan megfelelő szintű védelemről, ami megelőzi a visszaéléseket.
5. Marketing célú adatkezelés hozzájárulás nélkül
Az Egyház online tesztfelületet üzemeltet, amelyen a jelentkezők személyiségteszteket tölthetnek ki, a tesztek eredményei alapján pedig az Egyház felállítja a személyes fejlesztési tervüket. A jelentkezőknek a teszt elvégzéséhez hozzá kellett járulniuk személyes adataik kezeléséhez. Bár az Egyház tájékoztatta a jelentkezőket arról, hogy az adataikat marketing célból is kezelik, az ilyen célú adatkezeléshez nem kérték az értintett külön hozzájárulását.
Mivel a jelentkezők nem tudtak külön, kifejezett hozzájárulást adni a marketing célú adatkezeléshez, az Egyház önkéntes, kifejezett és félreérthetetlen beleegyezés nélkül kezelte ezeket az adatokat.
Amennyiben marketing célból kezelsz személyes adatokat, figyelj arra, hogy erről megfelelően tájékoztasd az érintettet és beszerezd a kifejezett hozzájárulását.
Jogi nyilatkozat: A cikk Magyar Szcientológiai Egyház által elkövetett jogsértéseiről szóló részei a Nemzeti Adatvédelmi és Információszabadság Hatóság NAIH/2017/148/98/H sz. határozatán alapulnak, amellyel szemben bírósági felülvizsgálat kezdeményezhető. Az Ügyvédi Iroda nem tudja megítélni a Hatóság megállapításainak helytállóságát, ezért ezek a megállapítások nem minősülnek az Iroda állításainak vagy véleményének.
-
MEDDIG TERJED A BÍRÓ DÖNTÉSI SZABADSÁGA?
Mit tehet a bíró, ha a tények alátámasztják a felperes keresetét, de a fél tévesen jelöli meg kereseti kérelme jogcímét? Megítélheti ilyenkor a bíróság a felperes követelését a helyes jogalapon? A kérdésre a 2018. óta hatályos polgári perrendtartás egyértelmű választ ad, rövid cikkünkben pedig egy friss kúriai döntésen keresztül járjuk körül a jogcímhez kötöttség témakörét.
Bővebben » -
A PENNÁTÓL A PENDRIVE-IG – II. RÉSZ: KONZERVATÍV POLGÁRI JOG
Amint arra legutóbbi cikkünkben is utaltunk, az írásbeliség kapcsán a Polgári Törvénykönyvben lefektetett szabályok iránymutatásul szolgálnak valamennyi jogterület kapcsán. Ebből kifolyólag cikksorozatunkban az egyes jogterületek vizsgálatát a polgári joggal fogjuk kezdeni. Körbejárva a bírói gyakorlatot látni fogjuk, hogy a többi jogághoz képest a polgári jogi területen szigorúbb felfogással találkozhatunk és a hétköznapi értelemben vett írásbeli kommunikáció sok esetben nem felel meg az írásbeliség polgári jogi kritériumainak .
Bővebben » -
VERSENGŐ VÁLASZTOTTBÍRÓSÁGI ÉS RENDES BÍRÓSÁGI KIKÖTÉSEK – ELŐADÁS A MAGYAR VÁLASZTOTTBÍRÓSÁGI EGYESÜLET KÖZGYŰLÉSÉN
A Magyar Választottbírósági Egyesület (MVbE) 2022. december 16. napján tartotta éves közgyűlését, melyet követően Irodánk vezető partnere, dr.Schmidt Richárd tartott online előadást „Dupla vagy semmi? - Versengő választottbírósági és rendes bírósági kikötések” címmel.
Bővebben »