ADATVÉDELMI BÍRSÁGOT ZSÁKOLT A KOSÁRLABDA SZÖVETSÉG – TE HOGY KERÜLD EL?

10 September 2018

Remélem, hogy a Magyar Kosárlabda Szövetség a játékhoz jobban ért, mint az adatvédelemhez. Az utóbbiban ugyanis nem jeleskednek, az Adatvédelmi Hatóság pedig a „faltokat” bírsággal jutalmazta. Nézzük, milyen hibákat követett el a Szövetség, melyeket jobb, ha cégeddel elkerülsz.

Mi történt?

A Kosárlabda Szövetséget néhány aggódó szülő panaszolta be az Adatvédelmi Hatóságnál (NAIH), akik nem nézték jó szemmel, hogy a gyermekeik nevét, fényképét, lakcímét és számos más adatát a Szövetség egy az Interneten bárki számára elérhető adatbázisban tárolta.

A Hatóság elkezdett vizsgálódni az ügyben és arra jutott, hogy a kb. 65.000 játékos és köztük 31.000 kiskorú adatait tartalmazó nyilvántartás több sebből vérzik adatvédelmi szempontból. Ezért egyrészt megtiltotta a jogellenes adatkezelést, másrészt bírságot alkalmazott a Szövetséggel szemben. Melyek voltak a legnagyobb fiaskók?

Az adatbázis nyilvánossága

A NAIH felvetette, hogy a Kosárlabda Szövetségnek egyáltalán mi a célja azzal, hogy a rengeteg személyes adatot tartalmazó nyilvántartását közzéteszi, és az adatokhoz gyakorlatilag az Internet egész népe hozzáfér.

A Szövetség szerint erre azért van szükség, hogy ellenőrizni lehessen a játékosok játékjogosultságát és megakadályozni, hogy olyan személy is a pályára léphessen, aki nem rendelkezik engedéllyel.

Mondanunk sem kell, hogy a NAIH nem igazán tudott azonosulni ezzel a magyarázattal. Ezt ugyanis úgy is el lehetne érni, ha a Szövetség egy „belsős” adatbázist működtetne, amihez csak egy korlátozott személyi kör, például a játékvezetők, edzők férhetnek hozzá. A nyilvános adatbázis tehát nemcsak szükségtelen, hanem veszélyes is a játékosok biztonságára.

Az már csak hab a tortán, hogy a játékosok azonosításához a NAIH szerint nem lenne szükséges a lakcímük, testmagasságuk kezelése, tehát a Szövetség fölöslegesen halmozta ezeket az adatokat.

Hozzájárulás hiánya

A Hatóság egyik kiemelt kérdése volt, hogy egyáltalán milyen alapon kezeli a Kosárlabda Szövetség a közzétett adatokat. A Szövetség az eljárás során azt a választ adta, hogy a játékosok hozzájárultak az adatkezeléshez egy ún. alávetési nyilatkozatban, ami a játékengedély kiadásának feltétele.

A NAIH alaposan körbejárta a témát és megállapította, hogy az általa vizsgált időszak egy részében a Szövetség nem íratta alá az alávetési nyilatkozatot a játékosokkal, tehát esetükben a hozzájárulás szóba sem jöhet.

Ugyanakkor az alávetési nyilatkozatban megadott hozzájárulás sem volt megfelelő a Hatóság szerint. Mivel a Szövetség a játékengedély kiadásának feltételévé tette a hozzájárulás megadását, ezért a hozzájárulás nem tekinthető önkéntesnek, így nem érvényes.

Adattárolás cél nélkül

További probléma volt, hogy a Szövetség a gyűjtött adatokat mindaddig tárolta, amíg a játékos nem kérte az adatainak törlését. Ez ahhoz vezetett, hogy a játékosok adatai még akkor is elérhetőek voltak, amikor már befejezték a pályafutásukat.

A Hatóság ezzel kapcsolatban rámutatott, hogy azoknál, akik már abbahagyták a versenyzést, nyilván nem szükséges, hogy a játékjogosultságuk ellenőrizhető legyen. Esetükben tehát az adatokat elfogadható cél nélkül tárolja a Szövetség, amely sérti a célhoz kötött adatkezelés elvét.

Előzetes tájékoztatás hiánya

A Szövetségnek – egy futballból vett hasonlatot kölcsönévéve – mindezt még sikerült „megfejelnie” azzal, hogy vagy egyáltalán nem tájékoztatta, vagy nem megfelelően tájékoztatta a játékosokat az adatkezelés körülményeiről. Ez egyébként összefügg a hozzájárulás érvényességével is, ugyanis előzetes tájékoztatás nélkül a hozzájárulás sem lehet érvényes.

A Szövetség állítása szerint a NAIH eljárás megindításáig az alávetési nyilatkozatban tájékoztatta a játékosokat az adatkezelésről. Ez a tájékoztatás ugyanakkor nem volt teljeskörű és sokszor félrevezető információkat tartalmazott. Például a nyilatkozatban szerepel, hogy a Szövetség az adatokat harmadik személyek felé nem továbbítja, majd pedig az is, hogy az adatokat az általa üzemeltetett honlapon közzéteszi. Nem kell túl nagy adatvédelmi jártasság ahhoz, hogy észrevegyük az ellentmondást.

A Szövetség egyébként az eljárás során feltöltött egy adatvédelmi tájékoztatót a honlapjára, gondolom kármentésként. Ez a tájékoztató sem bizonyult ugyanakkor megfelelőnek, mert szintén nem volt teljeskörű és gyakorlatilag megismételte az adatvédelmi jogszabály rendelkezéseit, így nem felelt meg a közérthetőség követelményének sem.

Mit tanulhatsz ebből?

Gondold át, hogy milyen célra szeretnéd felhasználni az adatokat és ne gyűjtsd, illetve töröld az olyan adatokat, amelyek nem szükségesek a célod eléréséhez.

Ahogyan már többször is hangsúlyoztuk, hozzájárulásra csak akkor alapozd az adatkezelést, ha az érintettnek tényleges választási lehetőséget adsz, vagyis a hozzájárulás önkéntes lehet.

Végül, az adatkezelési tájékoztatód tartalmazzon teljeskörű és közérthető tájékoztatást az adatkezelésről. Emellett gondoskodj arról, hogy a tájékoztatót az érintett rendelkezésére bocsásd.