Körlevél küldés és jogellenes irattározás – a hatóság közzétette az első bírságoló határozatait

A Nemzeti Adatvédelmi és Információszabadság Hatóság a honlapján közzétette az első, jogellenes adatkezelés körében meghozott határozatait:

  • Az első határozat egy önkéntes pénztárat marasztalt el, amely úgy küldött ki körlevelet a számlabenyújtás módjáról mintegy 300 érintett ügyfele részére, hogy elektronikus levélcímek minden címzett számára láthatóvá váltak. A pénztár elismerte, hogy az ügyintézőjük hibázott, mikor az nem a „Titkos másolat” funkció segítségével küldte ki a levelet. A hatóság megállapította, hogy jogellenes adattovábbítás történt, továbbá súlyosító tényezőként vette figyelembe, hogy a pénztártag e-mail címe a pénztártitok körébe tartozó információ. A hatóság az adatkezelőt 2.000.000 Ft adatvédelmi bírság megfizetésére kötelezte.
  • A második határozat szintén egy jogellenes körlevél küldést érintett. Egy pénzintézet úgy küldött ki devizahitel-végtörlesztéssel kapcsolatos körlevelet 600 érintett részére, hogy a „Titkos másolat” funkciót mellőzték és ezáltal az elektronikus levélcímek minden címzett számára elérhetővé váltak. A Hatóság a bírság kiszabása során figyelembe vette, hogy a jogsértés személyek széles körét érinti, továbbá kimondta, hogy pénzintézetnek az adatvédelmi intézkedéseire különös figyelmet kell fordítania. A hatóság 800.000 Ft bírság megfizetésére kötelezte az adatkezelőt.
  • A harmadik határozat egy felszámolás alatt levő céget érintett, amely „nyitott (nyílászáró nélküli istállóban) helyiségben felszámolt szervezetek, köztük egykori állami vállalatok, szövetkezetek iratanyagát tárolta őrizetlenül”. A hatóság megállapítása szerint a kötelezett a legminimálisabb (ajtó felszerelése, az épület lezárása) intézkedéseket sem tette meg az iratok védelme érdekében, és 5.000.000 Ft bírságot szabott ki.


A fenti határozatok alapján egyértelműen látszódik, hogy a Hatóság a bírságolást – más országok adatvédelmi hatóságaihoz hasonlóan – az adatvédelmi megfelelőség kikényszerítésének eszközeként használja fel. Ehhez kapcsolódik két hazai szabályozási sajátosság:

  • egyrészről Infotv a kiszabható bírság mértékét legfeljebb tízmillió forintig korlátozza, ami anyagilag erős adatkezelőkkel szemben vajmi kevés mozgásteret ad a Hatóság részére;
  • másrészről az Infotv a bírság kiszabásához kevés támpontot ad, mivel a Hatóságnak csak „az eset összes körülményeinek”, így különösen a jogsértéssel érintettek körének nagyságát, a jogsértés súlyát és a jogsértés ismétlődő jellegének figyelembe vételét írja elő. Ezzel szemben hiányozik olyan lényeges szempontok nevesítése, mint a felróhatóság, az érintett adatok természete, az elérni kívánt előny, illetve okozott kár / hátrány figyelembe vétele, vagy az, hogy milyen szervezési intézkedések történtek az adatkezelő részéről a megfelelőség megteremtése érdekében.

A körlevél kiküldéssel kapcsolatos esetek érdekessége, hogy a bírságolásra nem kéretlen e-mailek miatt került sor, mivel az e-mail küldéséhez az adatkezelők minden esetben megfelelő hozzájárulással rendelkeztek. A jogellenes adatkezelés egyik esetben sem szándékosan, hanem ügyintézői hanyagságból valósult meg, azonban megfelelő szervezési intézkedések útján azok megelőzhetőek lettek volna. A körleveles bírságoló határozatok olyan esetekre reflektáltak, melyek mindennapinak tekinthetőek: ki ne kapott volna olyan üzenetet (esetlegesen egy kedves karácsonyi üzenetet) olyan ügyintézőtől, amelyen valamennyi (sokszor több száz) címzett elérhetősége látható volt. Az ilyen és hasonló esetek károkozó jellege egyértelmű: az ilyen ügyekből profitálnak azok, akik jogellenesen címlistát készítenek, melyet azután kéretlen reklámok küldésére használhatnak fel vagy tovább adhatnak. Amennyiben a hasonló esetek elkerülésére már pénzügyi szervezetek sem ügyelnek, ott igen nagy baj van. A bírság kiszabása tehát mindkét esetben indokolt volt.

Az irattározással kapcsolatos eset igen magas bírságösszeget eredményezett. Tekintettel azonban arra, hogy a kötelezett felszámolás alatt áll és ezért a bírság behajthatatlansága is borítékolható, a bírság-kiszabás visszatartó erejét egyedül a határozat közzététele adja.