Adatvédelem és információszabadság

A szolgáltatóknak ellenőrizniük kell a kapcsolati ügyféladatok valódiságát

email

A minap futottam bele egy rendkívül érdekes, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által kiadott határozatba. A NAIH 10.000.000 Ft adatvédelmi bírság megfizetésére kötelezte a Magyar Telekom Nyrt-t, ami az eset körülményeire tekintettel még akkor is egy jelentősebb összeg, ha egy ekkor óriásvállalatról van szó. De nem a bírság az érdekes, hanem az, amiért kapta.

Történt ugyanis, hogy a Magyar Telekom Nyrt. egyik ügyfele valaki másnak az email címét adta meg sajátjaként. A vállalat pedig elkezdett levelezni valakivel, aki valójában nem is az ügyfele, és értelemszerűen engedélyt sem adott az adatkezelésre. Teszem azt hozzá ez az eset is jól példázza az email cím személyes adat jellegét, függetlenül attól, hogy az egy értelmes cím-e, vagy sem.

Az adatvédelmi jogaiban sértett fél 2020. december 18. napján kérelmet nyújtott be a NAIH-hoz, amelyben előadta, hogy a Magyar Telekom Nyrt-től 2020. november 13-án kéretlen elektronikus levelet kapott az email fiókjába, mivel feltehetően egy harmadik személy tévesen adta meg az címet (amelyet a Gmail szolgáltatás azonosnak tekint minden, a “@” jel előtti ponttal elválasztott változattal).

A panaszos 2020. november 13-án az ugyfelszolgalat@telekom.hu email címre küldött kérést az ő tulajdonában lévő email cím törlésére, megjelölve, hogy nem a cég ügyfele. Mivel 2020. november 17-én és 2020. november 24-én ismét kéretlen elektronikus leveleket kapott, 2020. november 20-án pedig a vállalat egy sablon válaszában bejelentkezést igénylő hírlevél leiratkozási hivatkozást küldött a sértett félnek, ezért a kérését 2020. november 24-én megismételte.

Kérte továbbá a törlés megtörténtének visszaigazolását, ismét jelezve, hogy nem leiratkozni szeretne a hírlevélről, hanem az email címe teljes törlését kéri. Ezt követően 2020. december 8-án ismét kéretlen elektronikus levelet kapott a cégtől, amely miatt 2020. december 11-én ismét kérte az email címe törlését.

Erre a korábbi válasz megismétlését kapta a hírlevélről való leiratkozási lehetőségről. A kérelem benyújtását követően 2021. január 15-én ismét kéretlen hírlevelet kapott. A Hatóság a Kérelmezett által küldött alábbi email leiratkozási hivatkozásokat megvizsgálta, és azok eleve nem leiratkozási, hanem bejelentkezési képernyőre irányítanak át. Ahova pedig a nem ügyfél nem nyilvánvalóan nem tudott belépni, de mindez eleve mellékes a törlési kérelem negligálása mellett.

A Magyar Telekom Nyrt. azzal védekezett, hogy egy ügyfelük adta meg tévesen saját elektronikus kapcsolattartási címeként. Emiatt az ezen email címre küldött hírlevelekbe nem olyan leiratkozási hivatkozást adtak meg, amely bárki által használható, hanem a leiratkozási hivatkozás a fiókba történő kötelező belépést követően a leiratkozásra szolgáló felületre visz a fiókon belül, így csak az előfizető által használható a leiratkozásra.

Az ügyintéző kollégájuk pedig nem ismerte fel azt, hogy jelen esetben nem egy ügyfelüknek szükséges technikai segítséget nyújtani, mivel az email cím megegyezett egy ügyfelük email címével, ezért nem továbbította a bejelentő kérelmeit a speciális ügyek csoportnak. A speciális ügyek csoport tudomással bírt a Gmail szolgáltatás fent részletezett működési sajátosságáról, amely miatt az érintett email címek azonos fiókhoz tartoznak, és ennek megfelelően válaszolják meg az érintetti kérelmeket. A kérelmező által kért adattörlést végül a hatóság megkeresését követően végrehajtották.

Miközben az ügy első látásra a törlési kérelem nem teljesítése körül forog, valójában egy sokkal izgalmasabb, és informatikai fejlesztések szempontjából lényeges problémára mutat rá. Arra, hogy ebben az esetben a Magyar Telekom Nyrt. – a NAIH szerint – elmulasztotta azt az ellenőrzést, hogy megbizonyosodjon az ügyfele által bejelentett email cím helyességéről, valódiságáról. A feltárt tényállás szerint ugyanis a cég a kapcsolati adatok (telefonszám, email cím) rögzítése esetén semmilyen módon nem ellenőrzi az adott kapcsolati adat feletti ellenőrzési jogosultságot.

Illetve, ha a – személyes adatnak minősülő – kapcsolati adatot nem az arra jogosult adja meg, nem kér semmilyen igazolást arról, hogy a kapcsolati adat (telefonszám, email) jogosultja ahhoz hozzájárult-e. Az általános adatvédelmi rendelet szerinti jogalapok meglétét az adatkezelő az adatkezelés minden szakaszában köteles biztosítani. Például egy egyszeri kód megadásának megkövetelése, melyet SMS-ben vagy emailen az adott telefonszámra, illetve email címre küld, az összes hasonló esetet megelőzheti, és egy nagy hírközlési szolgáltató esetén ez semmiképpen nem aránytalan kötelezettség.

Mindez később valamennyire feloldódik abban, hogy amennyiben bejelentkezést nem igénylő leiratkozási hivatkozást helyezett volna el a vállalat egy hírlevélben, és azt több fiók nevében küldi egy email címre, akkor több leiratkozási hivatkozást is el lehetett volna helyezni, amelyek csak egy-egy fiók tekintetében törlik az email címet. Itt azonban a NAIH hozzáteszi azt is, hogy mivel a jelen ügyben jogosulatlan személy adta meg a kapcsolati címet, ezért ennek nincs érdemi relevanciája. Vagyis az előző problémát ítéli aggályosabbnak a hatóság a véleményem szerint.

Összegezve tehát úgy tűnik, hogy nem lehet adatvédelmi szempontból megfelelő olyan üzleti folyamat – és nyilván, az azt támogató informatikai rendszer – kialakítása, melyben valamilyen formában nem bizonyosodik meg a szolgáltató arról, hogy az adatot bejelentő személy valóban a kapcsolati adat jogosultja.

A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:

Ajánlott tartalom