Beadvánnyal fordultak a NAIH-hoz, melyben kifogásolták az engedményezéssel megszerzett követeléssel kapcsolatos adatkezelést.
Sok félreértés származik abból, hogy ki és milyen célból végez adatkezelést:
“Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 5. §-a alapján személyes adat akkor kezelhető, ha ahhoz az érintett1 hozzájárul, vagy azt törvény – törvény felhatalmazása alapján, az abban meghatározott körben – helyi önkormányzat rendelete közérdeken alapuló célból elrendeli.
Az egyes adósságbehajtással foglalkozó cégek adatátvételének jogalapja különböző lehet, attól függően, hogy az alapkövetelés jogosultja maga, vagy jogi képviselő útján próbálja érvényesíteni a követelést, engedményezi a követelést, esetleg az alapszerződésben foglaltak alapján ruházza át követelését adósságkezelő cégnek. Az engedményezési és a megbízási jogcím között az a lényeges különbség, hogy míg a megbízás esetén a követelés behajtása a szolgáltató nevében folyik, addig engedményezés esetén a behajtó cég, vagy ügyvédi iroda saját nevében szólítja fel a fogyasztót/ügyfelet teljesítésre. ”
Így a következőket állapítja meg a Hatóság:
“A Ptk. engedményezés szabályai szerint a jogosult a kötelezettel szembeni követelését másra ruházhatja át.2 Az engedményezés természetes velejárója a követelés érvényesítéséhez szükséges adatok átadása. Az engedményezésről az érintettet értesíteni kell, a kötelezett az értesítésig jogosult az engedményezőnek teljesíteni. Az engedményezett követelés kötelezettjének hozzájárulására a szerződés létrejöttéhez nincs szükség. A követelések Ptk. 6:193. §-a alapján történő értékesítésekor, az adatátadáshoz a jogcímet maga a Ptk. teremti meg, így a követelésekhez kapcsolódó személyes adatok célhoz kötött továbbítása adatvédelmi szempontból nem kifogásolható.
Az adós megfelelő engedményezési értesítés esetén köteles teljesíteni és a teljesítéssel szabadul a kötelemből függetlenül attól, hogy az engedményezés érvényes volt-e. Az engedményezést követően az adós a tartozását az engedményezőtől vagy az engedményestől származó teljesítési utasításban közöltek szerint köteles teljesíteni.
A fenti szabályok alapján az érintett tudomást szerez a fennálló követelés és az ahhoz kötődő személyes adatai továbbításáról. Természetesen emellett az érintett mindkét adatkezelővel szemben élhet az Infotv. 14.3 és 15. §4-ában biztosított tájékoztatáshoz való jogával. Mindemellett arra is lehetősége van az alapkövetelés jogosultjának, hogy egy követeléskezelővel megbízási szerződést kössön arra nézve, hogy a megbízó nevében és javára hajtsa be az adósságot.
A megbízás szabályait a Ptk. határozza meg. A megbízási szerződés alapján a megbízott a megbízó által rábízott feladat ellátására, a megbízó a megbízási díj megfizetésére köteles.
Az adatkezelő a személyes adatok kezelése során az Infotv. rendelkezéseinek megtartásával köteles eljárni, azaz a megfelelő jogalappal történő adatátadások során is be kell tartani az Infotv. alapelveit, így a célhoz kötött adatkezelés elvét6, az adatbiztonság és az adatok minősége biztosításának követelményeit, valamint figyelembe kell venni az érintettek jogait, és biztosítani kell azok érvényesülését is.”
Tehát a fentiek figyelembevételével kezelhetők az adatok. További részleteket is érdemes figyelembe venni:
“A Hatóság felhívja a figyelmét továbbá a Hatóság honlapján található követelésbehajtással,hátralékkezeléssel kapcsolatban kiadott ajánlására (http://www.naih.hu/files/ajanlas-koveteleskezeles2014-07-03.pdf), melyben részletes tájékoztatást olvashat többek között az adatkezelés jogalapjáról, a követeléskezelő cégeknek az adatalanyok részére nyújtandó tájékoztatási kötelezettségéről.
2. Az Infotv. 7. § (3) bekezdése7 alapján az adatkezelőnek a kezelt adatokat többek között védenie kell a tekintetben is, hogy azok illetéktelen személy birtokába ne juthassanak. Emiatt a telefonhívások
során is olyan azonosító rendszert kell kiépíteni, amely egyértelműen kizárja a visszaélés lehetőségét.
A távollevők között nehéz meggyőződnie a hívó félnek arról, hogy valóban az ügyféllel beszél, valamint az ügyfélben is aggályokat ébreszt az a gyakorlat, ha valaki felhívja, és személyes adatainak
megadására, azaz ún. „soft-azonosításra” kéri, hogy az esetleges banktitkot – például, hogy mi a követelés alapja, mennyi a követelés összege – ne adja ki illetéktelen harmadik személy részére. A Társaság azon gyakorlata, miszerint természetes személyazonosító adatok megadását kéri az ügyféltől
azonosítása érdekében, a banktitokról való tájékoztatás szempontjából nem kifogásolható. Ugyanakkor nem ajánlott telefonon keresztül az adatok kiszolgáltatása, egyrészt, mert az adatkezelő általában nem tud teljes körű tájékoztatást adni az adatkezelésről (pl. mi az adatkezelés célja, jogalapja, stb.)
telefonon, másrészt az írásbeli felkeresés, a levélben közölt információ alapján tudja az ügyfél megfelelően mérlegelni a válaszadást vagy annak elutasítását.”
Az ügyfélazonosításról és a továbbiakról így ír a NAIH Dr Péterfalvi Attila által szignózott levele:
Mindemellett a Hatóság megjegyzi, hogy az ügyfélazonosításnak más lehetséges módjai is vannak, például ha az ügyfélszámmal vagy ügyszámmal történik. Továbbá az adattakarékosság elvének figyelembe vételével nem szükséges valamennyi természetes személyazonosító adat megadása az azonosításhoz.
3. A Hatóság azt javasolja, hogy az azonosításhoz szükséges természetes személyazonosító adatain túl ne adja meg a Társaságnak további személyes adatait, így különösen elérhetőségi adatait –levelezési címét vagy e-mail címét –, mivel a követeléskezelő a jogos érdekére hivatkozással azokat hozzájárulása visszavonását követően, kérésére sem fogja törölni, – ahogyan arra a Társaság az Önnek címzett 2018. március 5-én kelt levelében felhívta a figyelmét – és a követelés behajtása érdekében továbbra is fel fogja használni.
Kifogásolható továbbá, hogy a Társaság az e-mailben, amelyben személyes adatok megadását kérte Öntől nem ad megfelelő tájékoztatást a jogos érdek alapján történő adatkezelésről, csak hivatkozik rá.
A jogos érdeken alapuló adatkezelésről bővebben a AIH/2015/21/20/H. számú határozat (http://naih.hu/files/21_2015_hatarozat.pdf) 2.4.2. pontjában az „Érdekmérlegelésen alapuló adatkezelés” cím alatt olvashat (31-37. oldal).
Adatvédelmi szempontból az a legmegfelelőbb megoldás, ha az ügyfél személyesen vagy írásban veszi fel a kapcsolatot az adott céggel, intézménnyel, amennyiben nincs meggyőződve róla, hogy ki telefonál, illetőleg csak egyszerűen nem kívánja személyes adatait telefonon megadni az ügyintézőnek.
4. A Hatóság – eljárási kereteket nélkülöző, konzultációs válaszként kiadott – jelen tájékoztatása sem jogszabálynak, sem egyéb jogi eszköznek nem tekinthető, az normatív jelleggel, jogi erővel, illetve kötelező tartalommal nem rendelkezik. A Hatóság jelen ügyben rendelkezésre bocsátott információk alapján kialakított jogértelmezése más hatóságot, a bíróságot és az adatkezelőt nem köti, annak csak iránymutató jellege van.”
