2018. október 09.

A NAIH bírságolt a GDPR hatálybalépése után is

Négy nappal a GDPR-rendelet hatálybalépése után büntetett a NAIH adatkezelési ügyben.

A NAIH akkor kezdett vizsgálódni, amikor korábban bejelentést kapott, hogy a MKOSZ nyilvánosan elérhető oldalán bárki hozzáférhet a nyilvántartásban szereplő több mint 65 ezer játékos olyan személyes adataihoz, mint neve, születési ideje és helye, anyja neve, állampolgársága, testmagassága, lakcíme és fényképe. Az ügy azért volt különösen súlyos, mert a nyilvántartás több mint 30 ezer kiskorú adatait is tartalmazta.

Az MKOSZ tájékoztatása szerint a nyilvános adatbázisra azért volt szükség, hogy a sportszervezetek hozzáférjenek az adatokhoz és így biztosak legyenek abban, hogy adott név alatt nem szerepel más sportoló, illetve, hogy mérkőzésekkor szükség esetén ellenőrizhessék a játékengedélyeket. Így kívánták biztosítani, hogy ne léphessen pályára olyan sportoló, aki arra egyébként nem jogosult.

„Az ügy azért volt súlyos, mert a hozzájárulás nem tekinthető önkéntesnek, - magyarázza Dr. Bitai Zsófia GDPR-szakjogász - mivel az önkéntesség nem csak azt jelenti, hogy egy nyilatkozatban az érintett játékos elfogadja az adatkezelést, hanem mindenfajta külső befolyástól mentesnek kell lennie. Ez jelen esetben nem valósult meg, mert a hozzájárulás elmaradásakor a játékos nem kapott játékengedélyt. Ráadásul a személyes adatok nyilvánosságra hozatala egy bárki által hozzáférhető és kereshető adatbázisban nem elengedhetetlenül szükséges az adatkezelés céljának eléréséhez és nincs is szükség ilyen sok adat megadására.”

„A nyilvántartásban szereplő adatok közzététele jelentős kockázatot jelenthet a gyermekek biztonságára, – folytatja a szakértő – mivel a gyermekek a nyilvántartásban név szerint, fényképpel és – a legtöbb esetben – lakcímmel azonosítva szerepelnek, amely adatok esetén fennáll a pontos azonosítás veszélye.”

A NAIH megállapította, hogy az adatkezelő a 2013 előtt nyilvánosságra hozott adatok kezeléséhez egyáltalán nem szerezte be az érintettek hozzájárulását, így ezen adatokat jogalap nélkül kezelte, a nyilvántartásból a személyes adatokat pedig csak az érintett kifejezett kérése esetén törölték, így olyanok adatai is nyilvánosságra kerültek, akik már nem is voltak játékosok - írják.

„Az adatok alapján az látható, hogy az MKOSZ-t ugyan már a GDPR-rendelet hatálybalépése után büntette meg a NAIH, de még a korábbi info törvény alapján.” - mondja Dr. Bitai Zsófia. – „Ha már a GDPR-rendeletet kellett volna alkalmazni, akkor a Magyar Kosárlabdázók Országos Szövetsége valószínűleg sokkal nagyobb büntetést kapott volna.”

Címkék: gazdaság naih jog gdpr