Nem járt el jogszerűen a BKV Zrt., amikor az általa követelés, bírságolás céljából kezelt személyes adatok közül kiválogatta a budapesti Gábor Áron utca lakóihoz köthetőket – állapította meg az adatvédelmi biztos. Az adatkezelő ugyanis csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében kezelhet személyes adatot, ami ebben az esetben nem így történt.
A 91-es busz az új menetrend szerint érinti a Gábor Áron utcát is. Az ott lakók ezt kifogásolták, környezetszennyezőnek és feleslegesnek nevezték. A BKV Zrt. viszont a közérdekre hivatkozott. Ennek alátámasztására a vállalat egyik akkori vezetője elrendelte, válogassák ki a BKV birságolási adatbázisából azok nevét, akik nem fizették be a rájuk kivetett pótdíjat – amivel a vállalat azt akarta bizonyítani, hogy az utca lakói is igénybe veszik a járatot.
A Jóri András adatvédelmi biztos irodájába érkezett panaszos beadvány ezt az adatgyűjtést kifogásolta. A biztos megkereste a BKV Zrt.-t és a közlekedési vállalat jogi igazgatója válaszlevelében arról tájékoztatta, hogy valóban kigyűjtötték a Gábor Áron utcában lakók pótdíjtartozásait. Aki ezt elrendelte, a társaság volt értékesítési vezérigazgató-helyettese azonban már nem dolgozik a cégnél, ezért céljáról, szándékáról a BKV Zrt.-nek nem áll módjában nyilatkozni. A gyűjtéssel létrehozott adatbázist megsemmisítették.
Az adatvédelmi biztos mindezekkel kapcsolatban leszögezte, hogy a BKV Zrt. a tevékenysége során kezelt személyes adatok védelméért, mint adatkezelő felelős. Csak az adatkezelés céljának megvalósulásához elengedhetetlen személyes adat kezelhető, olyan mértékben, ami a cél elérésére alkalmas, és csak annyi ideig, amennyi a cél megvalósulásához szükséges.
A BKV Zrt nem járt el jogszerűen, amikor a bírságolás miatt kezelt személyes adatok közül azért válogatta ki a budapesti Gábor Áron utca lakóinak adatait, hogy azokat felhasználja egy közleményéhez. A céltól eltérő, jogellenes adatkezelés attól függetlenül megállapítható, hogy a válogatást a vállalat egy volt dolgozója végeztette el. A BKV Zrt. ugyanis felelősséggel tartozik a munkavállalója adatkezeléséért. Adatkezelőként köteles gondoskodni az adatok biztonságáról, meg kell tennie azokat a technikai és szervezési intézkedéseket és ki kell alakítania azokat az eljárási szabályokat, amelyek az adatvédelmi törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényesítéséhez szükségesek. Az adatokat védeni kell, különösen a jogosulatlan hozzáférés, nyilvánosságra hozatal ellen. A BKV Zrt. tehát köteles olyan belső szabályokat alkotni, amelyekkel megelőzhető, hogy az illetéktelen munkavállalók, vagy harmadik személyek az adatbázisokhoz hozzáférjenek, azokból jogosulatlanul válogassanak.
Az adatvédelmi biztos felhívta a BKV Zrt. vezetőit, tegyék meg a szükséges intézkedéseket, hogy a vállalat által kezelt adatbázisokból a jövőben hasonló jogosulatlan módon ne lehessen adatokat gyűjteni.