Négy nappal a GDPR-rendelet hatálybalépése után büntetett a NAIH adatkezelési ügyben. A Magyar Kosárlabdázók Országos Szövetségére szabtak ki másfél millió forintos adatvédelmi bírságot a játékos-nyilvántartó rendszerével kapcsolatos jogellenes adatkezelés és tájékoztatás miatt.
A NAIH akkor kezdett vizsgálódni, amikor korábban bejelentést kapott, hogy a szövetség nyilvánosan elérhető oldalán bárki hozzáférhet a nyilvántartásban szereplő több mint 65 ezer játékos olyan személyes adataihoz, mint neve, születési ideje és helye, anyja neve, állampolgársága, testmagassága, lakcíme és fényképe. Az ügy azért volt különösen súlyos, mert a nyilvántartás több mint 30 ezer kiskorú adatait is tartalmazta.
Az MKOSZ tájékoztatása szerint a nyilvános adatbázisra azért volt szükség, hogy a sportszervezetek hozzáférjenek az adatokhoz és így biztosak legyenek abban, hogy adott név alatt nem szerepel más sportoló, illetve, hogy mérkőzésekkor szükség esetén ellenőrizhessék a játékengedélyeket. Így kívánták biztosítani, hogy ne léphessen pályára olyan sportoló, aki arra egyébként nem jogosult.
„Az ügy azért volt súlyos, mert a hozzájárulás nem tekinthető önkéntesnek, – magyarázza Bitai Zsófia GDPR-szakjogász – mivel az önkéntesség nem csak azt jelenti, hogy egy nyilatkozatban az érintett játékos elfogadja az adatkezelést, hanem mindenfajta külső befolyástól mentesnek kell lennie. Ez jelen esetben nem valósult meg, mert a hozzájárulás elmaradásakor a játékos nem kapott játékengedélyt. Ráadásul a személyes adatok nyilvánosságra hozatala egy bárki által hozzáférhető és kereshető adatbázisban nem elengedhetetlenül szükséges az adatkezelés céljának eléréséhez és nincs is szükség ilyen sok adat megadására.”
„A nyilvántartásban szereplő adatok közzététele jelentős kockázatot jelenthet a gyermekek biztonságára,” – folytatja a szakértő – mivel a gyermekek a nyilvántartásban név szerint, fényképpel és – a legtöbb esetben – lakcímmel azonosítva szerepelnek, amely adatok esetén fennáll a pontos azonosítás veszélye.”
A NAIH megállapította, hogy az adatkezelő a 2013 előtt nyilvánosságra hozott adatok kezeléséhez egyáltalán nem szerezte be az érintettek hozzájárulását, így ezen adatokat jogalap nélkül kezelte, a nyilvántartásból a személyes adatokat pedig csak az érintett kifejezett kérése esetén törölték, így olyanok adatai is nyilvánosságra kerültek, akik már nem is voltak játékosok.
„Az adatok alapján az látható, hogy az MKOSZ-t ugyan már a GDPR-rendelet hatálybalépése után büntette meg a NAIH, de még a korábbi info törvény alapján.” – mondja Bitai Zsófia. – „Ha már a GDPR-rendeletet kellett volna alkalmazni, akkor a Magyar Kosárlabdázók Országos Szövetsége valószínűleg sokkal nagyobb büntetést kapott volna.”