2021. június 22-én nyilvánosságra hozott döntésében a francia adatvédelmi hatóság („Commission nationale de l’informatique et des libertés” – „CNIL”) 1.750.000 euró (körülbelül 623 millió Forint) bírságot szabott ki a GDPR megszegése miatt az AG2R La Mondiale csoporthoz tartozó, kiegészítő nyugdíjalap- és kiegészítő nyugdíjjal kapcsolatos szolgáltatásokat nyújtó SGAM AG2R La Mondiale kölcsönös biztosító pénztárra. De mit is érdemes tudni az ügyről? Mik a legfontosabb tanulságai?
A vizsgálat előzményei
A SGAM AG2R La Mondiale egyrészt a magánszektorban foglalkoztatottak kiegészítő nyugdíját kezeli, másrészt biztosítási tevékenységet folytat. Ezen túlmenően a vállalatcsoporton belül ez a vállalat felelős a biztosítási tevékenység koordinálásáért az ellátási, a hosszú távú gondozási, az egészségügyi, a megtakarítási és a kiegészítő nyugdíjbiztosítások terén.
A CNIL 2019 októberében hivatalból indított ellenőrzést a vállalat adatkezeléseivel kapcsolatban, mely során helyszíni ellenőrzést tartott az AG2R La Mondiale csoport telephelyén. A vizsgálat célja a GDPR rendelkezéseinek való megfelelés ellenőrzése volt, különös tekintettel a személyes adatok megőrzési és tárolási idejére, valamint az érintettnek nyújtott megfelelő tájékoztatásra.
A személyes adatok megőrzési és tárolási ideje
A CNIL kiemelten vizsgálta a GDPR 5. cikke (1) bekezdése e) pontja alapján a „korlátozott tárolhatóság elvének” teljesülését. Eszerint a személyes adatok „tárolásának olyan formában kell történnie, amely az érintettek azonosítását csak a személyes adatok kezelése céljainak eléréséhez szükséges ideig teszi lehetővé”. A gyakorlatban ez azt jelenti, hogy személyes adatokat az adatkezelés céljaihoz szükségesnél hosszabb ideig nem szabad megőrizni. Az adatkezelést a CNIL a vállalat termékei és szolgáltatásai iránt érdeklődők, a lehetséges ügyfelek, valamint a jelenlegi ügyfelek személyes adatainak tárolásával kapcsolatban vizsgálta.
Érdeklődők és lehetséges jövőbeni ügyfelek személyes adatainak tárolása
A vállalat nyilatkozata szerint rendelkezett a leendő ügyfelei személyes adatainak megőrzési idejét meghatározó belső szabályzattal. A vállalat ugyanakkor azt is kijelentette, hogy ennek ellenére a belső szabályzatban megállapított adattárolási időszakokat – a pénzmosás elleni küzdelemmel és az egészségügyi adatokkal kapcsolatos adatkezelések esetét kivéve – ténylegesen nem valósították meg az IT rendszereikben. Így az adatvédelmi szabályrendszer belsős dokumentáció formájában ugyan létezett, de ahhoz kapcsolódó tényleges technikai és szervezési intézkedéseket csak részben valósították meg.
A belső adatvédelmi szabályok szerint az adatokat az adatbázisban történő regisztráció vagy a lehetséges ügyfél kezdeményezésére történő utolsó kapcsolatfelvételt követő legfeljebb három évig lehetett megőrizni. A CNIL ellenőrzése feltárta, hogy ezzel szemben a vállalat aktív (a folyamatosan használt adatokat tartalmazó) adatbázisában közel 2.000 olyan lehetséges ügyfél személyes adatait tárolták, akik több, mint három éve nem léptek kapcsolatba a biztosítóval, köztük körülbelül 1.400 korábbi érdeklődő több, mint öt éve nem kereste a kapcsolatot a vállalattal. A CNIL ezzel kapcsolatban kifejtette, hogy a hároméves adatmegőrzési idő összhangban áll az általa 2013 júliusában kiadott, NS-056. számú, biztosítási, tőkésítési, viszontbiztosításai és segítségnyújtási szervezetek, valamint a biztosításközvetítők által végrehajtott, az ügyfelek és az érdeklődők személyes adatainak automatizált kezelésére vonatkozó ajánlásban foglaltakkal. Ugyan ez az ajánlás a GDPR-t megelőzően jelent meg, az adatkezelők számára továbbra is viszonyítási alapként szolgál, lehetővé téve számukra a megfelelés biztosítását.
A CNIL a fentiek alapján megállapította, hogy a vállalat aránytalanul hosszú ideig őrizte meg leendő ügyfelei személyes adatait, akkor is, amikor azok már több, mint öt éve érdeklődtek a vállalat által kínált termékek és szolgáltatások iránt. A CNIL ugyanakkor figyelembe vette, hogy az általa folytatott helyszíni ellenőrzést követően a vállalat a távértékesítésre irányuló kereskedelmi célú üzletszerzésre szánt alkalmazás alapjául szolgáló adatbázisból a CNIL megállapításainak megfelelően törölte a lehetséges ügyfelek adatait, és új belső eljárást vezetett be az inaktív érdeklődők adatainak havi rendszerességű törlésére.
Magyarországon a megfelelő időtartamot a biztosítási tevékenységről szóló 2014. évi LXXXVIII. törvény (Bit.) szabályozza. A Bit. 143. § (1) bekezdése szerint a biztosító és a viszontbiztosító a létre nem jött biztosítási szerződéssel kapcsolatos személyes adatokat kezelhet, ameddig a szerződés létrejöttének meghiúsulásával kapcsolatban igény érvényesíthető. Az igényérvényesítés lehetséges ideje a hitelintézetekről és a pénzügyi vállalkozásokról szóló 2013. évi CCXXXVII. törvény (Hpt.) 166/A § (3) bekezdése értelmében az általános polgári jogi elévülési időnek felel meg, azaz a Ptk. 6:22 § szerinti öt év. Továbbá, a Bit. 143. § (2) bekezdése alapján a biztosító és a viszontbiztosító köteles törölni minden olyan, ügyfeleivel, volt ügyfeleivel vagy létre nem jött szerződéssel kapcsolatos személyes adatot, amelynek kezelése esetében az adatkezelési cél megszűnt, vagy amelynek kezeléséhez az érintett hozzájárulása nem áll rendelkezésre, illetve amelynek kezeléséhez nincs törvényi jogalap. A törvény itt nem határoz meg konkrét adatmegőrzési időtartamot, helyette az adatkezelés megengedett időtartamát az adatkezelés jogalapjához, illetve céljának fennállásához köti.
Meglévő ügyfelek személyes adatainak tárolása
A CNIL az ügyféladatok megőrzésével kapcsolatban a megőrzése időtartam arányosságának értékelésekor figyelembe vette a biztosítási ügyek sajátos jellegét. Biztosítási ügyekben az ügyféladatok megőrzési idejének lehetővé kell tennie különösen a biztosítási és egyes kereskedelmi tevékenységekre vonatkozó (tagállami) jogszabályok által meghatározott határidők betartását. A vizsgált esetben ugyanakkor a CNIL megállapította, hogy a vállalat a jogszabályban meghatározott határidőn túl is aktív adatbázisban őrizte olyan korábbi ügyfelei adatait, akik biztosítási szerződése lejárt és a biztosítási jogviszonya a társasággal megszűnt. A tárolt adatok köre: személyazonosító adatok, banki adatok, szakmai- és magánéletre életre, biztosításra vonatkozó adatok, és egészségügyi adatok.
A CNIL az adatmegőrzési időtartamokat azonosította:
- A francia kereskedelmi törvénykönyv (Code de commerce) alapján a szerződés megszűnésétől számított kettő, egyes számviteli dokumentumok esetében tíz évig tárolható adatokat a vállalat több mint tíz, esetenként több, mint harminc éven keresztül őrizte. Magyarországon a megfelelő időtartam a számvitelről szóló 2000. évi C. törvény (Szt.) 169. § (1) bekezdése alapján a szerződés megszűnésétől számított 8 év.
- A francia biztosítási törvénykönyv (Code des assurances) alapján személyes adatokat a szerződés megszűnésétől számított harminc évig terjedő időtartamig lehet megőrizni jogviták kezelése céljából. A vállalat az adatokat hosszabb ideig őrizte, újabb adatkezelési a cél megjelölése nélkül. Magyarországon a biztosítók adatkezelésére vonatkozó megfelelő időtartamot több ágazati jogszabály szabályozza. A Bit. 142. § (3) bekezdése alapján a biztosító és a viszontbiztosító a személyes adatokat a biztosítási jogviszony fennállásának idején, valamint azon időtartam alatt kezelheti, ameddig a biztosítási jogviszonnyal kapcsolatban igény érvényesíthető, amely a Hpt. fent is hivatkozott 166/A. § (3) bekezdése értelmében az általános polgári jogi elévülési időnek felel meg, vagyis a Ptk. 6:22 § szerinti öt év. A biztosítók általi adatkezelési időtartamot állapít meg továbbá például a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (Pmt.) 56. § (2) bekezdése is, mely szerint a biztosító az ügyfél-azonosítási kötelezettség teljesítése során megszerzett személyes adatokat e célból az üzleti kapcsolat megszűnésétől, illetve az ügyleti megbízás teljesítésétől számított nyolc évig kezelheti. Hasonlóan a szerződéses kapcsolat megszűnésétől számított nyolc éves adatmegőrzési időtartamot ír elő a Magyarország Kormánya és az Amerikai Egyesült Államok Kormánya között a nemzetközi adóügyi megfelelés előmozdításáról és a FATCA szabályozás végrehajtásáról szóló Megállapodás kihirdetéséről, valamint az ezzel összefüggő egyes törvények módosításáról szóló 2014. évi XIX. törvény (FATCA törvény) is.
- A francia polgári törvénykönyv (Code civil) alapján egy szerződést a megszűnését követő öt évig lehet megőrizni; a vállalat ugyanakkor az egészségügyi szerződésekhez kapcsolódó adatokat közel másfél millió ügyfél esetében több, mint tíz, több ezer ügyfél esetében több, mint harminc éven át őrizte. Magyarországon a megfelelő időtartam az általános polgári jogi elévülési időre vonatkozó szabályoknak megfelelően a Ptk. 6:22 § szerinti öt év lenne.
A vállalat nem alakított ki továbbá olyan archiválási rendszert, amely az egészségügyi szolgáltatásokra vonatkozó adatokon kívül lehetővé tette volna az ügyféladatok számviteli célú megőrzését inaktív adatbázisokban. Nem volt továbbá megfelelő archiválási rendszere az adóügyi vagy peres ügyekben való megőrzési kötelezettség teljesítésére, akár erre a célra létrehozott archív adatbázisban, akár hozzáférési korlátozások bevezetésével – pedig ez adatbiztonsági szempontból elvárható lett volna.
A GDPR 13 . és 14. cikke szerinti tájékoztatási kötelezettség
Az SGAM AG2R La Mondiale az általa összeállított híváslistákon szereplő ügyfelek és érdeklődők körében végzett telefonhívások lebonyolítására alvállalkozókat bízott meg. A SGAM AG2R La Mondiale a telefonbeszélgetések véletlenszerűen kiválasztott 30 %-át a szolgáltatás minőségének fejlesztése céljából rögzítette anélkül, hogy a hívó felet tájékoztatták volna a rögzítésről vagy a rögzítéssel szembeni tiltakozáshoz való jogról. A megkeresett érintettek ezen kívül nem kaptak egyéb tájékoztatást a személyes adataik kezeléséről, a rögzítés céljáról, a rögzített adatok megőrzésének időtartamáról, és adatvédelmi jogaikról. Az érintetteknek nem kínálták fel azt a lehetőséget sem, hogy teljesebb információhoz jussanak, például a telefonjukon lévő gomb megnyomásával.
Korrekciós intézkedések és a bírság mértéke
A bírság kiszabása során a CNIL figyelembe vette a GDPR 83. cikke szerint bírságot csökkentő, illetve növelő tényezőket.
Bírságcsökkentő tényezőként értékelte a hatóság, hogy a helyszíni ellenőrzést követően a vállalat gyors korrekciós intézkedéseket hozott a feltárt hiányosságok megszüntetésére. Ettől függetlenül a CNIL úgy értékelte, hogy a vállalat súlyos gondatlanságot tanúsított a GDPR-ban foglalt alapelvek megsértése tekintetében – megszegte az adatmegőrzési idő korlátozására vonatkozó 5. cikk (1) bekezdés e) pont „korlátozott tárolhatóság elvét”, és az érintetteket sem tájékoztatta megfelelően személyes adataik kezeléséről.
Végezetül, a hatóság kiemelte a közigazgatási bírság preventív, és egyben arányos jellegét, amely kiszabása során a jogsértés minősége mellett figyelembe kell venni a vizsgált vállalat tevékenységét és pénzügyi helyzetét.
A határozat nyilvánosságra hozatalát a CNIL azzal indokolta, hogy az SGAM AG2R La Mondiale a szociális védelem és vagyonkezelés kiemelt szereplője, és tevékenysége során több millió érintett személyes adatait kezeli.