szm  2003.08.28. 09:16

A vizsgálat azt is megállapította, hogy az Educatio Kht. nem ismerte meg az érintettek adóazonosító jelét, mivel az automatizált technikai rendszer az adóazonosító jel beérkezésekor abból rögtön egy kódot állít elő, így az adóazonosító jel azonnal, automatikusan törlődik. A képzett kódból az adóazonosító jel rekonstruálása nem lehetséges, a kód meghatározott természetes személlyel nem hozható összefüggésbe.

Az adatvédelmi biztos felszólította az Educatio Kht. ügyvezetőjét, tegye meg a megfelelő intézkedéseket arra vonatkozóan, hogy az adóazonosító jelet az Educatio Kht. részére az értékesítő helyek ne továbbítsák, és a jövőben technikai kód képzésére azt ne használják

Az adatvédelmi biztosnak az Educatio Kht. ügyvezetőjének címzett állásfoglalása teljes terjedelmében az alábbiakban olvasható.

Tisztelt Ügyvezető Igazgató Úr!

Egy beadvány alapján vizsgálatot folytattam a Sulinet Express program során történő adatkezelésre vonatkozóan. A panaszos véleménye szerint a program keretében megvásárolható termékeket értékesítő helyek és a program üzemeltetője, az Educatio Kht. jogosulatlanul kezeli a vevők adóazonosító jelét és a vásárlás körülményeire vonatkozó adatokat. A vizsgálat során megállapítottam, hogy a Sulinet Express Monitor (továbbiakban: SEM) rendszerének működése nem mindenben felel meg az adatvédelmi követelményeknek. Sajnálatosnak tartom, hogy a rendszer működésének megindítása előtt nem kérték a véleményemet és hivatalommal nem egyeztettek, mert ebben az esetben az adatvédelmi problémák elkerülhetőek lettek volna. A vizsgálat részletes megállapításairól az alábbiakban tájékoztatom:

A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (továbbiakban: Avtv.) 2. § 1. pontja szerint „személyes adat a meghatározott természetes személlyel kapcsolatba hozható adat, az adatból levonható, az érintettre vonatkozó következtetés. A személyes adat az adatkezelés során mindaddig megőrzi e minőségét, amíg kapcsolata az érintettel helyreállítható.” Ennek megfelelően a vásárló adóazonosító jele, a vásárlás körülményei (számlaszám, ár stb.) személyes adatoknak minősülnek, mivel a vásárlás során egy meghatározott természetes személlyel kapcsolatba hozhatóak.

„Adatkezelés: az alkalmazott eljárástól függetlenül a személyes adatok gyűjtése, felvétele és tárolása, feldolgozása, hasznosítása (ideértve a továbbítást és a nyilvánosságra hozatalt) és törlése.” (Avtv. 2. § 4. a/ pont)

Az Avtv. 3. § (1) bekezdése alapján személyes adat akkor kezelhető, ha ahhoz az érintett hozzájárul, vagy azt törvény elrendeli, így a fenti személyes adatok kezeléséhez is törvényi felhatalmazás vagy az érintettek hozzájárulása szükséges. A programban résztvevő értékesítő helyek esetében az adatok felvételére, rögzítésére való felhatalmazást az adótörvények adják meg, ugyanis az adózás rendjéről szóló 1990. évi XCI. tv. 16. § (5) bekezdése szerint a magánszemély az adóazonosító jelét közli az adókedvezmény igénybevételére jogosító igazolást kiállító szervvel, ha ezzel összefüggésben azt adatszolgáltatási kötelezettség terheli, továbbá a 45. § (4) bekezdése előírja, hogy az adóhatósághoz adatot szolgáltat az adókedvezmény igénybevételére jogosító igazolást kiállító szerv. Tehát az adóazonosító jel kezelése az értékesítő helyek által, adóigazolás kiállítása és az adóhatóság részére adatszolgáltatás teljesítése céljából megfelelő törvényi felhatalmazáson alapul. Az értékesítő helyek azonban nem rendelkeznek törvényi felhatalmazással arra, hogy az adóazonosító jelet az adóhatóságon kívül más szervnek, így az Educatio Kht-nak átadják, továbbítsák. A személyazonosító jel helyébe lépő azonosítási módokról szóló 1996. évi XX. tv. rendelkezéseiből megállapíthatóan az adóazonosító jel használatának célja az adózással kapcsolatos tevékenység végzése, és a törvény taxatíve meghatározza, hogy mely szervek jogosultak az adóazonosító használatára. E törvény 19. §-a kimondja, hogy „az állami adóhatóság részére törvény alapján adatszolgáltatásra kötelezett szerv az adóazonosító jelet e feladata teljesítésével összefüggésben használhatja”. Ennek megfelelően az adatkezelés céljaként különféle számítástechnikai műveletek végzése, technikai kódok képzése nem fogadható el. Nem tartom elfogadható gyakorlatnak, hogy az adóazonosító jelet a törvényi rendelkezésekkel ellentétesen, különféle kódok képzése céljából felhasználják. Fontos adatvédelmi alapelv az adatkezelés célhoz kötöttségének követelménye, mely szerint „személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak. Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen”. (Avtv. 5. §) Az adóazonosító jel Educatio Kht-nak való továbbítása nem felel meg a célhoz kötöttség fenti követelményének, így ez az adatkezelés jogellenesnek minősül.

Munkatársaim megbeszélést folytattak az Educatio Kht. munkatársaival és megállapították, hogy a SEM automatikusan fogadja és emberi közreműködés nélkül, azonnal feldolgozza az értékesítési pontokról beérkezett adatokat. A rendszer az adóazonosító jel beérkezésekor rögtön egy kódot állít elő, és az adóazonosító jel azonnal, automatikusan törlődik a rendszerből. A kódból az adóazonosító jel rekonstruálása nem lehetséges. Így ugyanakkor az is megállapítható, hogy a Kht. nem ismerte meg az érintettek adóazonosító jelét.

A fentiek alapján az Avtv. 25. § (2) bekezdésére tekintettel felszólítom, hogy tegye meg a megfelelő intézkedéseket arra vonatkozóan, hogy az adóazonosító jelet az Educatio Kht. részére az értékesítő helyek ne továbbítsák, és a jövőben technikai kód képzésére azt ne használják. A megtett intézkedésekről kérem 30 napon belül adjon tájékoztatást.

Levelemmel egyidejűleg álláspontomról tájékoztattam az oktatási minisztert is, kérve a szükséges intézkedések megtételét.

Budapest, 2003. augusztus 26.

Üdvözlettel:

Dr. Péterfalvi Attila