Az utóbbi időben több panaszos fordult hivatalomhoz magyarországi gépjárműszervizek adatkezelésével kapcsolatban. Az ügyfelek azt kifogásolták, hogy a szervizek sok esetben fölöslegesen tüntetik fel személyes adataikat (név, lakcím) a munkalapokon, amely a gépjárművet a szervizben kíséri a munkafelvevőktől a szerelőkig. A gépjármű-tulajdonosok szerint személyes adataik így nincsenek biztonságban, ellenőrizhetetlen az adatok útja, a hozzáférők köre.

A vizsgálat során írásban feltett kérdéseimre, hogy mi a célja és az értelme annak, hogy a munkalap harmadik példányán, amely a gépjárművet a szervizben „kíséri”, a magánszemély tulajdonos név- és lakcímadatai szerepelnek, a megkeresett szerviz vezetői azt válaszolták, hogy a javítás során gyakran felmerül a szerződés módosításának, esetleges kibővítésének szükségessége, ez természetesen csak az ügyfél jóváhagyásával történhet. Hangsúlyozták, hogy az ilyen egyeztetéseket a munkafelvevő kollégáik végzik. Közlésük szerint eljárásuk az ügyfeleik érdekét szolgálja és általános európai gyakorlatként értékelhető, nincs tudomásuk arról, hogy a cégük más európai országokban működő szervizeiben a magyarországinál szűkebb adattartalma lenne a javítási megbízási szerződéseknek.

A személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény (a továbbiakban: Avtv.) 2. § 1. pontja szerint a meghatározott természetes személlyel kapcsolatba hozható adat, az abból levonható, az érintettre vonatkozó következtetés személyes adatnak minősül. A 3. § (1) bekezdése alapján személyes adatot csak akkor lehet kezelni (ide értve az adatok felvételét, tárolását, továbbítását is), ha ahhoz az érintett hozzájárult, vagy törvény azt elrendeli.

Az Avtv. szerint az adatkezelő köteles az adatbiztonság követelményeinek eleget tenni:

„10. § (1) Az adatkezelő, illetőleg tevékenységi körében az adatfeldolgozó köteles gondoskodni az adatok biztonságáról, köteles továbbá megtenni azokat a technikai és szervezési intézkedéseket és kialakítani azokat az eljárási szabályokat, amelyek e törvény, valamint az egyéb adat- és titokvédelmi szabályok érvényre juttatásához szükségesek.

(2) Az adatokat – kiemelten az államtitokká és a szolgálati titokká minősített személyes adatot – védeni kell különösen a jogosulatlan hozzáférés, megváltoztatás, nyilvánosságra hozás vagy törlés, illetőleg sérülés vagy a megsemmisülés ellen”.

A szerviz vezetői válaszukban nem jelöltek meg olyan törvényi rendelkezést, ami az ügy tárgyát képező adatkezelést elrendelné. A magánszemély ügyfelek adatai kezelésének jogalapja tehát az érintettek önkéntes adatszolgáltatása.

Az adatkezelés jogszerűségének az önkéntesség mellett azonban további feltétele az adatkezelés célhoz kötöttségének elve. Az Avtv. 5. § (1) és (2) bekezdése szerint:

„(1) Személyes adatot kezelni csak meghatározott célból, jog gyakorlása és kötelezettség teljesítése érdekében lehet. Az adatkezelésnek minden szakaszában meg kell felelnie e célnak.

(2) Csak olyan személyes adat kezelhető, amely az adatkezelés céljának megvalósulásához elengedhetetlen, a cél elérésére alkalmas, csak a cél megvalósulásához szükséges mértékben és ideig.”

Álláspontom szerint az Avtv. szabályainak és az adatvédelem elveinek az a gyakorlat felel meg, amikor a munkalap harmadik példányán – amely a gépjárművet a szervizben „kíséri” – a magánszemély tulajdonos név- és lakcímadatai nem szerepelnek a gépjármű azonosítóadatai mellett.

A vezetők szerint a munkafelvevő munkatársak tartják az ügyfelekkel a kapcsolatot telefonon, telefaxon a szerződéskötés után, amennyiben ez szükséges. Mint írták: „Az ügyféllel történő kommunikáció a javítási megbízás munkapéldányán rögzített információk alapján zajlik”. Ez a gyakorlat adatvédelmi szempontból nem kifogásolható. A szerelő a munkalap általa kezelt példányán rögzítheti a szerződés módosításával, kibővítésével kapcsolatos észrevételeit, ennek alapján a munkafelvevő felveszi a kapcsolatot a tulajdonossal. A szerelőknek azonban munkájuk elvégzéséhez nincs szükségük a tulajdonos személyes adatainak ismeretére, ezért a célhoz kötött adatkezelés elve akkor érvényesül, ha ők nem ismerik meg ezeket az adatokat.

A fentiekre tekintettel a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény 25. § (2) bekezdése alapján felszólítottam a vezetőket arra, hogy módosítsák adatkezelési gyakorlatukat: a jövőben ne tüntessék fel a magánszemély ügyfelek személyes adatait a munkalap szerelők által kezelt példányán és erről 30 napon belül írásban értesítsenek.

A szerviz vezetői válaszukban közölték, hogy készek eleget tenni felhívásomnak, amennyiben az általánosan, „a Magyar Köztársaság területén a gépjármű karbantartásban, javításban működő minden gazdálkodó szervezet számára kötelező érvényű előírásként jelenik meg”. Ennek hiányában szerintük az általam kért gyakorlat alkalmazása „azt a megalapozatlan sejtést indukálhatja a gyakorlatot alkalmazó gazdálkodó szervezet ügyfélkörében, hogy az ügyfelek érdekei csorbát szenvedtek a gyakorlat alkalmazása előtt, ami a gazdálkodó szervezet jó hírnévhez való joga csorbítását jelentheti és ezen keresztül gazdasági veszteséget okoz, illetve nem biztosítja a szakmai ágazaton belül az érintett szervezetek esélyegyenlőségét a piacon”. 

Mindezek, valamint az állampolgári jogok országgyűlési biztosáról szóló 1993. évi LIX. törvény 21. § (1) bekezdése és a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény 23. § (2) bekezdése alapján az alábbi ajánlást teszem:

l  A gépjárműjavítók személyes adatok kezelői, tevékenységükre ugyanúgy vonatkoznak a személyes adatok védelméről és a közérdekű adatok nyilvánosságáról szóló 1992. évi LXIII. törvény rendelkezései, mint bármely más adatkezelőre, amely/aki személyes adatot kezel. A gépjárművek szervizelésével foglalkozó adatkezelők kötelesek eleget tenni az adatbiztonság követelményeinek: ennek során kötelesek gondoskodni az ügyfelek személyes adatainak biztonságáról; kötelesek ennek érdekében a megfelelő technikai és szervezési intézkedéseket megtenni és eljárási szabályokat kialakítani; kötelesek a személyes adatokat a jogosulatlan hozzáférés ellen megvédeni.

l  Az adatkezelés célhoz kötöttsége elvére figyelemmel a magánszemély ügyfél adatait csak az az alkalmazott ismerheti meg (kezelheti), akinek feladata az ügyféllel való közvetlen kapcsolattartás a szerződés megkötése, teljesítése vagy módosítása során.

Budapest, 2000. december 14.

Dr. Majtényi László

(108/A/2000)