Egy civil szervezetet büntettek meg

Négy nappal a GDPR-rendelet hatálybalépése után büntetett a NAIH adatkezelési ügyben. A Magyar Kosárlabdázók Országos Szövetségére szabtak ki másfél millió forintos adatvédelmi bírságot a játékos-nyilvántartó rendszerével kapcsolatos jogellenes adatkezelés és tájékoztatás miatt.

A NAIH akkor kezdett vizsgálódni, amikor korábban bejelentést kapott, hogy a szövetség nyilvánosan elérhető oldalán bárki hozzáférhet a nyilvántartásban szereplő több mint 65 ezer játékos olyan személyes adataihoz, mint neve, születési ideje és helye, anyja neve, állampolgársága, testmagassága, lakcíme és fényképe. Az ügy azért volt különösen súlyos, mert a nyilvántartás több mint 30 ezer kiskorú adatait is tartalmazta.

Az MKOSZ tájékoztatása szerint a nyilvános adatbázisra azért volt szükség, hogy a sportszervezetek hozzáférjenek az adatokhoz és így biztosak legyenek abban, hogy adott név alatt nem szerepel más sportoló, illetve, hogy mérkőzésekkor szükség esetén ellenőrizhessék a játékengedélyeket. Így kívánták biztosítani, hogy ne léphessen pályára olyan sportoló, aki arra egyébként nem jogosult

„Az ügy azért volt súlyos, mert a hozzájárulás nem tekinthető önkéntesnek, – magyarázza Dr. Bitai Zsófia GDPR-szakjogász – mivel az önkéntesség nem csak azt jelenti, hogy egy nyilatkozatban az érintett játékos elfogadja az adatkezelést, hanem, mindenfajta külső befolyástól mentesnek kell lennie. Ez jelen esetben nem valósult meg, mert a hozzájárulás elmaradásakor a játékos nem kapott játékengedélyt. Ráadásul a személyes adatok nyilvánosságra hozatala egy bárki által hozzáférhető és kereshető adatbázisban nem elengedhetetlenül szükséges az adatkezelés céljának eléréséhez és nincs is szükség ilyen sok adat megadására.”

A nyilvántartásban szereplő adatok közzététele jelentős kockázatot jelenthet a gyermekek biztonságára,” – folytatja a szakértő – mivel a gyermekek a nyilvántartásban név szerint, fényképpel és – a legtöbb esetben – lakcímmel azonosítva szerepelnek, amely adatok esetén fennáll a pontos azonosítás veszélye.”

A NAIH megállapította, hogy az adatkezelő a 2013 előtt nyilvánosságra hozott adatok kezeléséhez egyáltalán nem szerezte be az érintettek hozzájárulását, így ezen adatokat jogalap nélkül kezelte, a nyilvántartásból a személyes adatokat pedig csak az érintett kifejezett kérése esetén törölték, így olyanok adatai is nyilvánosságra kerültek, akik már nem is voltak játékosok.

Az adatok alapján az látható, hogy az MKOSZ-t ugyan már a GDPR-rendelet hatálybalépése után büntette meg a NAIH, de még a korábbi info törvény alapján.” – mondja Dr. Bitai Zsófia. – „Ha már a GDPR-rendeletet kellett volna alkalmazni, akkor a Magyar Kosárlabdázók Országos Szövetsége valószínűleg sokkal nagyobb büntetést kapott volna.”