A hazai követeléskezelés területén tevékenykedő cégek számára az adatvédelmi megfelelés (GDPR) már régen nem csupán egy adminisztrációs teher, hanem a jogszerű működés alapköve. Ezt mi sem bizonyítja jobban, mint a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) legutóbbi, NAIH-11023-6/2025. számú határozata. Az eset rávilágított arra, hogy a technikai hibák, az elavult jogértelmezések és a bírósági ítéletek figyelmen kívül hagyása milyen súlyos anyagi és reputációs kockázattal jár.
Ebben a bejegyzésben részletesen elemezzük a határozat tanulságait, és megvizsgáljuk, mire kell különösen figyelnie egy követeléskezelőnek, ha el akarja kerülni a jogalap nélküli adatkezelés csapdáit.
Tényállás: Amikor a bírósági ítélet „eltűnik” a rendszerben
Az ügy középpontjában egy érintett állt, akivel szemben a követeléskezelő több különböző tartozást is nyilvántartott: egy telefonszolgáltatásból és egy hitelkártya-szerződésből eredő követelést.
A történet ott vált kritikussá, amikor a telefonszolgáltatással kapcsolatos ügyben a bíróság jogerősen megállapította a követelés elévülését. Az érintett ezt követően többször is megkereste a Társaságot, csatolta a jogerős ítéletet, és kérte személyes adatainak törlését a GDPR alapján, mivel álláspontja szerint a követelés behajtásának jogalapja megszűnt. A követeléskezelő azonban a törlés helyett érdemi válasz nélkül hagyta a megkereséseket, és továbbra is aktív követelésként kezelte az ügyet a rendszerében.
Az elévülés és az adatkezelés kapcsolata: Mikor kell törölni az adatot?
A vizsgált eljárás alapját tehát az képezte, hogy a bíróság által kimondott elévülés és a Társaság belső folyamatai között nem volt összhang. Az adós azért fordult a NAIH-hoz, mert hiába mondta ki jogerősen a bíróság a követelés elévülését, a GDPR-ból eredő jogait a követeléskezelő nem tartotta tiszteletben.
A törlési kérelem ellenére a cég tehát továbbra is kezelte az adatait, és nem zárta le az ügyet. Amikor a NAIH eljárást indított az ügyben, a követeléskezelő azzal védekezett, hogy a hiba nem rendszerszintű volt, csupán egy egyedi „adminisztrációs tévedés” történt. Érvelésük szerint a belső panaszkezelési szabályzatuk előírja az ügyintézőknek a teljes körű kivizsgálást, ám ebben a konkrét esetben az illetékes munkavállaló mulasztott, mert nem észlelte a panasz megválaszolásakor a csatolt bírósági ítéletet és annak relevanciáját.
A Hatóság azonban ezt a védekezést kategorikusan elutasította. Kiemelték, hogy az adatvédelmi felelősség nem ruházható át a beosztott munkavállalókra. A határozat (54) bekezdése rávilágít a felelősség megkerülhetetlenségére:
„A Kérelmezett szerint a panasz megválaszoláskor az ügyintézőnek kell teljes körűen eljárnia, így a mulasztás az illetékes ügyintéző oldalán állt fenn. Ez az érvelés azonban nem mentesíti a Kérelmezettet az adatkezelői felelősség alól, tekintettel arra, hogy a GDPR 4. cikk 7. pontja értelmében a Kérelmezett minősül adatkezelőnek. A Kérelmezett az, aki megszervezi az adatkezelés folyamatát és kialakítja annak körülményeit.”
Ez a megállapítás alapjaiban cáfolja azt a gyakran hallható adatkezelői érvelést, miszerint az emberi tévedés kimentheti a céget a bírság alól, illetve az adatvédelmi jogsértés a munkavállalókra „kenhető”. A NAIH álláspontja szerint a követeléskezelés folyamatát és az azt támogató informatikai rendszereket úgy kell megszervezni, hogy az ilyen típusú „emberi mulasztások” eleve ne fordulhassanak elő, vagy a rendszerbe épített kontrollok azonnal kiszűrjék azokat.
A jogi logika itt egyszerű, de kíméletlen: ha egy bíróság kimondja a jogerős elévülést, akkor a követeléskezelő már nem rendelkezik olyan jogos érdekkel, amely alapján tovább folytathatná a behajtást. Ebben a pillanatban a behajtásra irányuló adatkezelés (legyen szó fizetési felszólítások automatikus postázásáról, telefonos megkeresésekről vagy sms-értesítőkről) jogalapja megszűnik, és az adatokat haladéktalanul törölni kell.
A jogalap kérdése: szerződés teljesítése vagy jogos érdek?
A határozat egyik legfontosabb elvi megállapítása a követeléskezelés során alkalmazandó jogalap tisztázása. Sokan még ma is abban a tévhitben élnek, hogy mivel a követelés eredetileg egy szerződésből fakad, az adatkezelés jogalapja a „szerződés teljesítése” (GDPR 6. cikk (1) bekezdés b) pont). A NAIH azonban ebben az ügyben is megerősítette: ez a jogértelmezés téves, és az erre alapozott adatkezelés jogellenes.
A NAIH érvelése két pilléren nyugszik. Az első a jogutódlás kérdése: az engedményezés során a követelés tulajdonjoga száll át, de a követeléskezelő nem válik az eredeti szerződés részesévé abban az értelemben, hogy az adós és közte egy új, kölcsönös szolgáltatásokon alapuló szerződés jönne létre. Az engedményezésnél a követelés „elszakad” az alapjogviszonytól.
A második, ennél is fontosabb érv a szerződéses jogalap szűk értelmezése. A NAIH a határozatában az Európai Adatvédelmi Testület (EDPB) 2/2019. számú ajánlására hivatkozva rámutatott: a „szerződés teljesítése”, mint jogalap, csak akkor alkalmazható, ha az adatkezelés objektíve nélkülözhetetlen ahhoz, hogy a szerződésben vállalt szolgáltatást nyújtani lehessen.
A gyakorlatban ez a következőket jelenti:
- Amíg a bank vagy a távközlési cég kezelési körében van az ügy, és például egy fizetési emlékeztetőt küld ki, hogy a „szerződést a normális menetbe terelje”, addig beszélhetünk szerződéses jogalapról.
- Azonban, amint a követelést engedményezik egy külső félre, a cél már nem a szerződés szerinti szolgáltatás fenntartása, hanem a kintlévőség behajtása. Ez a tevékenység már kívül esik a szerződés szűken vett teljesítésén.
A NAIH logikája szerint a követeléskezelés nem a szerződés része, hanem a szerződés nemteljesítéséből fakadó következmény. Egy professzionális követeléskezelő cég nem azért kezel adatot, hogy teljesítsen egy szerződést az adós felé (hiszen nem nyújt neki szolgáltatást), hanem azért, hogy a saját gazdasági igényét érvényesítse.
Emiatt a helyes jogalap kizárólag a jogos érdek (GDPR 6. cikk (1) bekezdés f) pont) lehet. Ez azonban többletkötelezettséget ró a Társaságra: el kell végezni egy írásos érdekmérlegelési tesztet.
Adatkezelési részcélok és megőrzési kötelezettségek
Fontos látni, hogy a követeléskezelés befejezése nem egyenlő az összes adat fizikai megsemmisítésével. A GDPR 17. cikke szerinti törlési jog nem érvényesíthető korlátlanul, ha más jogszabály kötelezővé teszi az adatok megőrzését.
A határozat IV.5. fejezete alapján a Társaság az alábbi célokból, korlátozottan továbbra is kezelhet adatokat:
- Számviteli kötelezettség (Sztv. alapján): A számviteli bizonylatokat (engedményezési értesítő, befizetési bizonylat, szerződésmásolat) 8 évig meg kell őrizni. Itt a jogalap a „jogi kötelezettség teljesítése”.
- Panaszkezelés (Hpt. alapján): A panaszokat és az arra adott válaszokat 5 évig kell tárolni.
- Jogi igények védelme: Ha például a Társaság ellen per indul, az adatok a védekezéshez szükséges ideig megőrizhetők.
Fontos azonban a funkcionális különválasztás: a megőrzött adatokat kizárólag a jogszabály által előírt célra (pl. egy NAV ellenőrzés vagy panasz kivizsgálása) szabad felhasználni. Tilos azokat újra a követeléskezelés aktív szakaszába emelni és behajtási célból felhasználni.
Hogyan kerülhető el a jogsértés a gyakorlatban?
Ahhoz, hogy a követeléskezelés folyamata során a követeléskezelő megfeleljen a szigorú elvárásoknak, az alábbi lépések megtétele javasolt:
- Rendszerszintű folyamatok kialakítása: Olyan belső folyamatok kialakítása, melyek biztosítják, hogy egy bírósági ítélet esetén szükséges intézkedések biztosan végrehajtásra kerüljenek, ezzel biztosítva egyúttal a jogszabályi emgfelelést és azt, hogy nem kerülnek jogalap hiányában tovább kezelésre az adatok.
- Folyamatos audit: Időszakosan felül kell vizsgálni a nyilvántartott követeléseket, különösen azokat, ahol az érintett korábban elévülésre hivatkozott, törlési kérelmet nyújtott be vagy bírósági ügy volt folyamatban.
- Munkavállalói képzés: Az ügyintézőknek érteniük kell, hogy a törlési kérelem elutasítása nem egy sablonválasz, hanem egy alapos jogi mérlegelés eredménye kell, hogy legyen.
- Végső esetben jogalap-revízió: Meg kell vizsgálni, hogy az összes bírósági eljárással érintett követelés esetén fennáll még a jogos érdek jogalap, tehát nem került megállapításra az elévülés a követelés tekintetében.
Ha hasznosnak találta ezt az elemzést, és szeretne továbbra is első kézből értesülni a hazai és európai adatvédelmi joggyakorlat legfontosabb változásairól, olvassa el többi blogbejegyzésünket is, ahol rendszeresen dolgozunk fel friss hatósági határozatokat és dolgozunk fel egyéb személyesadat-kezeléssel kapcsolatos híreket.
