Követelésérvényesítés vs. GDPR


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A GDPR hatálybalépése a követelések kezelését és érvényesítését is alapvetően változtatta meg. Érdemes odafigyelni, hogy az érintett adatait megfelelően kezeljük, ellenkező esetben nemhogy követelésünkhöz nem jutunk hozzá, hanem még sérelemdíjat vagy adatvédelmi bírságot fizethetünk.

A GDPR hatálybalépése a követeléskezelés területét is alapvetően megváltoztatta. A követelésérvényesítés egyik módja, hogy fennálló követelésünket követeléskezelő cégre engedményezzük. Ezzel ugyan nem jutunk hozzá a teljes tartozásunkhoz, de egy kisebb összeget azonnal megkaphatunk és nem kell évekig az adósunk után futnunk.Volt olyan követeléskezelő cég a piacon, amely szigorú adatvédelmi követelmények bevezetésével teljesen felhagyott a magánszemély hitelezőkkel szembeni követeléskezeléssel. Ez köszönhető annak, hogy a GDPR hatálybalépése előtt több elmarasztaló NAIH döntés született a követeléskezelőkkel szemben, amelyet a bíróságok és a Kúria is jóváhagyott.

Lássuk, hogy a GDPR alapján mire érdemes odafigyelni az érintettek adatainak kezelésekor.

A legfontosabb, hogy legyünk előrelátóak és szerződéskötés esetén már a foglaljuk a szerződésbe, vagy külön adatkezelési tájékoztató szövegezése esetén ebben érdemes rögzíteni, hogy a szerződés időtartama alatt, fennálló tartozás esetén a személyes adatokat követelésünk érvényesítése céljából is kezeljük. Ha vállalkozás áll a hitelezői oldalon, akkor annyival könnyebb a helyzet, hogy a számviteli törvény előírja a bizonylatok és a könyvelés alapjául szolgál okiratok 8 évig történő megőrzését, amely jogalapot teremt az adatok kezelésére a szerződés esetleges felmondását vagy megszűnését követően is. Ez azonban még nem jelenti azt, hogy a jogszabályi alapon nálunk lévő adatokat bármilyen további cselekmény nélkül felhasználhatjuk. A szerződés fennállása alatt és azt követően jogos érdek alapján kezelhetjük az adós személyes adatait. Ebben az esetben is meg kell adni számára a GDPR 13. cikke szerinti tájékoztatást, azaz legalább azt, hogy ki az adatkezelő, mi az adatkezelés célja, jogalapja, illetve érdekmérlegelési tesztet kell készíteni, amelyben össze kell mérni, hogy követelésünk érvényesítése és az érintett személyes adatainak kezelése közül melyikhez fűződik jelentősebb érdek. AZ érdekmérlegelési tesztet is célszerű megküldeni az érintett számára, illetve egy rövid tájékoztatóban is értesíthetjük őt, hogy a követelésünk érvényesítéséhez milyen érdek fűződik és az, hogyan viszonyul személyes adatainak kezeléséhez.

Magánszemély hitelező esetén leginkább a szerződésben érdemes adatvédelmi rendelkezésekben szabályozni, hogy amennyiben a másik fél nem fizet, akkor a hitelező a szerződésen alapuló jogos érdekére hivatkozva követelésének érvényesítése céljából is kezelheti a másik fél személyes adatait.

A továbbiakban bemutatjuk, hogy a leggyakoribb követelések esetében milyen jogalapon érdemes az adatokat kezelni.

GDPR útikalauz adatkezelőknek

Várható megjelenés: 2019. március

További információ >>

Munkaviszony

A munkaviszony adatvédelmi szempontból azért rendelkezik specialitással, mert az adatvédelmi hatóságok értelmezésében a felek alá-fölé rendeltségi viszonyban vannak, így a hozzájárulás mint jogalap fogalmilag kizárt, hiszen az nem lehet önkéntes.

Ha a munkavállaló fennálló jogviszony esetén okoz kárt, akkor az Mt. lehetővé teszi, hogy a munkáltató a követelését a munkabérből levonja. Ebben az esetben tájékoztatni kell a munkavállalót, hogy ez a munkáltató jogos érdeke alapján történt és az adatait a munkáltató e célból is kezeli.

Nehezebb a dolgunk egy megszűnt munkaviszony esetén, amikor utólag derül ki, hogy a volt munkavállalónk még a munkaviszony alatt olyan kárt okozott, amelyre csak később derült fény. A társadalombiztosítási jogszabályok a munkáltató kötelezettségévé teszik, hogy a munkaviszony megszűnése után is őrizze meg a társadalombiztosítási szempontból lényeges személyes adatokat, tehát az adatok ott vannak a munkáltatónál, mégsem kezelheti azokat bármilyen további lépés nélkül a követelés érvényesítése céljából. A jogos érdek fennállása esetén érdekmérlegelést kell végezni és ennek eredménye alapján a munkavállaló viszontkövetelésének kizárása érdekében érdemes írásban felszólítani őt a teljesítésre. A felszólító levélben tájékoztatást kell adni a GDPR 13. cikkében foglaltakról. Az adatkezelés időtartamát a követelés behajtásáig érdemes kikötni.

Szerződéses jogviszony

A szerződés szerkesztése során érdemes rendezni, hogy nemfizetés esetén jogos érdek alapján kezelhető a szerződő fél személyes adata. Ebben az esetben is felszólító levélben érdemes tájékoztatni az adatkezelés körülményeiről, annak várható időtartamáról, annak érdekében, hogy a jogszerűtlen adatkezelést elkerüljük.

Ahogy korábban említettük vállalkozás esetén az adatokat a jogviszony lezárását követően is meg kell őrizni, ilyenkor érdekmérlegelési teszttettel használhatjuk fel a személyes adatokat. Mi a teendő akkor, ha a GPDR-nak megfelelően töröltük, vagy anonimizáltuk a személyes adatokat, azokra azonban a követelésünk érvényesítése végett mégis szükségünk van.

Ha az adós nevét és egy másik azonosító adatát ismerjük, akkor bármely kormányablakban tudunk a követelés érvényesítéséhez szükséges személyes adatot igényelni a személyiadat- és lakcímnyilvántartásból. Ebben az esetben is jogos érdekünket kell megjelölnünk és a nyilvántartó szerv dönt az adatok kiadásáról.

Amennyiben követeléskezelőkkel dolgozunk együtt,  már a szerződés megkötésekor érdemes tájékoztatni az érintettet, hogy nemfizetés esetén, jogos érdekünk alapján a személyes adatait átadjuk a követeléskezelőnek.

Kártérítés

A szerződésszegéssel okozott kár megtérítése esetén alkalmazhatók a szerződéses jogviszonyra irányadó szabályok, mit tehetünk azonban akkor, amikor semmilyen jogviszony nincs a felek között, hanem szerződésen kívül okoznak nekünk kárt.

Az egyik ilyen tipikus eset lehet a közlekedési baleset. A bekövetkezés pillanatáig a felek nem is ismerik egymást. Jó esetben megállnak, rögzítik a baleset körülményeit és bejelentik azt saját biztosítótársaságuk részére. Előfordulhat azonban, hogy erre akár a baleset bekövetkezése miatti súlyos, életveszélyes sérülés, vagy a másik járművezető ittas vagy bódult állapota miatt nincs mód.

Személyi sérülés esetén kötelező a rendőrség kihívása, akik helyszínelést végeznek és rögzítik a gépjárművezetők adatait. Ha az okozó fél súlyos, életveszélyes állapotba kerül, esetleg elhalálozik a rendőrségtől kérhetjük, hogy továbbítsa biztosítónk részére a kárrendezéshez szükséges személyes adatokat.

A legtöbb biztosító azonban kizárja felelősségét arra az esetre, ha a károkozó gépjármű vezetője ittas volt. Ha rendelkezünk a baleseti bejelentővel, akkor az azon szereplő adatokat jogos érdekünk alapján kezelhetjük. Érdemes a biztosító teljesítést megtagadó levelével együtt felszólító levelet küldeni az érintettnek, amelyben tájékoztatást kell adnunk a körülményekről és a személyes adatai kezeléséről.

Ha a baleseti bejelentő kitöltésére a károkozó állapota miatt nem kerülhetett sor, akkor a rendőrséghez fordulhatunk az adatok kiadása iránt, illetve a rendszám alapján megkereshetjük a nyilvántartó szervet is, ahol a jogos érdekünk érvényesítése érdekében adatot igényelhetünk.

Láthatjuk tehát, hogy a legtöbb esetben a jogos érdek, mint jogalap szolgál a követelésérvényesítési célú adatkezelésre. Nagyon körültekintően kell azonban eljárnunk, mert jogi úton való követelésérvényesítés esetén már van egy alapvető ellentét a felek között, amely alapul szolgálhat az adósnak arra, hogy az esetlegesen jogszerűtlen adatkezelésünk miatt többet követeljen tőlünk, mint amit eredetileg érvényesíteni akartunk rajta.


Kapcsolódó cikkek

2019. január 30.

GDPR tapasztalatok a régióban: magabiztosak a cégek

Előremutató „jó gyakorlatok” a piaci szereplők részéről, sok esetben igen aktív adatvédelmi hatóságok és komoly kihívások – többek között ezek jellemezték a GDPR első félévét a kelet-közép-európai régióban a Deloitte elemzése szerint. A cég egy kutatást is végzett a témában, amiből kiderült, hogy a fogyasztók 44 százaléka pozitív változásokat tapasztalt az adatai védelmében a jogszabály életbe lépése óta.
2019. február 19.

GDPR: hol hibázott az első megbírságolt cég?

Tavaly nyáron indította a NAIH azt a vizsgálatot, amelynek következtében megszületett az első GDPR bírság Magyarországon. Egymillió forintra bírságoltak egy céget azért, mert nem őrzött meg egy kamerafelvételt. „A GDPR bírság valós kockázat, amelyet nem szabad félvállról venni!” – figyelmeztet Dr. Bitai Zsófia, GDPR-szakértő.
2019. január 31.

A GDPR csak az első lépés volt

 Az Európai Bizottság (EB) a 2015-ben közzétett digitális egységes piaci stratégia értelmében 2020-ig számos területen jogi és szakpolitikai intézkedések bevezetését javasolja a digitális piac megteremtése érdekében. A jogszabályi változások jelentős része már tagállami szinten is megjelent. A cél az információs technológiák és a digitális világ „akadálymentesítése”, az abban rejlő lehetőségek maximális kiaknázása a gazdaság növelése érdekében. A Bizottság álláspontja szerint ugyanis az EU jelenleg nem kamatoztatja teljes mértékben az adattechnológiákban rejlő lehetőségeket és az USA-hoz képest lassan reagál az adatforradalomra – áll a Deloitte közleményében.
2019. február 25.

A GDPR szabályaihoz igazítják az ágazati törvényeket

A Parlament elé terjesztett friss törvényjavaslat célja a szükséges ágazati törvényeket érintő módosítások megalkotása, mivel az Infotv.-ben foglalt általános szabályok mellett számos, a személyes adatok kezelését szabályozó ágazati norma alkalmazandó. A javaslat 163 §-ban összesen 86 törvény módosítását irányozza elő, ezek közül most csak néhány fontos változtatást emelünk ki.
2019. február 25.

A cégek ötöde szerint nem is lehet megfelelni a GDPR-nak

A szervezetek többsége nem tud teljes mértékben eleget tenni az európai általános adatvédelmi rendelet követelményeinek; az első hazai bírságot már ki is szabták a GDPR megsértéséért. A lemaradást elsősorban képzéssel igyekeznek behozni a vállalatok – derül ki az EY és az International Association of Privacy Professionals 550 biztonságtechnikai szakértővel készített nemzetközi kutatásából. A felmérés rávilágít, hogy a cégek több mint fele leváltaná, vagy már le is cserélte valamelyik beszállítóját, hogy megfeleljen az előírásnak.