A francia adatvédelmi hatóság (Commission nationale de l’informatique et des libertés – „CNIL”) adatvédelmi incidenssel kapcsolatos bejelentést kapott az adatkezelőként eljáró Deezer nevű társaságtól. Az incidens világszerte több millió felhasználót érintett, és a Deezer korábbi adatfeldolgozója, a Mobius Solutions Ltd. nevű szolgáltató oldalán merült fel. Az adatvédelmi incidens okainak kivizsgálását követően a hatóság 1.000.000 EUR összegű bírságot szabott ki – de érdekes módon nem az adatkezelőre, hanem az adatfeldolgozóra, mert megállapította, hogy az incidenssel összefüggésben az adatfeldolgozót terheli felelősség. Az adatfeldolgozó ugyanis – a GDPR 28. cikkével ellentétes módon – nem biztosította az adatkezelő által rendelkezésre bocsátott személyes adatok bizalmas kezelését, sőt, az adatokat az adatfeldolgozási megbízásának kereteit túllépve kezelte, és a szolgáltatásai nyújtásának befejezését követően sem törölte azokat. Mindemellett, az adatfeldolgozó a GDPR 30. cikke szerint kötelező belső adatkezelési nyilvántartást sem vezette megfelelően.
Az ügy tanulságos lehet mind az adatkezelők, mind az adatfeldolgozók számára: a GDPR 28. cikkének való megfelelés során nem elég az adatfeldolgozási szerződésben megismételni a jogszabály vonatkozó rendelkezéseit, hanem részletesen szabályozni kell a felek kötelezettségeit az adatok engedélyezett felhasználása, bizalmas jellegük megőrzése, majd az adatok törlése, illetve a kapcsolódó belső adatkezelési nyilvántartás vezetése tekintetében, továbbá ellenőrizni kell ezeknek a kötelezettségeknek a betartását a konkrét szolgáltatásnyújtás során is.
Az alábbiakban bemutatjuk, milyen részletes szempontok alapján érdemes áttekinteni és hatályosítani az adatfeldolgozási szerződéseket, és miért fontos vezetni a GDPR 30. cikke által előírt, belső adatkezelési nyilvántartást.
1. Hogyan történt az adatvédelmi incidens?
Az adatfeldolgozó az általa nyújtott szolgáltatások keretében a Deezer felhasználóinak zenehallgatási szokásait elemezte, majd ennek alapján felhasználói szegmenseket hozott létre, lehetővé téve a Deezer számára, hogy optimalizálja viselkedésalapú, személyre szabott marketingkampányait, növelve ezzel a felhasználók elkötelezettségét az adatkezelő szolgáltatásai iránt. Például, az adatfeldolgozó által végzett elemzések alapján az adatkezelő célzott kampányokat indított olyan felhasználók számára, akik hosszabb ideje előfizetők, vagy akik sok kedvenc zenét jelöltek meg. Az adatfeldolgozó által nyújtott elemzési szolgáltatások során az adatkezelés célját és eszközeit a Deezer határozta meg, és ennek során hozzáférést biztosított az adatfeldolgozó számára a Deezer felhasználóinak személyes adataihoz.
Bár az adatfeldolgozó állítása szerint a szolgáltatásokat követően a rendelkezésére bocsátott személyes adatokat törölte, 2022. novemberében az adatfeldolgozó nem éles rendszerkörnyezetében mégis 46 millió felhasználói adatkategóriát érintő adatvédelmi incidens történt. (Ebből több, mint 9 millió adatkategória francia felhasználókat érintett – így merült fel a CNIL illetékessége.) Az incidens elsősorban a következő személyes adatkategóriákat érintette: a felhasználók személyazonossága, országa, nyelve, neme, az alkalmazásban használt azonosítójuk, születési dátumuk, a szolgáltató hírleveleire való feliratkozása, a felhasználói fiók létrehozásának dátuma, egy-egy munkamenet létrehozásának dátuma, a naponta meghallgatott zeneszámok száma, a rögzített lejátszási listák száma, a lejátszott lejátszási listák száma, a szolgáltatási díjak összege és megfizetésük időpontja, a napi átlagos zeneszám-lejátszások száma, a napi lejátszási idő, a kedvenc előadók, a létrehozott lejátszási listák száma, a szünet gomb megnyomásának száma, a „kedvelt” gomb megnyomásának száma.
2. Hogyan lehetett volna megelőzni az adatvédelmi incidenst?
A GDPR 28. cikkének (3) g) pontja alapján az adatfeldolgozási szerződés elő kell írja, hogy az adatfeldolgozó „az adatkezelési szolgáltatás nyújtásának befejezését követően az adatkezelő döntése alapján minden személyes adatot töröl vagy visszajuttat az adatkezelőnek, és törli a meglévő másolatokat, kivéve, ha az uniós vagy a tagállami jog az személyes adatok tárolását írja elő”.
A konkrét ügyben az adatfeldolgozónak a szolgáltatásait követően törölnie kellett volna a rendelkezésére bocsátott adatokat – enélkül az adatvédelmi incidensre sem került volna sor.
3. Az adatfeldolgozó felelőssége a személyes adatok jogszerűtlen felhasználásáért (GDPR 28. cikk (3) a) pont)
Az adatfeldolgozó az eljárás során azzal védekezett, hogy az incidens során érintett adatok az adatfeldolgozó három alkalmazottja által készített jogosulatlan másolatból származtak, de a másolatkészítés az adatkezelővel fennálló szerződéses kapcsolat keretébe tartozott, mert a célja az adatkezelőnek nyújtott szolgáltatások teljesítményének javítása volt. A hatóság megvizsgálta az adatfeldolgozási szerződést, és megállapította, hogy az adatfeldolgozó nem rendelkezett önálló jogosultságokkal az adatok felett: az adatok kizárólagos kezelője az adatkezelő, és az adatfeldolgozó az adatokat kizárólag a szerződésében meghatározott szolgáltatásai nyújtásának céljából kezelhette volna. Az adatfeldolgozási szerződés nem adott felhatalmazást arra, hogy az adatfeldolgozó a felhasználói adatokat az adatkezelő számára nyújtott szolgáltatások teljesítményének javítása, illetve saját szolgáltatásainak általános fejlesztése céljából felhasználja, illetve lemásolja. A szerződés kimondta továbbá, hogy az adatfeldolgozói jogviszony megszűnése esetén az adatfeldolgozó köteles az adatokat törölni. A hatóság a fentiek alapján megállapította, hogy az adatfeldolgozó a felhasználó adatokat az adatkezelő utasításai hiányában használta fel saját szolgáltatásai teljesítményének javítása céljából, megszegve ezzel a GDPR 28. cikkének (3) a) pontjában foglalt kötelezettségét, miszerint az adatfeldolgozó „a személyes adatokat kizárólag az adatkezelő írásbeli utasításai alapján kezeli”.
4. Az adatfeldolgozó felelőssége a munkavállalóival kapcsolatos felügyeleti kötelezettsége megszegéséért (GDPR 29. cikk)
Az adatfeldolgozó azzal is védekezett, hogy a másolatkészítésre egyébként a tudta nélkül került sor – csak azután fedezte fel a másolatkészítés nyomait, hogy az adatkezelő bejelentette az adatvédelmi incidenst, és az adatfeldolgozó belső kiberbiztonsági vizsgálatot indított. A hatóság szerint azonban az, hogy az adatok lemásolására az adatfeldolgozó tudta nélkül került sor, nem mentesíti az adatfeldolgozót a felelősség alól, mivel kötelessége lett volna felügyelni és ellenőrizni munkavállalói tevékenységét, valamint biztosítania kellett volna az adatkezelés jogszerű feltételeit. A GDPR 29. cikke (Az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés) ugyanis az alábbiak szerint rendelkezik: „Az adatfeldolgozó és bármely, az adatkezelő vagy az adatfeldolgozó irányítása alatt eljáró, a személyes adatokhoz hozzáféréssel rendelkező személy ezeket az adatokat kizárólag az adatkezelő utasításának megfelelően kezelheti, kivéve, ha az ettől való eltérésre őt uniós vagy tagállami jog kötelezi.”
5. Az adatfeldolgozó felelőssége a belső adatkezelési nyilvántartás vezetésének elmulasztásáért (GDPR 30. cikk (2) bekezdés)
A hatóság azt is megállapította, hogy az adatfeldolgozó megsértette a GDPR 30. cikk (2) bekezdését, mivel nem vezetett nyilvántartást adatkezelési tevékenységeiről, annak ellenére, hogy az általa végzettvégzett adatkezelése nem minősült alkalmi jellegűnek. Az adatfeldolgozó azzal érvelt, hogy az adatfeldolgozási szerződés egyébként tartalmazta mindazokat az információkat, amelyeket a GDPR 30. cikk (2) szerint az adatkezelési tevékenységek nyilvántartásában szerepeltetni kell. A hatóság azonban rámutatott, hogy ez nem helyettesíti az adatfeldolgozó saját belső nyilvántartás-vezetési kötelezettségét.
6. Az 1.000.000 EUR bírság kiszabásának szempontjai
A bírság kiszabásása során a hatóság kiemelten vette figyelembe, hogy az adatfeldolgozó munkavállalói által végzett jogosulatlan adatmásolás hiányában az incidens nem következett volna be, és az adatok jogosulatlan felhasználása következtében a felhasználók adathalász („phishing”) támadások célpontjává válhatnak. Szempont volt az is, hogy egyes adatok jellegüknél fogva folyamatosan hatályosak maradnak – a felhasználók e-mail címei például csak ritkán változnak.