A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) másfél millió forint összegű bírságot szabott ki a Magyar Kosárlabdázók Országos Szövetségével (MKOSZ) szemben a szervezet által vezetett nyilvántartással összefüggő jogellenes adatkezelés miatt.
A NAIH a MKOSZ nyilvántartási rendszerével összefüggésben érkezett panasz alapján vizsgálta a szervezet adatkezelését. A MKOSZ által vezetett, bárki által hozzáférhető nyilvántartás tartalmazta mintegy 65 ezer játékos, köztük 30 ezer kiskorú személy nevét, születési adatait, testmagasságát, lakcímét, illetve fényképét is.
Az eljárás során a MKOSZ arra hivatkozott, hogy a személyes adatokat az érintettek, illetve törvényes képviselőjük hozzájárulása alapján kezelték, és az adatkezelés célja a játékosok játékjogosultságának megismerhetősége és ellenőrizhetősége, valamint a versenyeztetéssel kapcsolatos jogszabályi kötelezettségek teljesítése.
A NAIH kifejtette, hogy az érintettek által adott hozzájárulás – amikor volt ilyen – nem felelt meg az önkéntesség követelményének, tekintettel arra, hogy annak megadása a játékengedély feltétele, így a játékosokat valódi választási lehetőség e körben nem illette meg. A hatóság kifejtette továbbá, hogy a személyes adatok bárki által hozzáférhető és kereshető, interneten szereplő adatbázisban való nyilvánosságra hozatala nem elengedhetetlenül szükségesaz adatkezelés céljának eléréséhez.
A NAIH határozatában kitért arra a jogellenes gyakorlatra is, amely szerint a személyes adatok tárolásának időtartamát nem határozták meg, és ennek következtében a MKOSZ adatbázisa olyan személyek személyes adatait is tartalmazza, akik már nem tagjai a szervezetnek.
A bírság viszonylagosan alacsony összege annak köszönhető, hogy a NAIH határozatát még a GDPR hatálybalépését megelőző szabályozás alapján hozta. A GDPR alkalmazása esetén a bírság kétségtelenül magasabb összeget ért volna el. Az eset arra világít rá, hogy minden adatkezelő fontos kötelezettsége az általa végzett adatkezelés jogszerűségének ellenőrzése és rendszeres felülvizsgálata, mind az adatkezelés jogalapja, mind a tájékoztatás, vagy bármely más szempont figyelembe vételével.