Megvan az első GDPR büntetés

  • Huszár Ádám
  • |
  • 2019. 02. 15.

…nem maradt túl sok idő, bármikor kopogtathat az Adatvédelmi Hatóság…

 

Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) tavaly május és október között mintegy 1063 vizsgálati eljárást indított el. Ennek nagyobb része a jogsértést tapasztaló érintettek bejelentésére indult meg. A hatóság vizsgálatai során több alkalommal is jogsértést állapított meg.

Péterfalvi Attila a NAIH elnöke a Népszavának adott interjújában akkor azt mondta, hogy a vizsgálatok csak július végén kezdődtek meg, miután az Info. Tv. módosításai életbe léptek. Októberben a hatósági eljárások többsége még nem jutott határozathozatali szakaszba, így az első GDPR bírságot is csak idén február közepén szabta ki a hatóság.



Az első kiszabott bírság

A kérelemre indított eljárásban a hatóság elmarasztalta a szervezetet és egymillió forintos bírságot szabott ki. A hatóság honlapján elérhető határozatból kiderül, hogy a kérelmező azt kérte az elmarasztalt szervezettől, hogy az általánosan alkalmazott eljárástól eltérően ne töröljék három munkanapon belül az ügyfélteret megfigyelő kamera által rögzített felvételeket, hanem azt zárolják öt évre, minthogy a kérelmező azokat bizonyítékként egy jogi ügyben fel kívánta használni.

A megbüntetett szervezet ennek a kérésnek nem tett eleget, mondván, hogy a kamera csak képet rögzít hangot nem így az nem tudja bizonyítani, hogy a kérelmező milyen ügyet intézett. A szervezet arra hivatkozott, hogy nem indokolta megfelelően a kérését jogos érdekét nem adta meg, így a felvételeket a GDPR adatminimalizálási alapelve szerint törölték.

A Kötelezett az I.2. pontban leírtak szerint a kamerás adatkezelésről szóló tájékoztatójában hivatkozott az Szvtv. 31. § (6) bekezdésére. Az Szvtv. szabályait a GDPR-ra tekintettel kell értelmezni. Ebből kifolyólag az Szvtv. 31. § (6) bekezdése bár előírja azt, hogy akinek a jogát vagy jogos érdekét érinti a kamerafelvétel, az csak ezen jogának vagy jogos érdekének igazolásával kérheti az adatkezelőtől, hogy a felvételt ne semmisítse meg vagy ne törölje, azonban a GDPR a hozzáférési jog, valamint az adatkezelés korlátozásához való jog gyakorlására vonatkozó rendelkezései nem támasztanak ilyen feltételeket, az érintettnek sem jogát, sem jogos érdekét nem kell igazolnia ahhoz, hogy ezen jogait gyakorolhassa.

A hatóság az eljárása során megállapította, hogy a szervezet nem tett eleget a GDPR 12. cikk (4) bekezdésében foglalt tájékoztatási kötelezettségének, a 15. cikkben foglalt hozzáférési jog biztosításának és a 18. cikk (1) bekezdésének c) pontjában szereplő adatkezelés korlátozásának. A hatoság indoklásában kifejtette, hogy a GDPR rendelet nem írja elő az érintettnek az indoklást jogos érdeke esetén, így a szervezet jogellenesen járt el mikor a felvételeket törölte a jogos érdek hiánya miatt. Szükségesnek tartjuk felhívni a figyelmet, hogy a jogszabály betartása komplex értelmezést kíván, így több szempontot is figyelembe kell venni egy-egy adatkezelés megítélésénél.


Adatvédelmi megbízott

A GDPR különleges hangsúlyt helyez az adatvédelmi tisztviselők szerepére. Ezek a személyek, azok, akik az egyes szervezetek adatkezelési megfelelőségét belülről biztosítják, de ezen felül egyfajta kapcsot is jelentenek a hatóság és a szervezet között.

Bár a rendelet és a jogszabály sem írja elő a legtöbb vállalat számára az adatvédelmi tisztviselő kinevezését, megbízását, de ha nem is egy tisztviselőt, de egy megbízottat mindenképpen érdemes minden vállalatnak megneveznie, aki nagyobb figyelmet fordít az adatkezelési kérdésekre és naprakész a témában. Nem kell ennek az embernek viszont feltétlenül a saját munkavállalók közül kikerülnie, egy külső szakember sok esetben hasznosabb lehet.


A fenti -bírságot elszenvedő- társaság esetében egy cégre szabott szabályzat, egy szakember bevonása és a helyzet megfelelő felmérése és a jogalkotói szándék helyes értelmezése valószínűleg megakadályozta volna a büntetés kiszabását.