Az első magyar GDPR bírság

Kovács Marcell - 2019.02.14. 12:23:55

 

magyar-gdpr-birsag

A Nemzeti Adatvédelmi és Információszabadság Hatóság nyilvánosságra hozta az első magyarországi, már a GDPR alapján kiszabott adatvédelmi bírsággal járó határozatát.

Cikkünkben részletesen bemutatjuk, miért szabott ki pénzbüntetést a NAIH, és hogy miképp folyt a vizsgálat.

Mi történt?

Ahogy a határozat szövegéből kiderül, a hatósági vizsgálat 2018. augusztus 27-én érkezett kérelem alapján indult, tehát az Érintett fordult panasszal a NAIH-hoz, amely kivizsgálta az esetet.

A bejelentő azért kereste meg a hatóságot, mert az adatkezelő megtagadta, hogy számára azon kamerafelvételeket kiadja és a továbbiakban zárolja, melyeken azonosítható módon az Érintett szerepel.

A kérelmező kérelmében kifejtette, hogy a felvételek zárolása, illetve a másolatok kiadása számára jogi eljárás lefolytatásához szükségesek.

A kamerarendszerek alkalmazásának jogi körülményeiben valóban érdemi változásokat hozott az egységes európai adatvédelmi rendelet alkalmazása, azonban az adatkezelő hibásan hivatkozott az Szvtv. 31. (6) bekezdésére. A hatóság álláspontja szerint az Szvtv. szabályait a GDPR-ra tekintettel kell értelmezni, mely alapján bár az adatkezelő jogos érdekét érinti a kamerafelvétel, azonban a GDPR a hozzáférési jog, valamint az adatkezelés korlátozásához való jog gyakorlására vonatkozó rendelkezései szerint nem támaszt feltételeket ahhoz, hogy az érintett ezen jogait gyakorolhassa.

A megbüntetett vállalkozás hibás módon az érintett jogos érdekének igazolásához kötötte a kamerafelvételekbe való betekintés biztosítását, holott a GDPR 12. cikkének (5) bekezdése alapján a hozzáférési jog gyakorlása csak akkor tagadható meg, ha a kérelem egyértelműen megalapozottan túlzó. Erre azonban a vállalkozás az eljárás során nem hivatkozott sem az Érintettnek, sem a NAIH-nak adott válaszában.

Pontosan mely részeket sértette meg az adatkezelő?

  • A GDPR 15. cikkét, mert nem biztosított a Kérelmező számára betekintést a kamerafelvételekbe, és nem bocsátotta rendelkezésére a kamerafelvételekről készült másolatot.
  • A GDPR 18. cikk (1) bekezdésének c) pontját, mert a zárolási kérelem megtagadásával megsértette a Kérelmező adatkezelés zárolásához való jogát.
  • A GDPR 12. cikkének (4) bekezdését, mert a kérelem elutasítása során nem tájékoztatta a Kérelmezőt a jogorvoslati lehetőségekről.

 

Hogyan történt a bírságösszeg megállapítása?

A NAIH hivatalból vizsgálta a GDPR 58. cikk (2) bekezdés i) pontja alapján az adatvédelmi bírság kiszabásának szükségességét, tekintettel a GDPR 83. cikkére.

A fentiekre tekintettel a Hatóság az Infotv 61. § (1) bekezdés a) pontja alapján úgy döntött, hogy a Kötelezettet 1.000.000 Ft, azaz egymillió forint adatvédelmi bírság megfizetésére kötelezi.

magyar-gdpr-birsag-2

A 83. cikk (2) bekezdése szerint mérlegelték az ügy összes körülményét, és úgy határoztak, hogy szükséges a bírság kiszabása, mert a Kötelezett nem tett eleget a Kérelmező érintetti jogainak gyakorlására irányuló kérelmének, valamint nem tájékoztatta őt a jogorvoslati lehetőségeiről.

A jogsértés jellege alapján - érintetti jogok sérelme - a kiszabható bírság felső határa 20.000.000 euró, illetve a Kötelezett esetében az előző pénzügyi év teljes világpiaci forgalmának legfeljebb 4%-a (GDPR 83. cikk (5) bekezdés b) pont).

A bírság kiszabásának során az alábbi tényezőket vette figyelembe a Hatóság:

  • A jogsértés jellegét, mivel az a Kérelmező érintetti jogainak sérelmével járt;
  • A Kérelmező adatkezelés korlátozása iránti kérelme teljesítésének megtagadása eredményeként a Kötelezett törölte a kamerafelvételeket, melyek nem helyreállíthatók;
  • A kötelezett első alkalommal követte el a meghatározott jogsértéseket;
  • A Szvtv. jelen ügyben releváns szabályai még hatályosak, azonban nincsenek összhangban a GDPR-ral, és ez félrevezethette a Kötelezettet a Kérelmező kérelmének elbírálása során.

Megvizsgálták, hogy a Kötelezett értékesítési árbevétele a 2017. évi beszámolója szerint 15 319 millió forint volt, így a kiszabott 1.000.000 forint adatvédelmi bírság jelképes összegű, és nem is lépi túl a kiszabható bírság maximumát.

Rovatok: GDPR

Kovács Marcell

Kovács Marcell

A Crosssec Solutions marketingvezetőjeként elkötelezett az etikus, jogszerű és edukatív marketingmunka mellett. Marketingismeretei mellett a technológia és az adatvédelem területén is otthonosan mozog, az inbound marketing módszertanát követve tervez és készít tartalmakat.

Előző cikk

Ők lettek a Q4 és 2018 év dolgozói

Következő cikk

Részletesen az első magyar GDPR büntetésről

0 Comments

hírlevél feliratkozás

Iratkozzon fel hírlevelünkre!

Hírlevelünkben sok olyan hasznos információval találkozhat, amely elengedhetetlenek egy vállalkozás szabályos és gördülékeny működéséhez.

Ahhoz, hogy fel tudjon iratkozni a hírlevelünkre, kérjük, a megcsillagozott jelölőnégyzet segítségével jelezze, hogy tudomásul veszi, hogy a Crosssec Solutions Kft. a marketing célú megkeresésről és hirlevélküldésről szóló adatkezelési tájékoztató szerint kezeli az adatait, és időnként hírlevelet küld az Ön számára. Annak érdekében, hogy elsősorban olyan témákban küldjünk hírlevelet, amelyek leginkább érdeklik Önt, kérjük jelölje, melyek ezek. Köszönjük.

Legfrissebb cikkek