A Nemzeti Adatvédelmi és Információszabadság Hatóság nyilvánosságra hozta az első magyarországi, már a GDPR alapján kiszabott adatvédelmi bírsággal járó határozatát.

Cikkünkben részletesen bemutatjuk, miért szabott ki pénzbüntetést a NAIH, és hogy miképp folyt a vizsgálat.

Mi történt?

Ahogy a határozat szövegéből kiderül, a hatósági vizsgálat 2018. augusztus 27-én érkezett kérelem alapján indult, tehát az Érintett fordult panasszal a NAIH-hoz, amely kivizsgálta az esetet.

A bejelentő azért kereste meg a hatóságot, mert az adatkezelő megtagadta, hogy számára azon kamerafelvételeket kiadja és a továbbiakban zárolja, melyeken azonosítható módon az Érintett szerepel.

A kérelmező kérelmében kifejtette, hogy a felvételek zárolása, illetve a másolatok kiadása számára jogi eljárás lefolytatásához szükségesek.

A kamerarendszerek alkalmazásának jogi körülményeiben valóban érdemi változásokat hozott az egységes európai adatvédelmi rendelet alkalmazása, azonban az adatkezelő hibásan hivatkozott az Szvtv. 31. (6) bekezdésére. A hatóság álláspontja szerint az Szvtv. szabályait a GDPR-ra tekintettel kell értelmezni, mely alapján bár az adatkezelő jogos érdekét érinti a kamerafelvétel, azonban a GDPR a hozzáférési jog, valamint az adatkezelés korlátozásához való jog gyakorlására vonatkozó rendelkezései szerint nem támaszt feltételeket ahhoz, hogy az érintett ezen jogait gyakorolhassa.

A megbüntetett vállalkozás hibás módon az érintett jogos érdekének igazolásához kötötte a kamerafelvételekbe való betekintés biztosítását, holott a GDPR 12. cikkének (5) bekezdése alapján a hozzáférési jog gyakorlása csak akkor tagadható meg, ha a kérelem egyértelműen megalapozottan túlzó. Erre azonban a vállalkozás az eljárás során nem hivatkozott sem az Érintettnek, sem a NAIH-nak adott válaszában.

Pontosan mely részeket sértette meg az adatkezelő?

• A GDPR 15. cikkét, mert nem biztosított a Kérelmező számára betekintést a kamerafelvételekbe, és nem bocsátotta rendelkezésére a kamerafelvételekről készült másolatot.
• A GDPR 18. cikk (1) bekezdésének c) pontját, mert a zárolási kérelem megtagadásával megsértette a Kérelmező adatkezelés zárolásához való jogát.
• A GDPR 12. cikkének (4) bekezdését, mert a kérelem elutasítása során nem tájékoztatta a Kérelmezőt a jogorvoslati lehetőségekről.

Hogyan történt a bírságösszeg megállapítása?

A NAIH hivatalból vizsgálta a GDPR 58. cikk (2) bekezdés i) pontja alapján az adatvédelmi bírság kiszabásának szükségességét, tekintettel a GDPR 83. cikkére.

A fentiekre tekintettel a Hatóság az Infotv 61. § (1) bekezdés a) pontja alapján úgy döntött, hogy a Kötelezettet 1.000.000 Ft, azaz egymillió forint adatvédelmi bírság megfizetésére kötelezi.

A 83. cikk (2) bekezdése szerint mérlegelték az ügy összes körülményét, és úgy határoztak, hogy szükséges a bírság kiszabása, mert a Kötelezett nem tett eleget a Kérelmező érintetti jogainak gyakorlására irányuló kérelmének, valamint nem tájékoztatta őt a jogorvoslati lehetőségeiről.

A jogsértés jellege alapján - érintetti jogok sérelme - a kiszabható bírság felső határa 20.000.000 euró, illetve a Kötelezett esetében az előző pénzügyi év teljes világpiaci forgalmának legfeljebb 4%-a (GDPR 83. cikk (5) bekezdés b) pont).

A bírság kiszabásának során az alábbi tényezőket vette figyelembe a Hatóság:

• A jogsértés jellegét, mivel az a Kérelmező érintetti jogainak sérelmével járt;
• A Kérelmező adatkezelés korlátozása iránti kérelme teljesítésének megtagadása eredményeként a Kötelezett törölte a kamerafelvételeket, melyek nem helyreállíthatók;
• A kötelezett első alkalommal követte el a meghatározott jogsértéseket;
• A Szvtv. jelen ügyben releváns szabályai még hatályosak, azonban nincsenek összhangban a GDPR-ral, és ez félrevezethette a Kötelezettet a Kérelmező kérelmének elbírálása során.

Megvizsgálták, hogy a Kötelezett értékesítési árbevétele a 2017. évi beszámolója szerint 15 319 millió forint volt, így a kiszabott 1.000.000 forint adatvédelmi bírság jelképes összegű, és nem is lépi túl a kiszabható bírság maximumát.