Részletesen az első magyar GDPR büntetésről

Czinege Balázs - 2019. febr. 25. 14:45:43

reszletesen-az-elso-magyar-gdpr-buntetes

A nemrég elsőként nyilvánosságra hozott adatvédelmi bírság kiszabásával is járó GDPR ügy közel sem egyszerű, ezért úgy gondoljuk, érdemes részletesen feldolgozni, hogy pontosan miben hibázott a megbüntetett vállalkozás, és milyen intézkedésekkel előzhette volna meg a bírságot.

Cikkünkben a gyakorlati oldalról kívánjuk bemutatni a konkrét esetet, valamint rávilágítani azokra a lehetőségekre és előkészületekre, melyek segítségével elkerülhetővé válhatnak a hasonló büntetések.

A konkrét ügy elemzése

Ahogy előző cikkünkben megírtuk, a konkrét határozat szerint 2018-ban egy magánszemély fordult a vállalathoz azzal a kérésével, hogy egy személyiségi jogi perhez, illetve értékpapír jogviszonyhoz kapcsolódó perhez kívánja kikérni azon kamerafelvételeket, melyek a vállalkozás recepciós- és ügyfélvárakozó terében készültek róla az általa megadott időszakokban.

A magánszemély (továbbiakban: Érintett) a GDPR 15. cikke szerint élni kívánt a hozzáférési jogával. A kamerafelvételekbe történő betekintés mellett azok másolatát és a felvételek 5 éves időtartamra történő zárolását is kérte. A vállalat kamerás adatkezeléséről szóló tájékoztatójában rögzítette, hogy a kamerafelvételek felhasználás hiányában 3 napon belül automatikusan törlésre kerülnek. A zárolási kérelem azért fontos, mert a zárolt adatokat nem lehet törölni.

A kamerarendszert üzemeltető vállalat nem tett eleget az Érintett egyik kérésének sem:

  • Nem zárolta a kamerafelvételeket, így azok automatikusan megsemmisültek a vállalt megőrzési határidőt követően.
  • Nem kerültek kiadásra azon képi anyagok, amelyek a kérelmező magánszemélyről készültek a recepción és az ügyfélvárakozó térben.

A vállalat a 2005. évi CXXXIII. törvényre – (a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól) (továbbiakban Szvtv.) hivatkozva utasította el a magánszemély kérelmét a 31.§(6)bekezdése alapján:

  • Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel, illetve más személyes adatának rögzítése érinti,
  • a (2), a (3), illetve a (4) bekezdésben foglaltaknak megfelelően a kép-, hang-, valamint kép- és hangfelvétel, illetve más személyes adat rögzítésétől számított három munkanapon, harminc, illetve hatvan napon belül,
  • jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje.

A vállalat szerint a magánszemély nem igazolta kellő részletességgel a felvételek zárolásának és kiadásának igényét, emiatt a felvételek törlésre kerültek.

Az Érintett az elutasítás miatt kérelmet nyújtott be a Nemzeti Adatvédelmi és Információszabadság Hatóság (továbbiakban: NAIH) irányába, akik a közel 3 hónapos ügymenet végén elmarasztalták a vállalatot, és 1.000.000 Ft-os adatvédelmi bírságot szabtak ki a szabályszegésért.

gdpr-jogharmonizacios-problemak

Jogharmonizációs problémák

A GDPR 2018. május 25. napján közvetlenül alkalmazandóvá vált az összes tagállamban. A közvetlen alkalmazhatóság azt jelenti, hogy a rendelet minden további tagállami intézkedés (pl. új magyar törvény) nélkül alkalmazandó. Fontos tudni, hogy a GDPR a vonatkozó magyar jogszabályoknál magasabb szintű. Bár a GDPR hatálybalépése után a magyar jogalkotó több alkalommal is módosította erre tekintettel a magyar jogszabályokat, a GDPR-ral való teljes összhang elérése még sajnos nem sikerült. Ha esetlegesen emiatt eltérés lenne a magyar jogszabályok és GDPR között, úgy a GDPR-t szükséges alkalmazni.

Magyarországon a kamerafelvételek kezelése jelenleg 5 különböző törvény, illetve rendelet alapján történik:

  • Rendőrségi törvény (1994. évi XXXIV. törvény)
  • Közterület felügyeleti törvény (1999. évi LXIII. törvény)
  • 2005. évi CXXXIII. törvény (továbbiakban: Szvtv.),
  • az Európai Parlament és Tanács 2016/679 rendelete (továbbiakban: GDPR) valamint
  • az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (továbbiakban: Infotv.)

A törvények teljes harmonizációja blogcikkünk megjelenéséig még nem történt meg, így az emiatt előforduló esetleges eltérések esetében a GDPR-ban leírtak az irányadók és követendők.

A vizsgált esetben hiába rendelkezik az Szvtv. úgy, hogy a kamerafelvételek kiadását a jogos érdek igazolásához köti, a GDPR rendelete lehetővé teszi az Érintett számára a hozzáférési jogának indoklás nélküli gyakorlását.

A hatóság a hozzáférési jog gyakorlásának megsértése és az adatkezelés zárolásához való jog megsértése mellett azért is döntött a bírság kiszabása mellett, mert a vállalkozás elmulasztotta az Érintett tájékoztatását a jogorvoslati lehetőségekről.

A fellebbezésről

Jogorvoslatra közigazgatási per útján van lehetőség. A 2017-ben megújult közigazgatási perrendtartás miatt a közigazgatási per jelentős költségekkel járhat:

  • A határozat alapján a közigazgatási perindítás csak a Fővárosi Törvényszéken lehetséges.
  • Kötelező a jogi képviselet (ügyvédkényszer) az ügyben.
  • Az eljárás rendkívül formalizált és kötött, emiatt az ügyvédi díjak is megtöbbszöröződnek.
  • Mivel nincs még kialakult joggyakorlat, várhatóan több szakértői csoport is bevonásra kerül a peres eljárás során. Ennek költségeit a vesztes félnek kell megtéríteni.
  • Az egyedi eseteket egyedileg szükséges megvizsgálni és kiértékelni.
  • A rendeletben alkalmazható "túlzó" adatszolgáltatási igény meghatározása, vagy az "ésszerű" díjazás kiszámítása szubjektív megítélés, mely kihívást jelenthet a döntéshozók részére.

Szakmai javaslatunk

Minden egyes adatkezeléssel kapcsolatos döntést és a folyamatok kialakítását a GDPR figyelembevételével hozzanak meg! Javasoljuk, hogy a vállalatok minél előbb végezzék el a kamerarendszerek működtetésének átgondolását és átszervezését. Csak a legszükségesebb helyeken alkalmazzanak kamerákat, és azokat csak valós és megalapozott jogos érdek esetén telepítsék, használják. A kamerafelvételek készítéséről minden esetben tájékoztatni kell az esetleges Érintetteket, valamint ismertetni kell velük a jogorvoslati lehetőségeket.

Nem szabad elfelejteni, hogy a kamerafelvételek készítése a törvénykezés szerint csak az emberi élet, testi épség, személyi szabadság védelme, a veszélyes anyagok őrzése, vagy az üzleti, fizetési, bank- és értékpapírtitok védelme, valamint vagyonvédelem céljából történhet!

A hatóság oldaláról a NAIH által alkalmazott szankció konzekvens alkalmazása várható minden olyan esetben, ahol egy hatósági eljárás során megállapításra kerül, hogy

  • Nem megfelelően került konfigurálásra a kamera rendszer.
  • Az adatkezelő nem tett eleget annak, hogy a magánszemélyek gyakorolhassák a GDPR-ban leírt jogaik gyakorlását.
  • Az adatkezelő nem rendelkezik érvényes kamera szabályzattal, illetve nem az abban leírtak szerint történik az adatkezelés.
  • Az adatkezelő nem tájékoztatta előzetesen az Érintetteket a kamerafelvételek rögzítésének tényéről.
  • Az adatkezelő nem tájékoztatta az Érintetteteket a jogorvoslati lehetőségekről.

A kamerafelvételek készítésével kapcsolatban a hatóság több - még a GDPR alkalmazását megelőző - esetben is szabott ki adatvédelmi bírságot. A cikkeinkben megvizsgált ügy alapján várhatóan ezt a területet kiemelt figyelemmel vizsgálja a NAIH, így a vállalkozásoknak érdemes alaposan átvizsgálni a kamerás megfigyeléssel kapcsolatos folyamataikat, szabályzataikat és tájékoztatóikat.

Rovatok: GDPR

Czinege Balázs

Czinege Balázs

Folyamattanácsadási üzletágunk vezető tanácsadója, a vállalat kontrollere. Az elmúlt 10 évben a folyamatok átvilágításában és optimalizációjában szerzett tapasztalata a kisvállalkozástól a multinacionális nagyvállalatig terjed. Six Sigma és Certified GDPR Manager képesítéssel rendelkezik.

Előző cikk

Az első magyar GDPR bírság

Következő cikk

10 tanács a kamerarendszert üzemeltető vállalkozások részére

0 Comments

hírlevél feliratkozás

Iratkozzon fel hírlevelünkre!

Hírlevelünkben sok olyan hasznos információval találkozhat, amely elengedhetetlenek egy vállalkozás szabályos és gördülékeny működéséhez.

Ahhoz, hogy fel tudjon iratkozni a hírlevelünkre, kérjük a megcsillagozott jelölőnégyzet segítségével jelezze, hogy tudomásul veszi, hogy a Crosssec Solutions Kft. a hírlevél küldéséhez kapcsolódó adatkezelési tájékoztató szerint kezeli az adatait, és időnként hírlevelet küld az Ön számára. Annak érdekében, hogy elsősorban olyan témákban küldjünk hírlevelet, amely leginkább érdekli Önt, kérjük jelölje, hogy mely témakörök érdeklik leginkább. Köszönjük.

Legfrissebb cikkek