Egymillió forintos bírságot szabott ki a NAIH a GDPR megszegése miatt

Egymillió forintos bírságot szabott ki a NAIH a GDPR megszegése miatt

Egymillió forintos bírságot szabott ki a NAIH a GDPR megszegése miatt

Egymillió forintos bírságot szabott ki a NAIH a GDPR megszegése miatt 2019/02/15
Egymillió forintos bírságot szabott ki a NAIH a GDPR megszegése miatt 18:50
A Nemzeti Adatvédelmi és Információszabadság Hatóság biztonsági kamerák felvételeinek kezelésével kapcsolatban szabta ki első komolyabb büntetését a GDPR megszegése miatt.
 
 
A NAIH határozatában meg nem nevezett szervezet nem tett eleget a Kérelmező hozzáférési joga – ideértve a másolat kiadásához való jog, illetve az adatkezelés korlátozásához való jog – gyakorlására irányuló kérelmeinek, ezzel jogellenes adatkezelést valósított meg.
 
Az ügyben a Kérelmező azt kifogásolta, hogy a bepanaszolt szervezettől kérte a recepció és a várakozó teret megfigyelő kamerák rögzített felvételeinek törlésének mellőzését, illetve azok öt éves időtartamra való zárolását, valamint a felvételek másolatát és az azokba való betekintést. Erre a Kérelmezőnek egy személyiségi jogi perhez, továbbá egy értékpapír jogviszonyhoz kapcsolódó perhez volt szüksége. A szervezet ezt elutasította, mert álláspontjuk szerint a képfelvételek csak annak bizonyítására alkalmasak, hogy a Kérelmező az adott időpontban valóban ott járt, de az ügyintézésre vonatkozó további információt nem tartalmaznak.
 
A NAIH az információs önrendelkezési jogról és az információszabadságról szóló törvény értelmében járt el, tájékoztatáskérésükre a bepanaszolt szervezet úgy reagált, hogy a kérelemhez a panaszos nem fűzött jogos indoklást, viszont törekednek a GDPR-ban is rögzített adatminimalizálás elvére, ezért a kérdéses felvételeket az adatvédelmi tájékoztatójukban foglalt három nap után törölték.
 
A GDPR 15. cikkelye szerint viszont az érintett fél jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy az adatkezelő kezeli-e a személyes adatait, és amennyiben igen, akkor arra is jogosult, hogy a róla kezelt személyes adatokhoz, valamint az adatkezelésre vonatkozó információkhoz hozzáférést kapjon, ezzel kapcsolatban pedig nem támaszt többletkövetelményeket. Magyarul, az érintettnek nem kell igazolnia a hozzáférési joga gyakorlásához fűződő jogát, vagy jogos érdekét, továbbá azt sem kell megindokolnia, hogy milyen okból kíván élni ezzel a jogával.
 
A GDPR 18. cikkében található első bekezdés c) pontja alapján az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az adatkezelőnek már nincs szüksége a személyes adatokra az adatkezelés céljának eléréséhez, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez. Ebben az esetben az adatkezelőnek az általa folytatott adatkezelést a jogi igény előterjesztéséhez vagy érvényesítéséhez szükséges ideig köteles felfüggeszteni és nem mérlegelheti, hogy a felvételek alkalmasak-e a bizonyításra. Ezek a rendelkezések felülírják a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló törvény vonatkozó paragrafusait is.
 
Emellett a szabálysértő cég arról sem tájékoztatta a kérelmezőt, hogy nem tettek intézkedéseket a kérelme nyomán és ennek kapcsán jogorvoslattal élhet, pedig ezt a GDPR 12. cikk negyedik bekezdése előírja. A NAIH a bírságkiszabás során az alábbi tényezőket vette figyelembe:
 
– a jogsértés jellegét, mivel az a Kérelmező érintetti jogainak sérelmével járt
 
– a Kérelmező adatkezelés korlátozása iránti kérelme teljesítésének megtagadása eredményeként a Kötelezett törölte a kamerafelvételeket, amelyek nem helyreállíthatók
 
– a Kötelezett első alkalommal követte el a IV. pontban meghatározott jogsértéseket
 
– az Szvtv. jelen ügyben releváns szabályai még hatályosak, azonban nincsenek összhangban a GDPR-ral, és ez félrevezethette a Kötelezettet a Kérelmező kérelmének elbírálása során.
 
Erre való tekintettel a kiszabott egymillió forintos adatvédelmi bírság “jelképes összegű” és nem lépi túl a kiszabható bírság maximumát.