Megszületett az első GDPR alapján kiszabott adatvédelmi bírság Magyarországon.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) határozatában 1 millió Ft összegű bírságot szabott ki érintetti jogok megsértése miatt.
Az alapul fekvő ügyben az érintett kamerafelvételek zárolását, illetve az azokba való betekintés jogát kívánta gyakorolni az adatkezelőnél, amelyeket az adatkezelő nem biztosított, mivel – a Vagyonvédelmi törvény 31. § (6) bekezdésére alapított álláspontja szerint – jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez szükséges feltétel nem teljesült az érintett oldalán. A felvételek törlésre kerültek.
Az érintetti jogok sérelme
A NAIH határozata szerint az adatkezelő megsértette az érintett hozzáférési jogát (GDPR 15. cikk), az adatkezelés korlátozásához való jogát (18. cikk) és nem adott megfelelő tájékoztatást a jogorvoslatio lehetőségekről (12. cikk (4) bekezdés).
1. A hozzáférési jog megsértése kapcsán a Hatóság leszögezte, hogy “a hozzáférési jog – ideértve annak részjogosítványát is, a másolat rendelkezésre bocsátáshoz való jogot – gyakorlása kapcsán a GDPR nem támaszt többletkövetelményeket, az feltétel nélkül gyakorolható, tehát az érintettnek nem kell igazolnia a hozzáférési joga gyakorlásához fűződő jogát vagy jogos érdekét, illetve nem kell indokolnia, hogy mi okból kíván élni ezzel a jogával.”
Az adatkezelő arra hivatkozással utasította el az érintett hozzáférési kérelmét, hogy az érinett nem igazolta a GDPR 18. cikk (1) bekezdésében foglalt valamely feltétel fennállását, azaz az érintett jogos érdekének igazolásához kötötte, pedig a hozzáférési jog gyakorlására irányuló érintetti kérelem teljesítése kizárólag a GDPR 12. cikk (5) bekezdése szerinti esetekben tagadható meg, azaz akkor, ha a kérelem egyértelműen megalapozatlan vagy túlzó. Ilyen körülmény azonban nem merült fel, illetve ilyenre az adatkezelő sem hivatkozott. A Hatóság tehát megállapította a GDPR 15. cikkének (hozzáférési jog) megsértését.
2. Az adatkezelés korlátozásához való jog alapján az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést – többek között akkor -, ha az adatkezelőnek már nincs szüksége a személyes adatokra az adatkezelés céljának eléréséhez, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez (GDPR 18. cikk (1) bekezdés c) pont).
Az adatkezelő arra hivatkozással tagadta meg az igény teljesítését, mivel – véleménye szerint – az érintett által előadott indokok nem alapozták meg a kérelem jogosságát, nem támasztotta kellően alá az igényét.
A Hatóság ugyanakkor leszögezte, hogy “a GDPR 18. cikk (1) bekezdés c) pontja szerint elegendő, ha az érintett arra hivatkozik, hogy az adatkezelés korlátozása jogi igénye előterjesztéséhez, érvényesítéséhez szükséges, különösen azért, mivel bizonyos esetekben az adatkezelés olyan célból történő korlátozása, hogy a személyes adat ne kerüljön törlésre az adatkezelés idejének lejártával, előfeltétele, illetve végre nem hajtása akadálya lehet a
további jogérvényesítésnek.” Az adatkezelőnek tehát nincs mérlegelési lehetősége atekintetben, hogy az érintett által kért korlátozás alkalmas-e igényérvényesítésre.
Adott ügyben az érintett a kérelmében a GDPR 18. cikk (1) bekezdés c) pontja szerinti feltételeknek megfelelt, mivel kifejtette, hogy a felvételek zárolására, illetőleg azok másolatának kiadására személyiségi jogi perhez, továbbá egy értékpapír jogviszonyhoz kapcsolódó perhez, jogi eljáráshoz van szüksége. Ezen túlmenően további igazolás nyújtására vagy valószínűsítésre az érintett részéről nincs szükség. Erre tekintettel a zárolási kérelem megtagadásával az adatkezelő megsértette a GDPR. 18. cikk (1) bekezdés c) pontját (adatkezelés korlátozásához való jog).
(Érdekes mellékszál, hogy az adatkezelő a Vagyonvédelmi törvény vonatkozó rendelkezéseire hivatkozott, amelyek azonban a GDPR-ral nem állnak teljesen összhangban. Tekintettel a GDPR, mint közvetlenül alkalmazandó uniós jogforrási aktus és a vele ellentétes törvény viszonyára, a GDPR rendelkezésének kell érvényesülnie a vele ellentétes tagállami belső szabállyal szemben is. A hasonló jogalkalmazási nehézségeket segíthet majd kiküszöbölni az ágazati törvények GDPR-ra tekintettel történő módosítása, amely a közelmúltban került a Parlamentnek benyújtásra.)
3. A Hatóság megállapította a GDPR 12. cikk (4) bekezdésének (érintett jogainak gyakorlását segítő intézkedések) sérelmét is, mivel az adatkezelő az érintettnek küldött elutasításában megjelölte ugyan az elutasítás ténybeli és jogi indokait, azonban nem tájékoztatta a kérelmezőt jogorvoslati lehetőségeiről.
Bírság meghatározása
A GDPR 83. cikke rendelkezik a bírság kiszabásának szempontjairól, illetve ezzel kapcsolatban több iránymutatás is napvilágot látott korábban (erről részletesen lásd itt és itt). Érintetti jogok sérelme esetén a kiszabható bírság felső határa 20 000 000 euró, illetve ha ez magasabb, akkor az előző pénzügyi év teljes világpiaci forgalmának legfeljebb 4%-a (jelen ügyben ez utóbbi volt alkalmazandó).
A Hatóság a bírságkiszabás során az alábbi tényezőket vette figyelembe:
- a jogsértés jellegét, mivel az az érintett jogainak sérelmével járt;
- az adatkezelés korlátozása iránti kérelme teljesítésének megtagadása eredményeként az adatok törlésre kerültek, amelyek utólag már nem helyreállíthatók;
- az adatkezelő első alkalommal követte el a határozatban foglalt jogsértéseket;
- a Vagyonvédelmi törvény releváns szabályai még hatályosak, azonban nincsenek összhangban a GDPR-ral, és ez félrevezethette az adatkezelőt a kérelem elbírálása során.
forrás:gdpr.blog.hu