Először bírságolt a NAIH a GDPR alapján

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2018. december 21-én kelt határozatában két érintetti jogosultság – a hozzáféréshez és az adatkezelés korlátozásához való jog – sérelmét állapította meg, amely miatt 1.000.000 forint bírságot szabott ki. A döntés a hazai adatvédelmi gyakorlat szempontjából több ok miatt is jelentős. Egyrészt ez az első eset, hogy a NAIH az általános adatvédelmi rendelet (GDPR) alapján szabott ki bírságot. Másrészt a döntésben kitér a hatóság az uniós és a magyar jog kapcsolatára, amely a jogalkalmazás, az adatvédelmi szabályok gyakorlati átültetése tekintetében lesz meghatározó.

1. Az alapügy

Az Adatalany 2018 júliusában kérelmet nyújtott be az Adatkezelőhöz, amelyben bizonyos, a személyét érintő kamerafelvételek zárolását kérte, illetve az azokhoz való hozzáférést, beleértve a másolat kiadását is. Az érintett indokolása szerint a felvételt – személyiségi jogi és értékpapír jogviszonyhoz kapcsolódó – peres eljárások megindításához, jogi igényeinek érvényesítéséhez kívánta volna felhasználni. Az Adatkezelő azonban elutasította a kérelem teljesítését arra hivatkozással, hogy az Adatalany nem igazolta megfelelő módon jogos érdekét a hozzáféréshez és az adatkezelés korlátozásához való joggal összefüggésben. Az érintett ezért a NAIH-hoz fordult, amely adatvédelmi hatósági eljárás keretében vizsgálta az ügyet.

2. A NAIH jogi érvelése

A NAIH alapvetően két szempontot mérlegelt az eljárás során. Egyrészt megvizsgálta, hogy az Adatkezelő jogszerűen kötötte-e a hozzáféréshez és az adatkezelés korlátozásához való jog gyakorlását az Adatalany jogos érdekeinek igazolásához. Másrészt elemezte a kérelem elutasításának tartalmi elemeit is. A hatóság mindkét esetkörben jogsértést állapított meg.

Az információs önrendelkezési jog egyik konstitutív elemét alkotó hozzáféréshez való jog lényege, hogy az érintett tájékoztatást kaphat a személyes adatai kezelésével összefüggésben, valamint – adott esetben – másolatban is rendelkezésére kell bocsátani az említett információkat. Az érintett ily módon kerülhet olyan helyzetbe, hogy ellenőrizze az adatkezelő eljárását, esetleg további jogokat gyakorolhat, illetve jogorvoslati lehetőséget is igénybe vehet. [1] E jog tehát kétségkívül a személyes adatok védelmének egyik kiemelkedő aspektusa, amelynek gyakorlását azonban a GDPR nem köti semmilyen érintettség vagy jogos érdek igazolásához. [2] Következésképpen a hozzáféréshez való jog gyakorlása iránti kérelmet kizárólag abban az esetben lehet megtagadni, amennyiben az egyértelműen megalapozatlan vagy túlzó. [3] Mivel az Adatkezelő nem hivatkozott e körülmények fennállására, megsértette az Adatalany hozzáféréshez való jogát azáltal, hogy „nem biztosított […] számára betekintést a kamerafelvételekbe, továbbá nem bocsátotta rendelkezésére a kamerafelvételekről készült másolatot”. [4]

A NAIH hasonló megállapításokat tett az adatkezelés korlátozáshoz való kapcsán is. A jogosultság gyakorlása azt eredményezi, hogy megfelelő indokok megléte esetén az adatkezelő köteles ideiglenesen felfüggeszteni az adatkezelési műveletek folytatását, a személyes adatok puszta tárolása kivételével. Az egyik ilyen eset az, amikor a személyes adatok kezelésére a továbbiakban már nincs szüksége az adatkezelőnek, azonban az érintett kéri az adatkezelés korlátozását jogi igények előterjesztése, érvényesítése vagy védelme érdekében. [5] E jog gyakorlása így alapvetően célhoz kötötten lehetséges, ahhoz azonban elegendő, ha az érintett pusztán „arra hivatkozik, hogy az adatkezelés korlátozása jogi igénye előterjesztéséhez, érvényesítéséhez szükséges”. [6] Következésképpen az Adatkezelő jogellenes kérte az Adatalanytól a jogi igény fennállásának igazolását az adatkezelés korlátozásának teljesítéséhez.

A NAIH végezetül jogsértést állapított meg a tekintetben is, hogy az Adatkezelő nem tájékoztatta megfelelő módon az Adatalanyt a kérelme elutasításával összefüggésben. A GDPR ugyanis előírja, hogy az adatkezelő válaszának ilyenkor mind az intézkedés elmaradásának ténybeli és jogi indokait, mind pedig az igénybe vehető jogorvoslati lehetőségeket tartalmaznia kell. [7] Utóbbira azonban az Adatkezelő nem hívta fel az Adatalany figyelmét.

3. A jogsértésért kiszabott bírság

A NAIH az eljárás eredményeként vizsgálta a megfelelő szankció kiszabásának szükségességét, illetve mértékét. E tekintetben megállapította, hogy az érintett – hozzáféréshez és adatkezelés korlátozásához való – jogaival összefüggésben bekövetkezett jogsérelem bírság kiszabását teszi szükségessé. [8] Súlyosbító körülményként vette figyelembe a jogsértés jellegét (érintetti jogok sérelme), valamint azt, hogy az Adatalany kérelmének megtagadása eredményeképpen az Adatkezelő helyreállíthatatlanul törölte a felhasználni kívánt kamerafelvételeket. Csökkentette viszont a kiszabott összeget az, hogy ez volt az Adatkezelő első ilyen jogsértése, illetve, hogy a hatályos magyar szabályok GDPR-ral ellentétes rendelkezései jogbizonytalanságot eredményeztek. Mindezek miatt a NAIH 1.000.000 forint – átszámítva kb. 3060 euró – bírságot szabott ki az Adatkezelőre.

4. Kommentár

A határozat jelentősége kettős. Egyrészt ez volt az első olyan hatósági döntés, amelyben a NAIH a GDPR vonatkozó előírásai, valamint a 29. cikk alapán létrehozott Adatvédelmi Munkacsoport bírság kiszabásával kapcsolatos iránymutatásai alapján bírságot szabott ki. Megjegyzendő, hogy a rendelet az érintetti jogok megsértése esetén a legsúlyosabb – 20.000.000 EUR – bírság kiszabását teszi lehetővé, amelyhez képest elenyésző a most megállapított összeg. Dr. Péterfalvi Attila, a NAIH elnöke, ugyanakkor már több alkalommal is jelezte, hogy az új adatvédelmi szabályozásnak köszönhetően a bírságok mértéke is egységesülni fog uniós szinten, így mindenképpen számítani lehet majd a szankciók drasztikus emelkedésére.

Másrészt ki kell emelni, hogy a NAIH először mondta ki, hogy a magyar ágazati szabályokat a GDPR-ra tekintettel kell értelmezni, és hogy nem alkalmazhatók azok az előírások, amelyek ellenétesek az uniós joggal (ún. uniós jog elsőbbségének elve). [9] A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (Szvtv.) ugyanis az érintett jogának vagy jogos érdekének igazolása mellett teszi lehetővé az elektronikus megfigyelőrendszer által rögzített felvételek zárolását. [10] Ez a szabályozás azonban, ahogy arra korábban utaltunk, nem felel meg a GDPR-ban foglaltaknak, így azt az Szvtv. közelgő módosítása is törölné a jogszabály szövegéből. A NAIH ugyanakkor kimondta, hogy a jelenleg hatályos szabályokat sem lehet alkalmazni.

[1] Ld. GDPR (63) preambulumbekezdés.

[2] Vö. GDPR 15. cikk.

[3] GDPR 12. cikk (5) bekezdés b) pont.

[4] NAIH/2018/5559/H.

[5] GDPR 18. cikk (1) bekezdés c) pont.

[6] NAIH/2018/5559/H.

[7] GDPR 12. cikk (4) bekezdés.

[8] GDPR 83. cikk (5) bekezdés b) pont.

[9] NAIH/2018/5559/H.

[10] Szvtv. 31. § (6) bekezdés.

ARB Consulting Kft. 2018 © Minden Jog Fentarta. Design by Kránicz Dániel

Impresszum | Adatkezelesi tajekoztato | Jogi nyilatkozat

Adatvédelmi tanácsadás

Adatvédelmi tanácsadás keretében – személyre szabott megoldásokkal – felkészítjük Önt a GDPR-nak való megfelelésre, különös tekintettel az átláthatóság és az elszámoltathatóság érvényesülésére:

előzetes, tematikus írásbeli kérdőív kiértékelése,
szükség esetén az Ügyfél tevékenységeinek felmérése,
testreszabott tájékoztatók vagy szabályzatok elkészítése,
érdekmérlegelési teszt készítése,
adatvédelmi hatásvizsgálat lefolytatása,
adatvédelmi incidensek kezelése, különös tekintettel azok bejelentésére.

Adatvédelmi audit

Adatvédelmi audit keretében átvilágítjuk az adatkezelő személyes adatok kezelésével kapcsolatos gyakorlatát, felmérjük annak megfelelőségét és javaslatokat fogalmazunk meg a minél teljesebb körű megfelelés érdekében:

előzetes, tematikus írásbeli kérdőív kiértékelése,
helyszíni audit lefolytatása (interjú, szemle)
meglévő adatvédelmi szabályzatok, tájékoztatók felülvizsgálata,
az adatok biztonságáért felelős informatikai rendszerek kiértékelése,
írásbeli jelentés elkészítése:
a jelenlegi helyzet leírása,
a jogszabályoktól való eltérés megjelenítése,
javaslattétel a megfelelésre.

Webáruházak adatkezelése

Szeretne teljeskörűen megfelelni az Önre vonatkozó adatvédelmi előírásoknak?

Felmérések szerint az online kiskereskedelem a magyar gazdaság 4,3 %-át teszi ki és rohamosan fejlődik, éves szinten pedig kb. 3 millió vásárló lép kapcsolatba a webáruházakkal. Tanácsadó Irodánk célja olyan megoldások keresése, amelyek révén az Ön vásárlói elégedetten veszik kézbe az általuk megrendelt terméket. Ennek érdekében vállaljuk

webáruházak teljes adatvédelmi auditálását,
a szükséges, testreszabott dokumentációk (tájékoztatók, szabályzatok) elkészítését,
speciális, az adott webáruház adatkezelésekre fókuszáló adatvédelmi oktatás megtartását az adatkezelő munkatársainak.

DPO/Adatvédelmi tisztviselő szolgáltatás, kölcsönzés

Adatvédelmi tisztviselő szolgáltatás keretében teljeskörűen ellátjuk a GDPR-ban és a vonatkozó hazai jogszabályokban meghatározott feladatokat. Tisztviselőként mindig naprakész és magas szintű tudással felvértezve állunk ügyfeleink rendelkezésére. Nemcsak a jogszerű és szakszerű adatkezeléshez kívánunk hozzájárulni, hanem egyúttal versenyelőnyt is biztosítunk számukra.

tapasztalt szakértőcsapatunkkal vállaljuk adatvédelmi tisztviselői (DPO) tevékenység ellátását,
szolgáltatásunkat havi meghatározott óraszámban is biztosítjuk, ezen felül pedig rendelkezésre állást biztosítunk,
lehetőség van rendelkezésre állás igénybevételére DPO kijelölés hiányában is.

A „külső” DPO igénybevételének előnyei: kisebb bérköltség, garantált szaktudás, szakmai tapasztalat, folyamatos rendelkezésre állás.

Munkavállalói adatkezelések

Szinte minden vállalkozás foglalkoztat munkavállalókat. Az ún. munkahelyi adatkezelések ezért, amellett, hogy az adatvédelem egyik leggyakoribb esetkörét képezik, kiemelt figyelmet élveznek az adatalanyok, mind a jogalkotók és a jogalkalmazók oldaláról is. Tanácsadó Irodánk célja, hogy munkáltatóként Ön, illetve munkavállalóként az adatalanyok is elégedettek legyenek. Ennek érdekében vállaljuk:

munkáltatók teljes adatvédelmi auditálását,
a szükséges, testreszabott dokumentációk (tájékoztatók, szabályzatok) elkészítését,

speciális, a munkaügyi adatkezelésekre fókuszáló adatvédelmi oktatás megtartását az adatkezelő munkatársainak.

Egészségügyi adatkezelések

A társadalom minden tagja kapcsolatba kerül az egészségügyi ellátórendszerrel, így ebben a szektorban nagy mennyiségű információ kezelésére kerül sor nap, mint nap. Tanácsadó Irodánk számára az egészségügyi szolgáltatók adatkezelése kiemelten fontos. Ennek érdekében vállaljuk:

az egészségügyi adatokat kezelők (kórházak, magánszolgáltatók) teljes adatvédelmi auditálását,
a szükséges, testreszabott dokumentációk (tájékoztatók, szabályzatok) elkészítését,

speciális, az egészségügyi adatkezelésekre fókuszáló adatvédelmi oktatás megtartását az adatkezelő munkatársainak.

ARB-campus

Munkatársaink sokéves egyetemi oktatói (ELTE ÁJK, NKE), illetve szakmai előadói (BDO, TAM-CERT, IIR) tapasztalattal rendelkeznek, emellett rendszeren adnak elő az adatvédelemmel és információszabadasággal kapcsolatos tudományos és szakmai konferenciákon. Célunk, hogy közérthető módon, érdekes témák érintésével ismertessük meg a hallgatóságot az információs jogok elméleti és gyakorlati hátterével.

belső (in-house) oktatások keretében vállaljuk a cégek, közfeladatot ellátó szervek munkatársainak, vezetőinek oktatását,
a képzések során a megbízó igényeihez igazított, egyedi tematikát és oktatási formát (személyes vagy akár e-learning) biztosítunk,
az oktatásokat igény esetén akár angol nyelven is megtartjuk.

Információszabadság

A közérdekű és a közérdekből nyilvános adatok megismerhetősége a jogállamok egyik kiemelt értéke. Az átláthatóság nagyban hozzájárulás a közhatalom demokratikus gyakorlásához, illetve a közhatalom gyakorlóiba vetett állampolgári bizalom megtartásához. Tanácsadó Irodánk számára ezért kiemelten fontos az információszabadság megfelelő érvényesülése.

információszabadság audit keretében átvilágítjuk a közfeladatot ellátó szerv információszabadsággal kapcsolatos gyakorlatát, felmérjük annak megfelelőségét és javaslatokat fogalmazunk meg a minél teljesebb körű megfelelés érdekében,
információszabadság tanácsadás keretében javaslatot teszünk az egyedi adatigénylésekkel kapcsolatos megfelelő gyakorlat kialakítására,
a vonatkozó dokumentáció elkészítésével, tájékoztatók vagy szabályzatok véleményezésével elősegítjük azt, hogy a közfeladatot ellátó szerv teljeskörűen megfeleljen a vonatkozó jogszabályi elvárásoknak.