Először bírságolt a NAIH a GDPR alapján
Szerző: dr. Buzás Péter
SZENIOR ADATVÉDELMI ÉS INFORMÁCIÓSZABADSÁG TANÁCSADÓ
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2018. december 21-én kelt határozatában két érintetti jogosultság – a hozzáféréshez és az adatkezelés korlátozásához való jog – sérelmét állapította meg, amely miatt 1.000.000 forint bírságot szabott ki. A döntés a hazai adatvédelmi gyakorlat szempontjából több ok miatt is jelentős. Egyrészt ez az első eset, hogy a NAIH az általános adatvédelmi rendelet (GDPR) alapján szabott ki bírságot. Másrészt a döntésben kitér a hatóság az uniós és a magyar jog kapcsolatára, amely a jogalkalmazás, az adatvédelmi szabályok gyakorlati átültetése tekintetében lesz meghatározó.
1. Az alapügy
Az Adatalany 2018 júliusában kérelmet nyújtott be az Adatkezelőhöz, amelyben bizonyos, a személyét érintő kamerafelvételek zárolását kérte, illetve az azokhoz való hozzáférést, beleértve a másolat kiadását is. Az érintett indokolása szerint a felvételt – személyiségi jogi és értékpapír jogviszonyhoz kapcsolódó – peres eljárások megindításához, jogi igényeinek érvényesítéséhez kívánta volna felhasználni. Az Adatkezelő azonban elutasította a kérelem teljesítését arra hivatkozással, hogy az Adatalany nem igazolta megfelelő módon jogos érdekét a hozzáféréshez és az adatkezelés korlátozásához való joggal összefüggésben. Az érintett ezért a NAIH-hoz fordult, amely adatvédelmi hatósági eljárás keretében vizsgálta az ügyet.
2. A NAIH jogi érvelése
A NAIH alapvetően két szempontot mérlegelt az eljárás során. Egyrészt megvizsgálta, hogy az Adatkezelő jogszerűen kötötte-e a hozzáféréshez és az adatkezelés korlátozásához való jog gyakorlását az Adatalany jogos érdekeinek igazolásához. Másrészt elemezte a kérelem elutasításának tartalmi elemeit is. A hatóság mindkét esetkörben jogsértést állapított meg.
Az információs önrendelkezési jog egyik konstitutív elemét alkotó hozzáféréshez való jog lényege, hogy az érintett tájékoztatást kaphat a személyes adatai kezelésével összefüggésben, valamint – adott esetben – másolatban is rendelkezésére kell bocsátani az említett információkat. Az érintett ily módon kerülhet olyan helyzetbe, hogy ellenőrizze az adatkezelő eljárását, esetleg további jogokat gyakorolhat, illetve jogorvoslati lehetőséget is igénybe vehet. [1] E jog tehát kétségkívül a személyes adatok védelmének egyik kiemelkedő aspektusa, amelynek gyakorlását azonban a GDPR nem köti semmilyen érintettség vagy jogos érdek igazolásához. [2] Következésképpen a hozzáféréshez való jog gyakorlása iránti kérelmet kizárólag abban az esetben lehet megtagadni, amennyiben az egyértelműen megalapozatlan vagy túlzó. [3] Mivel az Adatkezelő nem hivatkozott e körülmények fennállására, megsértette az Adatalany hozzáféréshez való jogát azáltal, hogy „nem biztosított […] számára betekintést a kamerafelvételekbe, továbbá nem bocsátotta rendelkezésére a kamerafelvételekről készült másolatot”. [4]
A NAIH hasonló megállapításokat tett az adatkezelés korlátozáshoz való kapcsán is. A jogosultság gyakorlása azt eredményezi, hogy megfelelő indokok megléte esetén az adatkezelő köteles ideiglenesen felfüggeszteni az adatkezelési műveletek folytatását, a személyes adatok puszta tárolása kivételével. Az egyik ilyen eset az, amikor a személyes adatok kezelésére a továbbiakban már nincs szüksége az adatkezelőnek, azonban az érintett kéri az adatkezelés korlátozását jogi igények előterjesztése, érvényesítése vagy védelme érdekében. [5] E jog gyakorlása így alapvetően célhoz kötötten lehetséges, ahhoz azonban elegendő, ha az érintett pusztán „arra hivatkozik, hogy az adatkezelés korlátozása jogi igénye előterjesztéséhez, érvényesítéséhez szükséges”. [6] Következésképpen az Adatkezelő jogellenes kérte az Adatalanytól a jogi igény fennállásának igazolását az adatkezelés korlátozásának teljesítéséhez.
A NAIH végezetül jogsértést állapított meg a tekintetben is, hogy az Adatkezelő nem tájékoztatta megfelelő módon az Adatalanyt a kérelme elutasításával összefüggésben. A GDPR ugyanis előírja, hogy az adatkezelő válaszának ilyenkor mind az intézkedés elmaradásának ténybeli és jogi indokait, mind pedig az igénybe vehető jogorvoslati lehetőségeket tartalmaznia kell. [7] Utóbbira azonban az Adatkezelő nem hívta fel az Adatalany figyelmét.
3. A jogsértésért kiszabott bírság
A NAIH az eljárás eredményeként vizsgálta a megfelelő szankció kiszabásának szükségességét, illetve mértékét. E tekintetben megállapította, hogy az érintett – hozzáféréshez és adatkezelés korlátozásához való – jogaival összefüggésben bekövetkezett jogsérelem bírság kiszabását teszi szükségessé. [8] Súlyosbító körülményként vette figyelembe a jogsértés jellegét (érintetti jogok sérelme), valamint azt, hogy az Adatalany kérelmének megtagadása eredményeképpen az Adatkezelő helyreállíthatatlanul törölte a felhasználni kívánt kamerafelvételeket. Csökkentette viszont a kiszabott összeget az, hogy ez volt az Adatkezelő első ilyen jogsértése, illetve, hogy a hatályos magyar szabályok GDPR-ral ellentétes rendelkezései jogbizonytalanságot eredményeztek. Mindezek miatt a NAIH 1.000.000 forint – átszámítva kb. 3060 euró – bírságot szabott ki az Adatkezelőre.
4. Kommentár
A határozat jelentősége kettős. Egyrészt ez volt az első olyan hatósági döntés, amelyben a NAIH a GDPR vonatkozó előírásai, valamint a 29. cikk alapán létrehozott Adatvédelmi Munkacsoport bírság kiszabásával kapcsolatos iránymutatásai alapján bírságot szabott ki. Megjegyzendő, hogy a rendelet az érintetti jogok megsértése esetén a legsúlyosabb – 20.000.000 EUR – bírság kiszabását teszi lehetővé, amelyhez képest elenyésző a most megállapított összeg. Dr. Péterfalvi Attila, a NAIH elnöke, ugyanakkor már több alkalommal is jelezte, hogy az új adatvédelmi szabályozásnak köszönhetően a bírságok mértéke is egységesülni fog uniós szinten, így mindenképpen számítani lehet majd a szankciók drasztikus emelkedésére.
Másrészt ki kell emelni, hogy a NAIH először mondta ki, hogy a magyar ágazati szabályokat a GDPR-ra tekintettel kell értelmezni, és hogy nem alkalmazhatók azok az előírások, amelyek ellenétesek az uniós joggal (ún. uniós jog elsőbbségének elve). [9] A személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (Szvtv.) ugyanis az érintett jogának vagy jogos érdekének igazolása mellett teszi lehetővé az elektronikus megfigyelőrendszer által rögzített felvételek zárolását. [10] Ez a szabályozás azonban, ahogy arra korábban utaltunk, nem felel meg a GDPR-ban foglaltaknak, így azt az Szvtv. közelgő módosítása is törölné a jogszabály szövegéből. A NAIH ugyanakkor kimondta, hogy a jelenleg hatályos szabályokat sem lehet alkalmazni.
[1] Ld. GDPR (63) preambulumbekezdés.
[2] Vö. GDPR 15. cikk.
[3] GDPR 12. cikk (5) bekezdés b) pont.
[4] NAIH/2018/5559/H.
[5] GDPR 18. cikk (1) bekezdés c) pont.
[6] NAIH/2018/5559/H.
[7] GDPR 12. cikk (4) bekezdés.
[8] GDPR 83. cikk (5) bekezdés b) pont.
[9] NAIH/2018/5559/H.
[10] Szvtv. 31. § (6) bekezdés.