|
A Nemzeti Adatvédelmi és Információszabadság Hatóság nyilvánosságra hozta az első magyarországi, már a GDPR alapján kiszabott adatvédelmi bírsággal járó határozatát - adta hírül blogján a GDPR tanácsadással és üzleti döntéseket támogató szoftverek fejlesztésével foglalkozó Crosssec Solutions.
A határozatból nem derül ki a felek neve, így az sem, melyik cég kapta a bírságot vagy épp az, hogy mivel foglalkozik. Az viszont kiderül, hogy bejelentés alapján kezdett vizsgálódni a hatóság.
A kamerafelvételek kellettek volna egy jogi eljáráshoz, de nem adták ki őket
Az érintett személy azt kifogásolta, hogy a cég megtagadta, hogy számára azon kamerafelvételeket kiadja és a továbbiakban zárolja, amelyeken azonosítható módon ő maga szerepel. Pedig ezeket a felvételeket szerette volna felhasználni egy jogi eljáráshoz.
A cég nem teljesítette a kérését, arra hivatkozva, hogy a kamerafelvétel csak azt igazolja, hogy a kérelmező a megadott időpontokban jelen volt a recepción, hangot viszont nem rögzít - ezért a kamerafelvétel nem alkalmas annak igazolására, hogy a kérelmező milyen ügyben jelent meg a cég székhelyén.
A személy- és vagyonvédelmi törvény előírja, hogy akinek a jogát vagy jogos érdekét a képfelvétel érinti, a képfelvétel rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje. A cég azonban ennek a kérésnek nem tett eleget, mivel a kérelmező magánszemély szerintük nem adott konkrét indoklást, pedig a GDPR megkövetelte volna. Ezért 3 nap után törölték a felvételeket, hiába kérte az érintett, hogy őrizzék meg a jogi eljáráshoz.
3 helyen is megsértették a GDPR-t
A hatóság szerint viszont ezzel hibáztak: a hozzáférési jog gyakorlására irányuló érintetti kérelem teljesítése kizárólag akkor tagadható meg, ha a kérelem egyértelműen megalapozatlan vagy túlzó, azonban ezen körülményekre a cég nem hivatkozott sem a kérelmezőnek, sem a Hatóságnak adott válaszában. Ebből kifolyólag megsértette a GDPR 15. cikkét, amikor nem biztosított a kérelmező számára betekintést a kamerafelvételekbe, továbbá nem bocsátotta rendelkezésére a kamerafelvételekről készült másolatot.
Hibázott a cég akkor is, amikor nem őrizte meg a felvételeket - miután az érintett személy jelezte, hogy jogi eljáráshoz van szüksége a felvételekre, a felvételeket készítő cég nem mérlegelhette volna, hogy valóban hasznos lesz-e egy eljárásban az elkészült felvétel vagy nem.
Emellett a határozat szerint egy harmadik ponton is megsértették a GDPR-t, mert a kérelem elutasítása során nem tájékoztatták a kérelmezőt a jogorvoslati lehetőségekről.
Jelképes lett a bírság - 1 millió forint
A céget 1 millió forint adatvédelmi bírság megfizetésére kötelezte a hatóság. A bírság kiszabásának során az alábbi tényezőket vette figyelembe a Hatóság:
- A jogsértés jellegét, mivel az a kérelmező érintetti jogainak sérelmével járt;
- A kérelmező adatkezelés korlátozása iránti kérelme teljesítésének megtagadása eredményeként a kötelezett törölte a kamerafelvételeket, melyek nem helyreállíthatók;
- A kötelezett első alkalommal követte el a meghatározott jogsértéseket;
- A Szvtv. jelen ügyben releváns szabályai még hatályosak, azonban nincsenek összhangban a GDPR-ral, és ez félrevezethette a kötelezettet a kérelmező kérelmének elbírálása során.
Megvizsgálták, hogy a kötelezett értékesítési árbevétele a 2017. évi beszámolója szerint több mint 15 milliárd forint volt, így a kiszabott 1 millió forint adatvédelmi bírság jelképes összegű, és nem is lépi túl a kiszabható bírság maximumát - írja a Crosssec. A szakértők emlékeztetnek: a jogsértés jellege alapján a kiszabható bírság felső határa 20 millió euró (mintegy 6,3 milliárd forint), illetve az előző pénzügyi év teljes világpiaci forgalmának legfeljebb 4%-a.
Az ELMŰ volt a kötelezett - nem fellebbeznek
Bár a NAIH határozatából a nyilvánosságra hozás előtt törlik a felek nevét, a Privátbankár.hu megtudta: az ELMŰ Nyrt. a határozat kötelezettje, magyarán ők kapták a bírságot. A társaság megkeresésünkre elmondta: álláspontjuk szerint egy jogértelmezési probléma vezetett a határozathoz, mivel
"egy bizonyos, a Társaság működését illető adatcsomag kiadását a kérelem beadásának pillanatában a hazai jogszabályok nem, az Uniós szabályok pedig lehetővé tették. Mivel időközben a hazai jogszabályokat az Uniós szabályoknak megfelelően aktualizálták, így értelemszerűen nem fellebbezünk"
- közölte megkeresésünkre az ELMŰ.
