A Nemzeti Adatvédelmi és Információszabadság Hatóság nyilvánosságra hozta az első magyarországi, már a GDPR alapján kiszabott adatvédelmi bírsággal járó határozatát - adta hírül blogján a GDPR tanácsadással és üzleti döntéseket támogató szoftverek fejlesztésével foglalkozó Crosssec Solutions.

A határozatból nem derül ki a felek neve, így az sem, melyik cég kapta a bírságot vagy épp az, hogy mivel foglalkozik. Az viszont kiderül, hogy bejelentés alapján kezdett vizsgálódni a hatóság.

A kamerafelvételek kellettek volna egy jogi eljáráshoz, de nem adták ki őket

Az érintett személy azt kifogásolta, hogy a cég megtagadta, hogy számára azon kamerafelvételeket kiadja és a továbbiakban zárolja, amelyeken azonosítható módon ő maga szerepel. Pedig ezeket a felvételeket szerette volna felhasználni egy jogi eljáráshoz.

A cég nem teljesítette a kérését, arra hivatkozva, hogy a kamerafelvétel csak azt igazolja, hogy a kérelmező a megadott időpontokban jelen volt a recepción, hangot viszont nem rögzít -  ezért a kamerafelvétel nem alkalmas annak igazolására, hogy a kérelmező milyen ügyben jelent meg a cég székhelyén.

A személy- és vagyonvédelmi törvény előírja, hogy akinek a jogát vagy jogos érdekét a képfelvétel érinti, a képfelvétel rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje. A cég azonban ennek a kérésnek nem tett eleget, mivel a kérelmező magánszemély szerintük nem adott konkrét indoklást, pedig a GDPR megkövetelte volna. Ezért 3 nap után törölték a felvételeket, hiába kérte az érintett, hogy őrizzék meg a jogi eljáráshoz.

3 helyen is megsértették a GDPR-t

A hatóság szerint viszont ezzel hibáztak: a hozzáférési jog gyakorlására irányuló érintetti kérelem teljesítése kizárólag akkor tagadható meg, ha a kérelem egyértelműen megalapozatlan vagy túlzó, azonban ezen körülményekre a cég nem hivatkozott sem a kérelmezőnek, sem a Hatóságnak adott válaszában. Ebből kifolyólag megsértette a GDPR 15. cikkét, amikor nem biztosított a kérelmező számára betekintést a kamerafelvételekbe, továbbá nem bocsátotta rendelkezésére a kamerafelvételekről készült másolatot.

Hibázott a cég akkor is, amikor nem őrizte meg a felvételeket - miután az érintett személy jelezte, hogy jogi eljáráshoz van szüksége a felvételekre, a felvételeket készítő cég nem mérlegelhette volna, hogy valóban hasznos lesz-e egy eljárásban az elkészült felvétel vagy nem.

Emellett a határozat szerint egy harmadik ponton is megsértették a GDPR-t, mert a kérelem elutasítása során nem tájékoztatták a kérelmezőt a jogorvoslati lehetőségekről.

Jelképes lett a bírság - 1 millió forint

A céget 1 millió forint adatvédelmi bírság megfizetésére kötelezte a hatóság. A bírság kiszabásának során az alábbi tényezőket vette figyelembe a Hatóság:

• A jogsértés jellegét, mivel az a kérelmező érintetti jogainak sérelmével járt;
• A kérelmező adatkezelés korlátozása iránti kérelme teljesítésének megtagadása eredményeként a kötelezett törölte a kamerafelvételeket, melyek nem helyreállíthatók;
• A kötelezett első alkalommal követte el a meghatározott jogsértéseket;
• A Szvtv. jelen ügyben releváns szabályai még hatályosak, azonban nincsenek összhangban a GDPR-ral, és ez félrevezethette a kötelezettet a kérelmező kérelmének elbírálása során.

Megvizsgálták, hogy a kötelezett értékesítési árbevétele a 2017. évi beszámolója szerint több mint 15 milliárd forint volt, így a kiszabott 1 millió forint adatvédelmi bírság jelképes összegű, és nem is lépi túl a kiszabható bírság maximumát - írja a Crosssec. A szakértők emlékeztetnek: a jogsértés jellege alapján a kiszabható bírság felső határa 20 millió euró (mintegy 6,3 milliárd forint), illetve az előző pénzügyi év teljes világpiaci forgalmának legfeljebb 4%-a.

Az ELMŰ volt a kötelezett - nem fellebbeznek

Bár a NAIH határozatából a nyilvánosságra hozás előtt törlik a felek nevét, a Privátbankár.hu megtudta: az ELMŰ Nyrt. a határozat kötelezettje, magyarán ők kapták a bírságot. A társaság megkeresésünkre elmondta: álláspontjuk szerint egy jogértelmezési probléma vezetett a határozathoz, mivel

"egy bizonyos, a Társaság működését illető adatcsomag kiadását a kérelem beadásának pillanatában a hazai jogszabályok nem, az Uniós szabályok pedig lehetővé tették. Mivel időközben a hazai jogszabályokat az Uniós szabályoknak megfelelően aktualizálták, így értelemszerűen nem fellebbezünk"

- közölte megkeresésünkre az ELMŰ.