GDPR Q&A

GDPR kérdezz-felelek / GDPR Q&A

Gigabírságok az adatvédelmi hatóságoktól

2018. február 27. - Kovacs Zoltan Balazs

Gigabírságok az adatvédelmi hatóságoktól 

Május 25-étől az Unió valamennyi tagországában alkalmazandók lesznek az új EU-s adatvédelmi rendelet (GDPR) szigorú szabályai, amelyek nemteljesítése esetén komoly, akár 20 millió Euró vagy azt meghaladó összegű bírsággal is számolhatnak az adatkezelést végzők. 

Sokak számára meglepő, de az Európai Uniós tagországok adatvédelmi hatóságai már a közelmúltban is kiszabtak rendkívül nagy összegű bírságokat adatvédelmi jogsértésekért. Magyarországon a jelenleg kiszabható maximális bírság összeg 20 millió forint, amelyet az adatvédelmi hatóság (NAIH) néhány esetben alkalmazott. Számos esetben szabott ki a hatóság több millió forintos bírságot is (pl. direkt marketing tevékenységet, követeléskezelést végző társaságokra). Május 25-étől azonban a bírság maximum összege hazánkban is 20 millió Euró vagy akár azt meghaladó összegű lehet. 

Az alábbiakban az eddigi, kiemelkedően nagy összegű európai bírságokról következik egy rövid összefoglaló, kezdve az eddig legnagyobb összegű adatvédelmi bírsággal. 

Olaszország 

Az olasz adatvédelmi hatóság 2017 első negyedévében szabta ki az Európai Unióban alkalmazott eddigi legmagasabb összegű bírságot. Összesen több mint 11 millió Euró (3.4 milliárd(!) forint) összegű büntetést rótt ki öt vállalkozásra. Az öt vállalkozás közül az egyik ­– egy Egyesült Királyságbeli cég – 5.88 millió Euró (több mint 1.8 milliárd forint) összegű bírságot kapott, a többi – olaszországi – vállalkozással szemben 850.000 Euró (kb. 265 millió forint) és 1.6 millió Euró (mintegy 500 millió forint) összeg közötti bírságot szabott ki az olasz hatóság.

Az adatvédelmi hatósági eljárásra egy pénzmosás gyanúja miatt folyó rendőrségi nyomozás kapcsán került sor. Az adatvédelmi hatóság megállapítása szerint a társaságok Kínába irányuló átutalásokat hajtottak végre különböző személyek nevében az ő személyes adataikat felhasználva. A hatóság megállapítása szerint az átutalásokat úgy tüntették fel, mintha a magánszemélyek eszközölték volna azokat, azonban ezek a személyek a tranzakciókról nem tudtak, így a hozzájárulásuk nélkül, jogellenesen használták fel az átutalásokhoz a személyes adataikat. 

Az olasz hatóságok szerint a társaságok az átutalásokat olyan módon hajtották végre, hogy az összegek a pénzmosási törvények által megszabott – bizonyos ellenőrzési kötelezettségeket kiváltó – határérték alattiak legyenek és ezen átutalásokhoz használták fel az öt társaságok egyike által birtokolt adatbázisban található személyes adatokat, azt a látszatot keltve, mintha magánszemélyek átutalásairól lenne szó. 

Az adatvédelmi hatóság álláspontja szerint az adatvédelmi jogsértés abban nyilvánul meg, hogy a természetes személyek hozzájárulása nélkül használták fel az átutalásokhoz a személyes adataikat, továbbá a jogsértést egy „jelentős méretű és fontosságú adatbázis tekintetében” követték el. 

Az adatvédelmi hatóság a bírság összegét az alábbiak szerint állapította meg: 

egyrészt 10.000 Euró büntetést számolt minden egyes természetes személy tekintetében, akinek a jogait megsértették (a hozzájárulásra vonatkozó szabályok megsértése esetén ez a minimum bírság összeg); 

másrészt további 50.000 Euró összegű bírságot alkalmazott azért, mert a jogsértés „jelentős méretű és fontosságú adatbázisra” vonatkozott. 

Tekintettel arra, hogy a társaságok egyike 583 személy személyes adatait használta fel a hatóság megállapítása szerint jogellenesen, 583 x 10.000 Euró + 50.000 Euró, azaz összesen 5.88 millió Euró összegű bírságot szabott ki vele szemben. Ez a bírság összeg már lényegében a GDPR által lehetővé tett nagyságrendben mozog, jóllehet a bírság összegének kiszabásakor a hatóság azt is tekintetbe vette, hogy álláspontja szerint a pénzmosási szabályok súlyos megsértése is megvalósult. 

Spanyolország 

A spanyol adatvédelmi hatóság 2017 szeptemberében 1.2 millió Euró (kb. 372 millió forint) összegű bírságot szabott ki a Facebook-ra. A hatóság szerint a társaság összességében két „súlyos” és egy „nagyon súlyos” adatvédelmi jogsértést követett el és a két súlyos jogsértésért 300-300.000 Euro összegű bírságot, míg a nagyon súlyos jogsértésért 600.000 Euró büntetést szabott ki. 

A hatóság álláspontja szerint a jogsértések az alábbiak voltak: 

- a hatóság megállapítása szerint a nagyon súlyos jogsértést az jelentette, hogy a Facebook marketing tevékenységhez használt fel érzékeny személyes adatokat (pl. böngészési szokások) az érintett személyek kifejezett hozzájárulása nélkül; 

- a társaság különleges (pl. világnézetre, vallási meggyőződésre és személyes preferenciákra, pl. böngészésre vonatkozó) adatokat gyűjtött olyan módon a saját és más társaságok honlapjáról, hogy nem tájékoztatta előzetesen az érintett személyeket az adatok felhasználásának módjáról és az adatkezelés céljáról; 

- nem volt teljeskörű és kellően világos a társaság adatkezelési tájékoztatása, így nem megfelelően szerezte be a hozzájárulásokat; 

- a társaság nem megfelelően tájékoztatta az érintetteket a „sütik” használatáról (a társaság böngészési adatokat gyűjtött a Facebook-on regisztráltakról, amikor azok más társaságok oldalait látogatták meg, illetőleg a Facebook-on nem regisztráltakról, akik legalább egyszer meglátogatták a Facebook oldalát); 

- a társaság a személyes adatok törlésére vonatkozó kötelezettségének nem tett eleget azáltal, hogy legalább 17 hónapig tovább kezelte azon személyek adatait, akik törölték magukat a Facebook-ról és kérték az adataik törlését. 

A tárgyban a spanyol adatvédelmi hatóság kiadott egy rövid, angol nyelvű sajtóközleményt is, amelyet ide kattintva érhet el. 

Egyesült Királyság 

A szigetország adatvédelmi hatósága (ICO) 2017-ben összesen 4.9 millió font (mintegy 1.8 milliárd forint) összegben szabott ki bírságot. 2016-ban 35 esetben rótt ki bírságot, közel 3.3 millió font (mintegy 1.2 milliárd forint) összegben. 

Az ICO 2015-ben „csupán” 18 esetben bírságolt, valamivel több, mint 2 millió font (kb. 720 millió forint) összegben, míg 2014-ben mindössze 1.152.500 font (kb. 415 millió forint) összegben szabott ki bírságot adatvédelmi jogsértésekért. 

Jól látható tehát, hogy a bírságok száma és összege összességében növekvő tendenciát mutat. 

Az ICO által eddig kiszabott legmagasabb összegű bírság 400.000 font volt (kb. 144 millió forint), amit egy telekommunikációs cég kapott egy olyan, 2015-ben történt hacker támadás miatt, amelynek során 150.000 ügyfél személyes adatai kerültek jogosulatlanok kezébe. A kiszabható maximum bírság az Egyesült Királyságban 500.000 font és ehhez képest szabott ki a hatóság 400.000 font összegű büntetést. Kérdés, hogy a GDPR alkalmazandósága esetében vajon milyen összegű bírságot kapott volna a telekommunikációs cég? Annyi nagy valószínűséggel állítható, hogy 400.000 font összegnél jóval magasabb lett volna a bírság összege, feltehetőleg több millió fontra rúgott volna. 

Egy másik esetben az ICO 300.000 font (kb. 108 millió forint) összegű bírságot szabott ki egy pénzügyi vállalkozással szemben, amely 8.7 millió alkalommal intézett „automata” hívásokat természetes személyekhez azok előzetes hozzájárulása nélkül. 

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

A bejegyzés trackback címe:

https://eugdpr.blog.hu/api/trackback/id/tr3613702126

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.