Az első GDPR bírságok
Ausztria
Az osztrák adatvédelmi hatóság adatvédelmi bírságot szabott ki a GDPR alapján egy olyan vállalkozással szemben, amely közterületet is megfigyelt kamerával, arról felvételeket rögzített és a kamera használatáról nem megfelelően nyújtott tájékoztatást az érintettek részére. Mindezek alapján a hatóság a kamera látószöge és az előzetes tájékoztatást tekintetében állapított meg jogsértést, amiért 4.800 Euro összegű bírságot szabott ki.
Ausztriában október elején összesen
(i) 115 potenciális bírsággal fenyegető eljárás volt folyamatban, amelyből 36 már a GDPR alkalmazandóvá válását követően indult;
(ii) 252 adatvédelmi incidenst jelentettek a hatóság felé;
(iii) a hatóság 58 hivatalbóli vizsgálati eljárást indított és
(iv) 721 érintetti panaszt regisztrált a hatóság.
Portugália
A portugál adatvédelmi hatóság történetének legmagasabb összegű bírságát szabta ki. Egy kórház kapott 400.000 Euro (mintegy 130 millió forint) összegű bírságot azért, mert az egészségügyi adatokhoz való hozzáférés nem megfelelően volt kialakítva az egészségügyi intézményen belül.
A hatóság megállapítása szerint, jóllehet a kórházban 296 orvos dolgozott, orvosi szintű hozzáférési joga 985 kórházi személynek volt (és minden, orvosi hozzáférési szinttel rendelkező személy valamennyi adatra rálátott) és az adatokhoz való hozzáférés biztonsági szintje nem volt megfelelő, így a kórház elmulasztotta megtenni a megfelelő technikai és szervezési intézkedéseket az adatok biztonsága érdekében.
A hatóság megállapította, hogy sérült az adatok integritásának és bizalmas jellegének alapelve, valamint az adattakarékosság elve, tekintettel arra, hogy az adatok biztonsági védelmi szintje nem volt megfelelő, a hozzáféréssel rendelkezők nem csak azokat az adatokat látták, amelyeket feltétlenül látniuk kellett a munkájuk végzéséhez.
Az ügy érdekessége, hogy Portugália nem jelölt ki a GDPR végrehajtásáért felelős hatóságot, jóllehet azt a rendelet 51. cikke értelmében minden tagállamnak formálisan meg kell tennie annak érdekében, hogy a hatóság eljárhasson a GDPR alapján. Ebből kifolyólag kérdés, hogy mire alapozta eljárását a portugál hatóság. A kórház bejelentette, hogy jogorvoslattal él a határozattal szemben.
dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)
A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.