GDPR Q&A

GDPR kérdezz-felelek / GDPR Q&A

GDPR kérdezz-felelek / GDPR Q&A

Az első magyar adatvédelmi bírság a GDPR alapján

2019. február 26. - Kovacs Zoltan Balazs

Az első magyar adatvédelmi bírság a GDPR alapján

Néhány napja nyilvánosságra hozta a NAIH az első GDPR bírságot kiszabó határozatát, amelyben egy adatkezelőre 1 millió forint összegű bírságot szabott ki.

A határozatban szereplő tényállás szerint az érintett a róla készült kamera felvételek tekintetében kívánt élni hozzáférési, másolat kiadáshoz és adatkezelés korlátozáshoz való jogával. Az érintett a felvétel elkészültétől számított három munkanapon belül jelezte, hogy jogi igények érvényesítése végett van szüksége a felvételre és az adatkezelés korlátozására (utóbbi lényegében annyit jelent, hogy fel kell függeszteni az adatkezelést, így bizonyos ideig nem törölhető az adat). Az adatkezelő a kérelemnek nem tett eleget. Az adatkezelő azzal indokolta a döntését, hogy az érintett nem megfelelően igazolta, milyen jogi igény érvényesítéséhez van szüksége a felvételre. Az adatkezelő hivatkozott arra a magyar törvényi rendelkezésre, amely szerint

Az, akinek jogát vagy jogos érdekét a képfelvétel… érinti,… a képfelvétel… rögzítésétől számított három munkanapon… belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje….

Az adatkezelő továbbá tájékoztatta az érintettet arról, hogy a felvételeket a törvényi előírásoknak megfelelően 3 munkanapon belül törölte és azok már nem visszaállíthatók.

Az adatkezelő nem tájékoztatta az érintettet a jogosorvoslati jogairól (hatósághoz és bírósághoz fordulás joga).

A NAIH a határozatban hangsúlyozta, hogy

(i)        a GDPR-beli érintetti jogok gyakorlásához nem szükséges jogi érdek igazolása;

(ii)       a fent idézett hatályos törvényi rendelkezés nem összeegyeztethető a GDPR magasabb szintű szabályaival, így az nem alkalmazható;

(iii)      a társaságnak tájékoztatnia kellett volna az érintettet a jogorvoslati jogairól;

(iv)      a fentiekre tekintettel megállapítható, hogy az adatkezelő megsértette a GDPR vonatkozó rendelkezéseit.

A bírság összegének megállapításakor a hatóság figyelemmel volt a jogsértés jellegére, arra, hogy a felvételek nem helyreállíthatók, arra, hogy a társaság első alkalommal követte el a fenti jogsértéseket és a fent idézett törvényi rendelkezés GDPR-ral összhangban nem lévő szabálya megtévesztő lehetett az adatkezelő számára.

A társaság 2017. évi éves árbevétele 15.3 milliárd forint volt.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

A bejegyzés trackback címe:

https://eugdpr.blog.hu/api/trackback/id/tr414655575

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása