GDPR Q&A

GDPR kérdezz-felelek / GDPR Q&A

GDPR kérdezz-felelek / GDPR Q&A

Az adatvédelmi hatóság által a GDPR alapján hozott bírság határozatok (2019. június 21.)

Facebook Tumblr Tweet Pinterest Tetszik
0
2019. június 21. - Kovacs Zoltan Balazs

A Nemzeti Adatvédelmi és Információszabadság Hatóság által a GDPR alapján hozott bírság határozatok (2019. június 21.)

Az alábbiakban röviden összefoglalom az adatvédelmi hatóság mai napig közzétett, a GDPR alapján bírságot kiszabó határozatait.

1. Érintetti jogok gyakorlásának nem biztosítása

Az érintett a róla a szolgáltató egyik helyiségében készült kamera felvételek tekintetében időben kívánt élni hozzáférési, másolat kiadáshoz és adatkezelés korlátozásához való jogával (jelezve, hogy jogi igények érvényesítése végett van szüksége a felvételre és az adatkezelés korlátozására), azonban a kérelmének nem tett eleget az adatkezelő. Az adatkezelő azzal indokolta döntését, hogy az érintett nem megfelelően igazolta, milyen jogi igény érvényesítéséhez van szüksége a felvételre. Az adatkezelő hivatkozott továbbá egy hatályos törvényi rendelkezésre, amely szerint

Az, akinek jogát vagy jogos érdekét a kép-, hang-, vagy a kép- és hangfelvétel…érinti,…a kép-, hang-, valamint kép- és hangfelvétel…rögzítésétől számított három munkanapon,…belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje….

Az adatkezelő továbbá tájékoztatta az érintettet arról, hogy a felvételeket azok elkészítésétől számított 3 munkanapon belül törölte és azok már nem visszaállíthatók.

Az adatkezelő nem tájékoztatta az érintettet a jogosorvoslati jogairól (hatósághoz és bírósághoz fordulás).

A hatóság megállapította, hogy

(i) a GDPR-beli érintetti jogok objektív jogok, azaz a jogi igény igazolása nem szükséges egyik jog esetében sem;

(ii) a fenti idézett törvényi rendelkezés nem összeegyeztethető a GDPR magasabb szintű szabályaival, így azt figyelmen kívül kell hagyni;

(iii) a társaságnak tájékoztatnia kellett volna az érintettet a jogorvoslati jogairól;

(iv) a fentiekre tekintettel megállapítható, hogy az adatkezelő megsértette a GDPR vonatkozó rendelkezéseit.

A hatóság 1 millió forint összegű bírságot szabott ki az adatkezelőre (áramszolgáltató).

A szolgáltató 2017. évi éves árbevétele 15.3 milliárd forint volt.

2. Pontosság elvének megsértése, érintetti jogok gyakorlásának nem biztosítása

A panaszos a banktól telefonon keresztül SMS értesítéseket kapott hitelkártya tartozással kapcsolatban, annak ellenére, hogy nem volt ügyfele a banknak.

A panaszos mindezt jelezte a banknak, amely visszaigazolta, hogy több üzenetet nem fog kapni. A bank ennek ellenére ismét küldött SMS üzenetet a panaszosnak. A panaszos ekkor fordult a hatósághoz.

A bank először próbálta ügyfelével felvenni a kapcsolatot a kérdés tisztázása érdekében, azonban nem kapott választ. Ezt követően a bank bekérte a panaszostól az előfizetői szerződését annak érdekében, hogy megbizonyosodhasson arról, hogy a telefonszám valóban az övé és nem a bank ügyfeléé.

A hatóság megállapította, hogy a banknak

(i) korlátoznia kellett volna az adatkezelést addig, amíg ki nem deríti, hogy a telefonszám valóban nem az ügyfeléé, hanem a panaszosé és

(ii) a panaszost felhívás helyett arról kellett volna tájékoztatnia, hogy az előfizetői szerződés bemutatásával igazolhatja azt, hogy a telefonszám a személyes adata, amely esetben a bank a pontatlan adatot törli a nyilvántartásából.

A hatóság megállapította továbbá, hogy a bank nem segítette elő az érintetti jogok gyakorlását a panaszosnak küldött felhívásával, mert az részben megtévesztő volt, ugyanis az előfizetői szerződés másolatának bekérésére a bank nem volt jogosult.

A hatóság 500.000,- Ft összegű bírságot szabott ki a bankra.

A bank 2017. évi adózás előtti eredménye 31 milliárd forint volt.

3. Érintetti jog gyakorlásának nem biztosítása

A panaszos fizetési felszólítást kapott az engedményestől, amelyet követően kijelentette, hogy nem áll fenn tartozása és kéri az adatai törlését és az annak megtörténtéről való tájékoztatást.

Az engedményes az érintetti jogok biztosítása érdekében bekérte a panaszos természetes személyazonosító adatait, amelyeket a panaszos nem adott meg, mert álláspontja szerint elegendő az ügyszám és a neve az azonosításhoz.

Az engedményes ezt követően arról tájékoztatta a panaszost, hogy azonosítása hiányában a panasza kivizsgálására irányuló eljárást lezárja, azonban arról nem adott számára információt, hogy a panasza kivizsgálását postai levélben is kérheti, és az ilyen formán benyújtott kérelmét további természetes személyazonosító adatok megadásának hiányában is elbírálja, ha az tartalmazza a nevét, az ügyszámot és az aláírását.

A hatóság megállapította, hogy az engedményes nem segítette elő, hogy a panaszos gyakorolni tudja érintetti jogait, nem tájékoztatta az érintetti jogérvényesítés további lehetőségeiről.

Az engedményestől az engedményező visszavásárolta a követelést és ekkor az engedményes törölte a panaszos adatait, amelyről tájékoztatta a panaszost.

A hatóság megállapította továbbá, hogy az engedményes a panaszos kérése ellenére nem tájékoztatta megfelelően a panaszost arról, hogy melyik az az utolsó biztonsági mentés, amiben még szerepelnek a személyes adatai, milyen esetekben kerülhet sor a biztonsági mentések felhasználására, illetve felhasználás hiányában mikor törli az engedményes azt az utolsó biztonsági mentést, amelyben a törlést megelőzően még szerepeltek a panaszos személyes adatai.

A hatóság 500.000,- Ft összegű bírságot szabott ki az engedményesre.

A bank 2017. évi adózás előtti eredménye közel 20 milliárd forint volt.

4. Törlési kérelemmel kapcsolatos jogsértés, jogalap nélküli adatkezelés

Az érintett az adatkezelővel kölcsönszerződést kötött. Az érintett a szerződés hatálya alatt levélben jelezte az adatkezelőnek, hogy megváltozott a lakcíme, továbbá kérte, hogy a nyilvántartott személyes adatai közül a telefonszámot töröljék.

A társaság válaszlevelében közölte, hogy rendszerében lakcímként csak akkor fogja rögzíteni az új lakcímadatot, ha az érintett megküldi számára a lakcímkártyája másolatát. Továbbá közölte azt is, hogy a telefonszámot nem törli a nyilvántartásból, tekintettel arra, hogy jogos érdek alapján továbbra is jogosult kezelni azt lejárt tartozás telefonos megkeresés útján történő érvényesítése céljából.

A hatóság megállapította, hogy a jogos érdek fennállásának igazolásául szolgáló érdekmérlegelés nem megfelelően lett elvégezve, valamint, hogy a telefonszám kezelése a követelés behajtásához és az érintettel való kapcsolattartáshoz nem elengedhetetlenül szükséges. Az adatot törölni kellett volna, mert más kapcsolattartási lehetőség is rendelkezésre állt.

A hatóság megállapította többek között azt, hogy az adatkezelő nem tett eleget az érintett törlési kérelmének, és jogalap nélküli kezelte az érintett telefonszámát, továbbá az adatkezelésével a célhoz kötöttség és az adattakarékosság elvét is megsértette.

A hatóság megállapította, hogy az adatkezelő az eredeti adatkezelési céltól (szerződés teljesítése) eltérő egyéb célból (pl. ügyfélszolgálati tevékenység fejlesztése) is kezelte az érintett telefonszámát, azonban előzetesen nem tájékoztatta az érintettet személyes adatának gyűjtése céljától eltérő célból történő adatkezeléséről.

A hatóság 1.000.000,- Ft összegű bírságot szabott ki az adatkezelőre.

Az adatkezelő 2017. évi nettó bevétele 4 milliárd forint volt.

5. Adatvédelmi incidenssel kapcsolatos jogsértés

A hatósághoz közérdekű bejelentés érkezett arról, hogy az egyik politikai párt (Demokratikus Koalíció) honlapján elérhető adatbázist feltörték és az abban szereplő adatokat (név, email cím, felhasználónév, jelszó) közzétették az Interneten. Az adatok párttagokra, támogatókra és szimpatizánsokra vonatkoztak.

A hatóság megállapította, hogy a párt nem jelentette be az adatvédelmi incidenst a hatósághoz, nem tájékoztatta az érintetteket az incidensről és nem vette nyilvántartásba azt. A hatóság megállapította továbbá azt, hogy a párt nem alakított ki megfelelő IT védelmi szintet.

A hatóság 11 millió forint összegű bírságot szabott ki.

A párt 2017. évi bevétele 270 millió forint volt.

6. Adatvédelmi incidenssel kapcsolatos jogsértés

Egy költségvetési szerv egyik munkatársa tévedésből 9db, személyes adatot tartalmazó dokumentumot téves címzett részére postázott, egy önkormányzat részére, amely a költségvetési szervvel azonos, jogszabályban előírt feladatot lát el más illetékességi területen. A dokumentumokban szereplő személyes adatokat ezáltal jogosulatlanul ismerhette meg a téves címzett, így sérült az adatok bizalmas jellege. Az adatvédelmi incidens 18 érintett, köztük kiskorúak bizonyos személyes adatait érintette (azonosító adatok, elérhetőségi adatok, büntetett előélettel, bűncselekményekkel vagy büntetéssel, intézkedéssel kapcsolatos adatok, illetve a költségvetési szerv által folytatott gyermekek védelmére irányuló eljárásokkal összefüggésben kezelt egyéb, a magánéletükre vonatkozó személyes adatok).

A téves címzett a dokumentumok kézhezvételét követően telefonon jelezte a költségvetési szerv számára, hogy számára olyan dokumentumok kerültek kézbesítésre, melyeknek nem ő a címzettje, ezt követően intézkedett a tévesen elküldött, személyes adatokat tartalmazó dokumentumok visszaküldéséről.

A költségvetési szerv az incidensről való tudomásszerzést követő három héttel jelentette be az esetet a hatóságnak, az érintetteket nem tájékoztatta, tekintettel arra, hogy az adatvédelmi incidenst követően olyan további intézkedéseket tett, amelyek biztosítják, hogy az érintett jogaira és szabadságaira jelentett magas kockázat a továbbiakban valószínűsíthetően nem valósul meg.

A hatóság megállapította, hogy az adatvédelmi incidens bejelentésére nem került sor a GDPR által meghatározott határidőben.

A hatóság 100.000,- Ft összegű bírságot szabott ki.

7. Dokumentum jogellenes másolása

Egy fesztiválszervező cég (Sziget Zrt.) a saját maga és a rendezvényre belépni szándékozók jogos érdeke alapján kezelte a belépők személyi igazolványának / útlevelének szkennelt másolatát olyan módon, hogy a jegyet vásárlók közül csak az mehetett be a rendezvényre, akinek a dokumentumát beszkennelték.

A társaság azzal érvelt, hogy az igazolvány szkennelésére a biztonság garantálása és a terrorcselekmények megelőzése miatt van szükség.

A hatóság meglátása szerint lényegében olyan közérdeket jelölt meg a társaság, amelynek érvényesítése, a közfeladat mibenlétének és ellátása eszközeinek meghatározását is ideértve közvetlenül nem az ő feladata, ennek megfelelően az esetlegesen egy ilyen feladat ellátásához szükséges adatok e célból való tényleges felhasználáshoz sincsenek meg az eszközei, jogszabályi felhatalmazása. Ennek megfelelően nem lehet olyan érdekekre hivatkozni a személyes adatok kezelése kapcsán, amelyekkel kapcsolatban az adatkezelő ténylegesen jogszerűen nem járhat el.

A hatóság szerint jogszerűen nem lehet a dokumentumot lemásolni és az adatokat tárolni a megnevezett célok érdekében és nem is alkalmas ez az adatkezelés a társaság által megnevezett célok elérésére (pl. jegyüzérek visszaszorítása, terrorcselekmények megelőzése).

A hatóság megállapította, hogy a társaság nem megfelelő jogalap alapján kezelt személyes adatokat (igazolvány másolatokat) és az adatkezelése nem felelt meg a célhoz kötöttség és az adattakarékosság elvének.

A hatóság 30 millió forint összegű bírságot szabott ki a társaságra.

A társaság 2017. évi árbevétele közel 1.3 milliárd forint volt.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

Szólj hozzá!
bírság adatvédelmi rendelet (GDPR) naih gdpr bírság

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://eugdpr.blog.hu/api/trackback/id/tr314904984

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása