Az elsõ GDPR-bírság háttere: hol hibázott a cég?

Tavaly nyáron indította a NAIH azt a vizsgálatot, amelynek következtében megszületett az elsõ GDPR bírság Magyarországon. Egymillió forintra bírságoltak egy céget azért, mert nem õrzött meg egy kamerafelvételt. „A GDPR bírság valós kockázat, amelyet nem szabad félvállról venni!” – figyelmeztet Dr. Bitai Zsófia, GDPR-szakértõ.

A türelmi idõ lejárt. A GDPR rendelet alapján elõször szabott ki adatvédelmi bírságot a NAIH, mivel egy adatkezelõ a jogosult kifejezett kérése ellenére törölte annak személyes adatait, valamint megtagadta a másolatok átadását.

A kérelmezõ 2018 augusztusában indított eljárást a Nemzeti Adatvédelmi és Információszabadság Hatóságnál, mivel az adatkezelõ nem tett eleget arra irányuló kérésének, hogy õrizze meg a róla készült kamerafelvételt, valamint, hogy betekinthessen a felvételek másolatába. Az adatkezelõ azzal az indokolással utasította el a kérést, hogy a kérelmezõ nem igazolta az igénye jogosságát, és törölte a szóban forgó felvételeket.

A NAIH döntésében kimondta, a GDPR rendelet alapján mindenkinek joga van ahhoz, hogy személyes adataihoz teljes hozzáférése legyen, így például a róla készült felvételeket megnézhesse, vagy azokról másolatot kapjon. Mindenki jogosult továbbá kérni az adatkezelõtõl, hogy korlátozza adatai kezelését, amennyiben ez jogai érvényesítéséhez szükséges (és az adatkezelõnek már nincsen szüksége azokra az adatkezelés céljának eléréséhez). Jelen esetben ez a kamerafelvételek megõrzését jelentette volna, amit az adatkezelõ megtagadott.

„A bírsággal kapcsolatban azt fontos kiemelni, hogy e jogok gyakorlása nem köthetõ feltételhez. Azaz az érintetteknek nem kell bizonyítaniuk, hogy miért kérik az adataikhoz való hozzáférést, vagy azok megõrzését – magyarázza Dr. Bitai Zsófia GDPR és reklámjogi szakjogász, a Collegium Bitai and Partners vezetõje. - A NAIH határozatában azt is kifogásolta, hogy az adatkezelõ a döntésében nem tájékoztatta a kérelmezõt arról, hogy kérelmének elutasítása miatt panaszt nyújthat be a felügyeleti hatóságnál.”

A hatóság hivatalból vizsgálta a bírság kiszabásának szükségességét. Az adatvédelmi bírság összege a GDPR rendelet szerint akár húszmillió euró, illetve az elõzõ pénzügyi év teljes világpiaci forgalmának legfeljebb 4 %-a is lehet. Jelen ügyben a hatóság a jelképes egymilliós bírság kiszabásánál figyelembe vette, hogy az adatkezelõ elsõ alkalommal követte el a jogsértéseket.

„A kismértékû bírság ellenére látható, hogy az adatvédelmi tudatosság egyre erõsebb az érintettek körében, így minden cégnek fel kell készülni megfelelõ GDPR megfelelési programmal. 2019-ben az adatvédelmi szabályok nem megfelelõ ismerete komoly üzleti kockázatot jelent” – mondta Dr. Bitai Zsófia.