Adatvédelem • Adatkezelés, GDPR, Bírság • 2019. február 20.
A személyes adatok kezelésére vonatkozó EU rendelet, vagyis az Európai Parlament és Tanács (EU) 2016/679 rendelete (a továbbiakban: GDPR) 2018. május 25. napja óta alkalmazandó az uniós tagállamokban. A napokban közzétételre került a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) által hozott első olyan határozat, amelyben a Hatóság a GDPR alapján bírságolt egy adatkezelőt a személyes adatok jogellenes kezelése miatt egy olyan esetben, amikor az adatkezelő egy, a mai napig hatályos, a GDPR-ral azonban ellentétes előírást tartalmazó magyarországi törvény alapján járt el.
Tényállás
A hatósági eljárás alapját az képezte, hogy az adatkezelőnek minősülő társaság (a továbbiakban: Adatkezelő) elutasított egy érintett (a továbbiakban: Kérelmező) által benyújtott kérelmet. A kérelem arra irányult, hogy az Adatkezelő a Kérelmezőről készült kamerafelvételeket ne törölje, azokat zárolja, valamint a felvételek másolatát adja ki, és a felvételekbe engedjen betekintést a Kérelmező számára. A Kérelmezőnek a felvételekre egy személyiségi jogi, továbbá egy értékpapír jogviszonyhoz kapcsolódó perhez volt szüksége.
Az Adatkezelő a kérelemnek nem tett eleget, a Kérelmezőt arról tájékoztatta, hogy meglátása szerint a Kérelmező által előadott indokok nem alapozzák meg az adatkezelésre vonatkozó korlátozási igény jogosságát.
A Kérelmező ezért hatósági eljárást kezdeményezett és kérte a Hatóságot, hogy
A Kérelmező kérte továbbá, hogy amennyiben a kamerafelvételek törlésre kerültek, a Hatóság állapítsa meg a törlés jogellenességét.
A tényállás tisztázása érdekében a Hatóság tájékoztatást kért az Adatkezelőtől. Az Adatkezelő hivatkozott a kamerás adatkezelésről szóló tájékoztatójára, amely rögzíti, hogy akinek a jogát vagy jogos érdekét a képfelvétel érinti, az a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (a továbbiakban: Sztv.) 31. § (6) bekezdésének megfelelően, a képfelvétel rögzítésétől számított 3 munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje. Az Adatkezelő előadta, hogy a Kérelmező nem igazolta a GDPR 18. cikk (1) bekezdésben fogalt valamely feltétel fennállását, ezért kérelme megalapozatlan volt, így azt elutasította és a kamerafelvételeket 3 napon belül törölte.
Döntés
Az érintett hozzáférési joga
A határozat rögzítette, hogy a GDPR 15. cikk (1) bekezdése alapján az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, továbbá a GDPR 15. cikk (3) bekezdése alapján az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát köteles az érintett rendelkezésére bocsátani.
A Hatóság álláspontja szerint az Adatkezelő a Kérelmező jogos érdekének igazolásához kötötte a kamerafelvételekbe való betekintés biztosítását, holott a hozzáférési jog gyakorlására irányuló érintetti kérelem teljesítése kizárólag a GDPR 12. cikk (5) bekezdése szerinti esetekben tagadható meg, azaz akkor, ha a kérelem egyértelműen megalapozatlan vagy túlzó, erre azonban az Adatkezelő nem hivatkozott.
A Hatóság megállapította, hogy az Adatkezelő megsértette a GDPR 15. cikkét, amikor nem biztosított a Kérelmező számára betekintést a kamerafelvételekbe, továbbá nem bocsátotta rendelkezésre a kamerafelvételekről készült másolatot.
Az adatkezelés korlátozásához való jog
A Hatóság a határozatában kifejtette, hogy a GDPR 18. cikk (1) bekezdés c) pontja alapján az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez. Hangsúlyozta, hogy e rendelkezés szerint elegendő, ha az érintett arra hivatkozik, hogy az adatkezelés korlátozása jogi igénye előterjesztéséhez vagy érvényesítéséhez szükséges.
A Hatóság szerint az Adatkezelő nem mérlegelheti az adatkezelés korlátozására irányuló kérelem teljesítése során, hogy a személyes adat, amely tekintetében a Kérelmező az adatkezelés korlátozását kérte, alkalmas, illetve szükséges-e a jogi igénye előterjesztésére vagy érvényesítésére.
Minderre tekintettel az Adatkezelő megsértette a GDPR 18. cikk (1) bekezdés c) pontját, amikor a Kérelmező zárolási kérelmét megtagadta.
Kitért még a Hatóság az Sztv. rendelkezésének alkalmazhatóságára is, amely körben rögzítette, hogy a GDPR bizonyos - korlátozott - körben ugyan lehetőséget ad a tagállamoknak kiegészítő vagy ahhoz képest meghatározott irányban eltérő szabályok megalkotására, azonban az érintetti jogok gyakorlása nem esik e körbe, ezért az Sztv. 31. § (6) bekezdése az adott esetben nem alkalmazható.
Az érintett jogainak gyakorlására vonatkozó tájékoztatási kötelezettség
A Hatóság megállapította továbbá, hogy az Adatkezelő a GDPR 12. cikk (4) bekezdését is megsértette, ugyanis nem tájékoztatta a Kérelmezőt a jogorvoslati lehetőségeiről.
Alkalmazott szankció
A Hatóság szükségesnek tartotta bírság kiszabását, mivel az Adatkezelő nem tett eleget a Kérelmező érintetti jogainak gyakorlására irányuló kérelmének, valamint nem tájékoztatta a jogorvoslati lehetőségeiről. Az Adatkezelőre a Hatóság 1.000.000 forint adatvédelmi bírságot rótt ki. A bírság kiszabása során figyelembe vette a jogsértés jellegét, tehát az érintetti jogok sérelmét, továbbá azt, hogy az Adatkezelő törölte a kamerafelvételeket, amelyek nem helyreállíthatók, emellett azt is, hogy az Adatkezelő első alkalommal követte el a jogsértéseket, valamint hogy az Sztv. jelen ügyben releváns szabályai még hatályosak, de nincsenek összhangban a GDPR-ral és ez félrevezethette az Adatkezelőt a Kérelmező kérelmének elbírálása során.
A határozat az alábbi linken érhető el: https://naih.hu/files/NAIH-2018-5559-H-hatarozat.pdf
Vissza a hírekhez
A NAIH 250 millió forintra büntetett egy bankot mesterséges intelligenciával megvalósított jogszerűtlen adatkezelés miatt
A MiFID teszttel kapcsolatos adatkezelés követelményei a NAIH gyakorlata alapján
Az Európai Unió Bírósága érvénytelennek nyilvánította az Európai Unió és az Egyesült Államok közötti adatvédelmi pajzs megfelelőségéről szóló bizottsági határozatot
A munkavállalók ellenőrzésével kapcsolatos jogszabályi követelmények - avagy a Barbulescu teszt a gyakorlatban
Honlapunk sütiket használ annak érdekében, hogy személyre szabott módon tudjuk megjeleníteni Önnek a tartalmakat. Kérjük, olvassa el Süti Kezelési Tájékoztatónkat, amelyben további információkat olvashat a sütikről és azok kezeléséről. Beállításait módosíthatja ezen a linken vagy saját böngészőjének beállításaiban.
Ezek a sütik szükségesek a weboldal futtatásához, és nem kapcsolhatók ki. Az ilyen sütik csak olyan műveletekre vonatkoznak, mint például a nyelv, az adatvédelmi preferenciák. Beállíthatja a böngészőjét, hogy blokkolja ezeket a sütiket, de webhelyünk esetleg nem megfelelően fog működik.
A Süti Adatkezelési Tájékoztatót megismertem és hozzájárulok ahhoz, hogy a Gárdos Mosonyi Tomori Ügyvédi Iroda, mint adatkezelő a Google Analytics sütikkel kapcsolatban az IP címemet statisztikai célból kezelje. Tudomásul veszem, hogy a hozzájárulásomat bármikor visszavonhatom.