Az első magyar GDPR-bírság: hol rontotta el a megbüntetett cég?

A GDPR rendelet alapján először szabott ki adatvédelmi bírságot a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH), mivel egy adatkezelő a jogosult kifejezett kérése ellenére törölte annak személyes adatait, valamint megtagadta a másolatok átadását.

2019. február 20.

Piac&Profit

Tavaly nyáron indította a NAIH azt a vizsgálatot, amelynek következtében megszületett az első GDPR bírság Magyarországon. Egymillió forintra bírságoltak egy céget azért, mert nem őrzött meg egy kamerafelvételt. „A GDPR bírság valós kockázat, amelyet nem szabad félvállról venni!” – figyelmeztet Dr. Bitai Zsófia, GDPR-szakértő.

Az ügy háttere tavaly nyárig nyúlik vissza: a kérelmező 2018 augusztusában indított eljárást a Nemzeti Adatvédelmi és Információszabadság Hatóságnál, mivel az adatkezelő nem tett eleget arra irányuló kérésének, hogy őrizze meg a róla készült kamerafelvételt, valamint, hogy betekinthessen a felvételek másolatába. Az adatkezelő azzal az indokolással utasította el a kérést, hogy a kérelmező nem igazolta az igénye jogosságát, és törölte a szóban forgó felvételeket.

Az uniós adatvédelmi rendelettel kapcsolatban itt olvashatod a Piac & Profit összes cikkét!

A NAIH döntésében kimondta, a GDPR rendelet alapján mindenkinek joga van ahhoz, hogy személyes adataihoz teljes hozzáférése legyen, így például a róla készült felvételeket megnézhesse, vagy azokról másolatot kapjon. Mindenki jogosult továbbá kérni az adatkezelőtől, hogy korlátozza adatai kezelését, amennyiben ez jogai érvényesítéséhez szükséges (és az adatkezelőnek már nincsen szüksége azokra az adatkezelés céljának eléréséhez). Jelen esetben ez a kamerafelvételek megőrzését jelentette volna, amit az adatkezelő megtagadott.

Tilos lesz a munkahelyi Facebookozás

A GDPR, az uniós adatvédelmi rend miatt változik a munkahelyi számítógépek használatának szabályozása is. Egy friss törvényjavaslat alapján a munka törvénykönyve módosul majd, és tilos lesz a munkáltatótól a munkavégzésre adott számítógép magáncélú használata.

„A bírsággal kapcsolatban azt fontos kiemelni, hogy e jogok gyakorlása nem köthető feltételhez. Azaz az érintetteknek nem kell bizonyítaniuk, hogy miért kérik az adataikhoz való hozzáférést, vagy azok megőrzését” – magyarázza Dr. Bitai Zsófia GDPR és reklámjogi szakjogász, a Collegium Bitai and Partners vezetője. „A NAIH határozatában azt is kifogásolta, hogy az adatkezelő a döntésében nem tájékoztatta a kérelmezőt arról, hogy kérelmének elutasítása miatt panaszt nyújthat be a felügyeleti hatóságnál.”

A hatóság hivatalból vizsgálta a bírság kiszabásának szükségességét, márpedig ez súlyos tétel is lehetett volna. Az adatvédelmi bírság összege a GDPR rendelet szerint akár a húszmillió eurót, illetve az előző pénzügyi év teljes világpiaci forgalmának legfeljebb 4 %-át is elérheti. Jelen ügyben a hatóság a jelképes egymilliós bírság kiszabásánál figyelembe vette, hogy az adatkezelő első alkalommal követett el jogsértést.

„A kismértékű bírság ellenére látható, hogy az adatvédelmi tudatosság egyre erősebb az érintettek körében, így minden cégnek fel kell készülni megfelelő GDPR megfelelési programmal. 2019-ben az adatvédelmi szabályok nem megfelelő ismerete komoly üzleti kockázatot jelent.” – mondta Dr. Bitai Zsófia.

Ezentúl ki kell tépni a bejegyzést a panaszkönyvből

A kereskedelmi törvényt is hozzá kell igazítani az uniós adatvédelmi rendelethez, ezért hamarosan minden kereskedőnek ki kell tépkednie a bejegyzéseket a panaszkönyvből. De eldobnia nem szabad, minden lapot meg kell őrizni.