• NDAlegal

A GDPR rendelkezéseinek megsértése és az első magyar bírság története

Korábbi cikkünkben röviden kitértünk az általános adatvédelmi rendelet (GDPR) kötelező alkalmazásához kapcsolódó fontosabb újításokra az adatvédelmi jog területén, valamint külföldi példák által ismertettük a GDPR rendelkezéseinek megszegéséhez kapcsolódóan kiszabható adatvédelmi bírság rendszerének változásait is.


Jelen cikkünkben szeretnénk bemutatni a NAIH/2018/5559 számú, első magyar GDPR bírság kiszabásához kapcsolódó adatvédelmi határozatot, mely egyben az adatvédelmi joggyakorlat alkalmazása szempontjából is jelentőséggel bír.


Korábban, 2018. május 29. napján benyújtásra került egy törvényjavaslat az Országgyűléshez, amely 2018. június 30. napjától hatályos lett. Ennek értelmében a NAIH a GDPR szerinti hatáskörében eljárva a fokozatosság elvének érvényesülése érdekében, elsődlegesen csak figyelmezteti azokat az adatkezelőket, illetve adatfeldolgozókat, akik a GDPR rendelkezéseit első alkalommal sértik meg.


A NAIH eddigi eljárása során valóban nem bírságolt a GDPR rendelkezéseinek megsértése kapcsán, csupán élt a figyelmeztetés jogával a kkv-kal szemben.


A gyakorlata azonban megváltozott, 2018. december 21. napján meghozta első határozatát, melyben a GDPR rendelkezéseinek megsértésére tekintettel, az adatkezelőt 1 millió forint összegű adatvédelmi bírsággal sújtotta, mivel nem tett eleget az adatkezelő a GDPR rendelkezéseinek. A hatóság elmarasztalta az adatkezelőt azért, mert nem oktatta ki a kérelmezőt kérelmének elutasításakor a jogorvoslati lehetőségeiről, továbbá nem hagyta, hogy a kérelmező éljen érintetti jogaival, ezért sérült a hozzáférési és a másolat kiadásához, illetve az adatkezelés korlátozásához való joga is.


A kérelmező kérelmében kérte az adatkezelőt, hogy kamerafelvételeinek törlését mellőzze, azokat 5 éves időtartamra zárolja, továbbá a felvételekről másolatot is igényelt, hiszen azokat személyiségi jogi peréhez, továbbá egy értékpapír jogviszonyhoz kapcsolódó perében kívánta felhasználni, azaz jogainak érvényesítése érdekében szüksége volt rá. A kérelemnek az adatkezelő azonban nem adott helyt, azt elutasította és a Vagyonvédelmi törvény alapján törölte a felvételeket, mivel a Vagyonvédelmi törvény 31.§ (6) bekezdése szerint „az érintett jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje”. Maga a GDPR azonban nem támaszt ilyen előírásokat az érintetti jogok gyakorlásához, így ezen gyakorlatával az adatkezelő megsértette a GDPR rendelkezéseit, így a NAIH megbírságolta őt.


Adatvédelmi joggyakorlat alakulása szempontjából is kiemelt jelentőségű az említett határozat, mivel a NAIH kimondta benne, hogy az érintett adatkezelés korlátozásához való jogának gyakorlása során, nem az adatkezelők feladata annak eldöntése, hogy a személyes adat, amelyre az érintett kérelme vonatkozik, alkalmas-e, illetve szükséges-e jogi igényeinek érvényesítéséhez. Az érintettnek nem szükséges sem jogát, sem jogos érdekét igazolnia ahhoz, hogy hozzáférési és adatkezelés korlátozásához való jogát gyakorolhassa. Magyarországnak nincs olyan felhatalmazása, melynek értelmében az érintetti jogok gyakorlásához az érintetteknek jogos érdeküket igazolniuk kellene, ezért a Vagyonvédelmi törvény 31. § (6) bekezdése nem is alkalmazható, ha az érintett kéri az adatkezelőtől a kamerafelvételek törlésének, megsemmisítésének mellőzését.


Érdekesség, hogy jelenleg az Országgyűlés tárgyalja a T/4479. számú törvényjavaslatot az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról. A Javaslat szövege tartalmazza a Vagyonvédelmi törvény fent említett passzusának módosítását is. Azaz, ha elfogadják a törvényjavaslatot, akkor a Vagyonvédelmi törvény a jövőben nem írná elő az érintettek számára, hogy igazolják jogukat vagy jogos érdeküket abból a célból, hogy az adatkezelő a kamerafelvételeket ne törölje, illetve ne semmisítse meg.


Ahogyan a határozatból is látszik, a GDPR rendelkezéseinek megsértése miatt a NAIH már adatvédelmi bírságot is kiszab, nem csak figyelmeztet, így érdemes az adatkezelőknek odafigyelniük, hiszen a bírság mértéke a 20 millió euró összeget is elérheti, amit már nem tudnak az éves működési költségükbe belekalkulálni.


dr. Tarjányi Karolina

dr. Nagy Dóra Adriána


#Vagyonvédelmitörvény #GDPR #magyarGDPRbírság #adatvédelmibírság #adatkezeléskorlátozásáhozvalójog #kamerafelvételektörlése