Megjelent az első GDPR bírság jogellenes adatkezelés miatt

A személyes adatok kezelésére vonatkozó EU rendelet, vagyis az Európai Parlament és Tanács (EU) 2016/679 rendelete (a továbbiakban: GDPR) 2018. május 25. napja óta alkalmazandó az uniós tagállamokban. A napokban közzétételre került a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbiakban: Hatóság) által hozott első olyan határozat, amelyben a Hatóság a GDPR alapján bírságolt egy adatkezelőt a személyes adatok jogellenes kezelése miatt egy olyan esetben, amikor az adatkezelő egy, a mai napig hatályos, a GDPR-ral azonban ellentétes előírást tartalmazó magyarországi törvény alapján járt el.

Tényállás

A hatósági eljárás alapját az képezte, hogy az adatkezelőnek minősülő társaság (a továbbiakban: Adatkezelő) elutasított egy érintett (a továbbiakban: Kérelmező) által benyújtott kérelmet. A kérelem arra irányult, hogy az Adatkezelő a Kérelmezőről készült kamerafelvételeket ne törölje, azokat zárolja, valamint a felvételek másolatát adja ki, és a felvételekbe engedjen betekintést a Kérelmező számára. A Kérelmezőnek a felvételekre egy személyiségi jogi, továbbá egy értékpapír jogviszonyhoz kapcsolódó perhez volt szüksége.

Az Adatkezelő a kérelemnek nem tett eleget, a Kérelmezőt arról tájékoztatta, hogy meglátása szerint a Kérelmező által előadott indokok nem alapozzák meg az adatkezelésre vonatkozó korlátozási igény jogosságát.

A Kérelmező ezért hatósági eljárást kezdeményezett és kérte a Hatóságot, hogy

• állapítsa meg, hogy az Adatkezelő nem tett eleget az adatkezelés korlátozása iránti kérelemnek,
• kötelezze az Adatkezelőt az adatkezelés korlátozására 5 éves időtartamra,
• állapítsa meg, hogy az Adatkezelő megszegte a Kérelmező hozzáférési jogának biztosítására vonatkozó kötelezettségét, továbbá
• kötelezze az Adatkezelőt megfelelő tájékoztatás megadására a kamerafelvétel megtekintésén, illetve másolat kiadásán keresztül.

A Kérelmező kérte továbbá, hogy amennyiben a kamerafelvételek törlésre kerültek, a Hatóság állapítsa meg a törlés jogellenességét.

A tényállás tisztázása érdekében a Hatóság tájékoztatást kért az Adatkezelőtől. Az Adatkezelő hivatkozott a kamerás adatkezelésről szóló tájékoztatójára, amely rögzíti, hogy akinek a jogát vagy jogos érdekét a képfelvétel érinti, az a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló 2005. évi CXXXIII. törvény (a továbbiakban: Sztv.) 31. § (6) bekezdésének megfelelően, a képfelvétel rögzítésétől számított 3 munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje. Az Adatkezelő előadta, hogy a Kérelmező nem igazolta a GDPR 18. cikk (1) bekezdésben fogalt valamely feltétel fennállását, ezért kérelme megalapozatlan volt, így azt elutasította és a kamerafelvételeket 3 napon belül törölte.

Döntés

Az érintett hozzáférési joga

A határozat rögzítette, hogy a GDPR 15. cikk (1) bekezdése alapján az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy személyes adatainak kezelése folyamatban van-e, továbbá a GDPR 15. cikk (3) bekezdése alapján az adatkezelő az adatkezelés tárgyát képező személyes adatok másolatát köteles az érintett rendelkezésére bocsátani.

A Hatóság álláspontja szerint az Adatkezelő a Kérelmező jogos érdekének igazolásához kötötte a kamerafelvételekbe való betekintés biztosítását, holott a hozzáférési jog gyakorlására irányuló érintetti kérelem teljesítése kizárólag a GDPR 12. cikk (5) bekezdése szerinti esetekben tagadható meg, azaz akkor, ha a kérelem egyértelműen megalapozatlan vagy túlzó, erre azonban az Adatkezelő nem hivatkozott.

A Hatóság megállapította, hogy az Adatkezelő megsértette a GDPR 15. cikkét, amikor nem biztosított a Kérelmező számára betekintést a kamerafelvételekbe, továbbá nem bocsátotta rendelkezésre a kamerafelvételekről készült másolatot.

Az adatkezelés korlátozásához való jog

A Hatóság a határozatában kifejtette, hogy a GDPR 18. cikk (1) bekezdés c) pontja alapján az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az adatkezelőnek már nincs szüksége a személyes adatokra adatkezelés céljából, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez. Hangsúlyozta, hogy e rendelkezés szerint elegendő, ha az érintett arra hivatkozik, hogy az adatkezelés korlátozása jogi igénye előterjesztéséhez vagy érvényesítéséhez szükséges.

A Hatóság szerint az Adatkezelő nem mérlegelheti az adatkezelés korlátozására irányuló kérelem teljesítése során, hogy a személyes adat, amely tekintetében a Kérelmező az adatkezelés korlátozását kérte, alkalmas, illetve szükséges-e a jogi igénye előterjesztésére vagy érvényesítésére.

Minderre tekintettel az Adatkezelő megsértette a GDPR 18. cikk (1) bekezdés c) pontját, amikor a Kérelmező zárolási kérelmét megtagadta.

Kitért még a Hatóság az Sztv. rendelkezésének alkalmazhatóságára is, amely körben rögzítette, hogy a GDPR bizonyos - korlátozott - körben ugyan lehetőséget ad a tagállamoknak kiegészítő vagy ahhoz képest meghatározott irányban eltérő szabályok megalkotására, azonban az érintetti jogok gyakorlása nem esik e körbe, ezért az Sztv. 31. § (6) bekezdése az adott esetben nem alkalmazható.

Az érintett jogainak gyakorlására vonatkozó tájékoztatási kötelezettség

A Hatóság megállapította továbbá, hogy az Adatkezelő a GDPR 12. cikk (4) bekezdését is megsértette, ugyanis nem tájékoztatta a Kérelmezőt a jogorvoslati lehetőségeiről.

Alkalmazott szankció

A Hatóság szükségesnek tartotta bírság kiszabását, mivel az Adatkezelő nem tett eleget a Kérelmező érintetti jogainak gyakorlására irányuló kérelmének, valamint nem tájékoztatta a jogorvoslati lehetőségeiről. Az Adatkezelőre a Hatóság 1.000.000 forint adatvédelmi bírságot rótt ki. A bírság kiszabása során figyelembe vette a jogsértés jellegét, tehát az érintetti jogok sérelmét, továbbá azt, hogy az Adatkezelő törölte a kamerafelvételeket, amelyek nem helyreállíthatók, emellett azt is, hogy az Adatkezelő első alkalommal követte el a jogsértéseket, valamint hogy az Sztv. jelen ügyben releváns szabályai még hatályosak, de nincsenek összhangban a GDPR-ral és ez félrevezethette az Adatkezelőt a Kérelmező kérelmének elbírálása során.

A határozat az alábbi linken érhető el: https://naih.hu/files/NAIH-2018-5559-H-hatarozat.pdf

Vissza a hírekhez