GDPR büntetések Magyarországon

A 2018. május 25-én életbe lépő GDPR eltérő reakciókat váltott ki a szervezetek részéről. Voltak, akik már évekkel ez előtt tudatosan elkezdtek felkészülni a követelményeknek való megfelelésre, volt, aki pánikszerűen, utolsó, vagy utolsó utáni pillanatban kezdett el a témával foglalkozni és tapasztalataink szerint sokan egy újabb, fölösleges ijesztgetésnek gondolták a jogszabályt a beharangozott büntetések ellenére is.

GDPR büntetés hazánkban

Komoly kérdés volt, hogy a hazai gyakorlatba ezek a követelmények hogyan illeszthetők be és miként fogja a NAIH az esetleges incidenseket szankcionálni. A nemzetközi piacon ahogy arra számítani lehetett az óriáscégeket rögtön elérte a feljelentési hullám, a Google példa kedvéért 50 millió eurós bírságot kapott.

De mi a helyzet a hazai piacon, voltak-e büntetések?

A pártok is érintettek, illetve a videó felvételekkel vigyázni kell

A jelenleg ismert legnagyobb büntetést egy politikai párt kapta. A hírek szerint a 11 milliós büntetést azért szabta ki a NAIH, mert a párt által üzemeltetett honlap sérülékenységét kihasználva egy ismeretlen támadó hozzáfért és feltöltötte közel 6000 szimpatizáns nevét, e-mail címét, felhasználói nevét és jelszavait titkosított formában az internetre. Súlyosbító körülménynek minősült az adatok politikai véleményre vonatkozó különleges volta, az elavult titkosítási technológia, valamint az, hogy az incidensről a párt nem tett bejelentést és nem tájékoztatta az érintetteket.

Egy másik esetben 1 milliós bírsággal sújtottak egy céget, aki nem megfelelően kezelte a recepción és a várakozó térben készült videó felvételeket. Az indoklás és határozat részletesen ezen a linken érhető el. A kamerák működtetése is személyes adatok kezelésével jár, így ilyen tevékenységet a mindenkori adatvédelmi szabályok megtartása mellett lehet végezni. A jelenlegi szabályozás alapján az adatkezeléshez, vagyis a képmásunk kamera általi rögzítéséhez a hozzájárulásunkra van szükség. E hozzájárulást általában a kamerával őrzött területre a kihelyezett tájékoztató ellenére történő belépéssel, mint ráutaló magatartással adjuk meg. A hozzájárulás azonban GDPR szabályai szerint bármikor visszavonható, ebben az esetben a személyes adatot (jelen esetben a kép-, illetve hangfelvételt) törölni kell. Jelenleg a kép-, illetve hangfelvételek megőrzésére a vagyonvédelmi törvény szigorú határidőket állapít meg, amelyeket a NAIH gyakorlata szerint azoknak az adatkezelőknek is alkalmazniuk kell, akik nem esnek ezen jogszabály hatálya alá. Ennek megfelelően jelenleg főszabály szerint 3 munkanapig, speciális esetekben pedig 30 vagy 60 napig lehet megőrizni a kép- és hangfelvételeket.

GDPR büntetés Magyarország

Jogalap hiánya, adatok kiadása illetéktelen személyeknek

Bár bírságot nem szabtak ki, de elmarasztalás történt egy szervezet esetében, aki korábbi (10 év) téves adatrögzítés miatt illetéktelen személynek adta ki a zálogkötelezett adatait. A szervezet azt hitte, hogy a fedezeti ingatlan tulajdonossal beszélnek, melynek oka adminisztrációs hiba volt. „A kérelemben foglaltak szerint a Kérelmezett munkatársa a Kérelmező hozzájárulása, illetve egyéb jogalap nélkül adta ki 2018. július 18-án telefonon harmadik személy részére a személyes adatait, amikor – a jelzáloghitel-szerződésben nem szereplő – harmadik személyt arra hivatkozással hívta fel telefonon, hogy a Kérelmező nem fizeti a törlesztő részleteket és tájékoztatta a személyes adatairól, többek között a lakcíméről is.” Enyhítő körülménynek minősült, hogy a jogsértés az adatvédelmi rendelet első néhány hónapjában történt.

Még a GDPR életbe lépése előtt egy gyógyszergyár 800.000 Ft-os büntetést kapott, mivel az megfelelő jogalap hiányában kezelt személyes adatokat a kamerás megfigyeléssel összefüggésben, nem nyújtott megfelelő előzetes tájékoztatást a kamerás megfigyeléssel összefüggő adatkezelésről és annak körülményeiről az általa foglalkoztatott munkavállalók részére.

2018. májusában egy sportszövetség 1.500.000 Ft büntetést kapott, mivel megfelelő jogalap hiányában kezelt személyes adatokat a nyilvántartás működtetése során. Nem nyújtott megfelelő előzetes tájékoztatást az adatkezelésről és annak körülményeiről a nyilvántartásban szereplő érintettek (illetve azok törvényes képviselőinek, mivel sok személy kiskorú volt) részére, a célhoz kötött és szükséges adatkezelés elvének megsértésével működtette a személyes adatokat tartalmazó nyilvántartást.

Egyéb, tanulságos esetek

Kisebb, 500 ezer – 1 millió forint közti bírságok is kiszabásra kerültek 2019 márciusában, pár tanulságos esetet érdemes kiemelni:

Az egyik esetben érintett  közérdekű bejelentése az Önkormányzat által alapított és felügyelt intézmény működésére vonatkozott. Az érintett az intézmény alkalmazottja volt a bejelentés időpontjában. Az intézmény vezetője további információként kérte a közérdekű bejelentés teljes tartalmának rendelkezésére bocsátását, amelynek a Kötelezett üggyel foglalkozó munkatársa eleget is tett, vagyis a személyes adatokat tartalmazó dokumentumot – az érintett közérdekű bejelentését – teljes terjedelmében, anonimizálás nélkül megküldte az intézménynek, amely egyébként az érintett munkáltatója, és egyben a közérdekű bejelentésben kezdeményezett eljárás tárgya. Az érintett közalkalmazotti jogviszonyát ezt követően az intézmény rendkívüli felmentéssel megszüntette, melynek egyik indokaként éppen az érintett által tett közérdekű bejelentést jelölte meg. Az érintett ezt követően tájékoztatást kért a Kötelezettől azzal kapcsolatban, hogy személyes adatai milyen módon és okból váltak ismertté munkáltatója számára. A Kötelezett adatvédelmi tisztviselője és vezetője ezzel szemben az eset kivizsgálása során egyértelműen arra az álláspontra helyezkedett, hogy bár az érintett bizonyos személyes adatait, munkáltatói minőségéből fakadóan valóban kezelte az intézmény, a közérdekű bejelentésben található, vagy abból levonható információk, mint például az érintett közérdekű bejelentői minősége nem voltak korábban a kezelésében.

Egy iskola aziránt érdeklődött a NAIH-nál, hogy feltétlenül szükséges-e a diákok és tanárok beleegyező nyilatkozata a róluk készült osztályképek iskolai évkönyvben történő közzétételéhez, továbbá, hogy szükséges-e a hozzájáruló nyilatkozat az iskolai rendezvényeken készült képfelvételekre. A hatóság szerint megfelelő jogalap lehet az adatkezeléshez, ha az iskola „beleegyező nyilatkozatot” kér a diákoktól, tanároktól, azaz, ha az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez. Fontos kitétel, hogy az érintett hozzájárulásának az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása minősül, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez.