MEGÉRKEZETT AZ ELSŐ FECSKE – ITT AZ ELSŐ MAGYAR GDPR BÍRSÁG

2019 Március 06

A magyar adatvédelmi hatóság, a NAIH még 2018. decemberében kiosztotta az első olyan adatvédelmi bírságot, amely a GDPR megsértésén alapul. Úgy látszik, hogy a NAIH az első fecskénél a marketingből ismert „early bird” kedvezményt alkalmazta. A bírság összege ugyanis nem kiemelkedően magas ahhoz képest, hogy érintetti jogok megsértése miatt kellett kiszabni. Na de lássuk az ügy részleteit.

1. Miért indult az eljárás?

A Kötelezett kamerás megfigyelést folytat a székhelyén, ahol az Érintett ügyintézés miatt 2018. júliusában megjelent. Ezt követően az Érintett e-mailben fordult a Kötelezetthez és meg akarta nézni, illetve másolatot kért azokról a kamerafelvételekről, amelyeken szerepel. Emellett kérte a Kötelezettet, hogy a felvételeket 5 évig ne törölje, mert a felvételekre szüksége van, azokat különböző jogi eljárásokban akarja felhasználni.

A Kötelezett – ahogy az a nagy könyvben (vagyis a GDPR-ben) meg van írva – 30 napon belül válaszolt is az Érintettnek. A válaszban kifejtette, hogy a kamerafelvételek kezelését nem korlátozta, vagyis a felvételeket törölte, mert az Érintett által felhozott indokok nem alapozzák meg az igénye jogosságát. A Kötelezett szerint ugyanis a felvételek csak azt bizonyítanák, hogy az Érintett megjelent a Kötelezettnél, de azt nem, hogy milyen ügyben járt ott vagy mi hangzott el.

Ahogy ez már csak lenni szokott, az Érintett felmérgesítette magát és bepanaszolta a Kötelezettet a NAIH-nál. A NAIH pedig – ha már vizsgálódott – akkor talált is egy-két problémát.

2. Miért sérült az Érintett hozzáférési joga?

A NAIH problémásnak találta, hogy a Kötelezett nem engedte az Érintettnek, hogy megnézze a felvételeket és nem adott ki neki másolatot.

A Kötelezett e körben arra hivatkozott, hogy az Érintett nem indokolta meg konkrétan, hogy miért van szüksége a felvételekre, vagyis hogy pontosan milyen eljárásban szeretné azokat felhasználni. E körben egyébként a Kötelezett a személy- és vagyonvédelmi törvényre hivatkozott, amely valóban tartalmazza, hogy az érintettnek igazolnia kell a jogos érdekét ahhoz, hogy a felvétel törlését megakadályozza.

A NAIH ugyanakkor hangsúlyozta, hogy a GDPR – szemben a személy- és vagyonvédelmi törvénnyel –a hozzáférési jog kapcsán nem határoz meg többletfeltételeket. Ez azt jelenti, hogy az Érintettnek a felvétel megtekintéséhez, illetve másolat kéréséhez nem kell megindokolnia, hogy miért van szüksége a felvételekre.

A NAIH ezért megállapította, hogy mivel a Kötelezett a hozzáférési jog gyakorlásához többletfeltételt szabott és ennek nem teljesülése miatt tagadta meg az Érintett kérelmének teljesítését, megsértette az Érintett hozzáférési jogát.

3. Mi volt a baj a kamerafelvételek törlésével?

A Kötelezett az Érintett adatkezelés korlátozása iránti kérelmével kapcsolatban arra hivatkozott, hogy az Érintett nem jelölte meg pontosan, hogy a felvétel törlése miért sértené a jogos érdekét, illetve milyen igényérvényesítéshez kívánná használni a felvételt. A Kötelezett ezért ahelyett, hogy az adatkezelést korlátozta volna, a felvételeket törölte.

A NAIH viszont emlékeztetett arra, hogy az adatkezelés korlátozása iránti kérelem alaposságához elég, ha az érintett hivatkozik arra, hogy a felvételre jogi igénye érvényesítéséhez van szüksége. További indokolásra ebben a körben nincs szükség, különösen egy ilyen helyzetben, ahol a felvétel törlése akár meg is akadályozhatja az igényérvényesítést.

A NAIH szerint a Kötelezett tehát nem tagadhatta volna meg a kérelem teljesítését azon az alapon, hogy a felvétel nem alkalmas vagy nem szükséges az igényérvényesítéshez. Ezt ugyanis az adatkezelő nem mérlegelheti, mivel a GDPR az adatkezelés korlátozásához való joggal kapcsolatban nem határoz ilyen többletkövetelményeket. Összefoglalva tehát, a Kötelezett a felvételek törlésével megsértette az Érintett adatkezelés korlátozásához való jogát.

4. Mit rontott még el a Kötelezett?

Ahogy fentebb írtam, a Kötelezett mintaszerűen – 30 napon belül – válaszolt az Érintettnek a megkeresésére.

Az Érintett adatkezeléssel kapcsolatos konkrét jogainak megsértését azonban a Kötelezettnek a válaszában sikerült még egy dologgal megfejelnie. Elmulasztotta ugyanis tájékoztatni az Érintettet a jogorvoslati lehetőségeiről.

Vagyis azzal, hogy a Kötelezett a válaszban nem hívta fel az Érintett figyelmét arra, hogy panaszt nyújthat be a NAIH-hoz vagy a bírósághoz fordulhat, ugyancsak GDPR-sértően járt el.

5. Milyen tényezőket vett figyelembe a NAIH a bírságnál?

A NAIH egyébként jelképes összegűnek tekinti az első, a GDPR megsértése miatt általa kiszabott bírságot. Valóban, az összeg nem kirívó ahhoz képest, hogy a NAIH már a GDPR hatálybalépése előtt is osztogatott hasonló, sőt jóval magasabb bírságokat.

A bírság mérlegelésénél a NAIH súlyosító tényezőként vette figyelembe, hogy a Kötelezett konkrét jogsérelmet okozott az Érintettnek és azt is, hogy a kamerafelvételek már nem helyreállíthatók, vagyis a sérelmet nem lehet orvosolni.

A NAIH szívét – és így a bírság összegét – viszont enyhítette az, hogy a jogi környezet összezavarhatta a Kötelezettet: a hatályos személy- és vagyonvédelmi törvény ugyanis nincs összhangban a GDPR-el és ez félrevezethette a Kötelezettet. Emellett a NAIH azt is figyelembe vette, hogy a Kötelezett első alkalommal követett el ilyen fajta jogsértést.

És hogy mi ebből a tanulság? Leginkább az, hogy az érintett kérelmét mindig nagyon körültekintően vizsgáld meg és csak akkor utasítsd el, ha teljesen meg van győződve arról, hogy az alaptalan. Ha pedig elutasítod a kérelmet, akkor ne felejtsd el tájékoztatni az érintettet a panasz lehetőségéről.