Megszületett az első NAIH bírság a GDPR kötelező alkalmazása óta

adatvédelem
http://www.dreamstime.com/royalty-free-stock-photos-data-concept-red-opened-padlock-digital-image37936198
Vágólapra másolva!
Közzétételre került a NAIH még 2018. decemberében meghozott határozata, melyben a NAIH egymillió forint adatvédelmi bírságot szabott ki egy adatkezelővel szemben a GDPR szerinti érintetti jogok megsértése miatt – értesült az Origó a Kovács Réti Szegheő Ügyvédi Iroda szakértőitől. A NAIH határozata alapján az adatkezelő 2017. évi beszámolója szerinti értékesítési árbevétele nagyságrendileg 15 milliárd forint volt.
Vágólapra másolva!

A határozat alapján megállapítható, hogy a panasztevő az érintetti jogainak gyakorlása érdekében 2018 nyarán kérte meghatározott napok és időpontok tekintetében az adatkezelő recepcióját és a várakozó terét megfigyelő kamerafelvételekhez való hozzáférésének biztosítását (a felvételekbe betekintést és azok másolatát kérte), továbbá a kérdéses felvételekkel kapcsolatos adatkezelés korlátozását (a felvételek zárolását kérte).

Az érintett arra hivatkozott, hogy a kérdéses felvételek személyiségi jogi perhez, továbbá egy értékpapír jogviszonyhoz kapcsolódó perhez, jogi eljáráshoz szükségesek a számára – mutattak rá a Kovács Réti Szegheő Ügyvédi Iroda szakértői.

A kérelem elutasítása

Az adatkezelő válaszában elutasította a felvételek zárolására vonatkozó kérelmet, arra hivatkozással, hogy a kérelemben felhozott indokok nem alapozzák meg az adatkezelés korlátozására vonatkozó igény jogosságát, különös tekintettel arra, hogy a kamerarendszer csak képet, hangot nem rögzít, így nem alkalmas arra, hogy kiderüljön belőle, hogy az érintett az adott időpontokban milyen ügyben jelent meg az adatkezelőnél.

Az érintett nem fogadta el az adatkezelő válaszát, a NAIH-hoz fordult és kérte személyes adatai védelméhez való jogainak érvényesülése érdekében a hatóság eljárását, melynek alapján indult meg a határozat alapjául szolgált adatvédelmi hatósági eljárás.

A határozatból megállapítható az is, hogy a hatósági eljárás során az adatkezelő arról tájékoztatta a hatóságot, hogy a kérdéses felvételeket törölte, az érintett kérelmeinek teljesítésének megtagadása kapcsán többek között arra hivatkozott, hogy 2005. évi CXIII törvény (a továbbiakban „Szvtv.") 31. §(6) bekezdése alapján, akinek a képfelvétel jogát vagy jogos érdekét érinti, az meghatározott időn belül (amely jelen esetben 3 munkanap volt) jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot a kezelője ne semmisítse meg, ne törölje.

Másrészről az adatkezelő arra is hivatkozott, hogy az érintett kérelme nem volt megalapozott, mert a kérelmező nem igazolta a GDPR 18. cikk (1) bekezdésében foglalt valamely feltétel fennállását – húzták alá a Kovács Réti Szegheő Ügyvédi Iroda szakértői.

Bírság kiszabásáról döntött a NAIH

A NAIH a fenti tényállás megállapítását követően döntött bírság kiszabásáról, az érintett hozzáférési jogának megsértésére, adatkezelés korlátozására vonatkozó kérelmének elutasítására, valamint az érintetti jogok joggyakorlására vonatkozó kérelem elutasításának hiányosságára is figyelemmel.

A hozzáférési jog megsértésének körében a NAIH határozatból kiemelendő, hogy a NAIH döntése alapján nem tagadható meg sem a felvételekbe történő betekintés biztosítása, sem pedig az azokról való másolat rendelkezésre bocsátása, csak akkor, ha a kérelem egyértelműen megalapozatlan vagy túlzó.

Figyelemmel azonban arra, hogy az adatkezelő az érintett jogos érdekének igazolásához kötötte a fentiek szerint ezen jogok gyakorlását, a NAIH megállapította, hogy az adatkezelő megsértette a GDPR 15. cikkét, azaz az érintett hozzáférési jogát.

A korlátozásra vonatkozó kérelem tekintetében a NAIH határozatból kiemelendő, hogy a NAIH döntése alapján a GDPR 18. cikk (1) bekezdés c) pontjára figyelemmel elegendő az, ha az érintett arra hivatkozik, hogy az adatkezelés korlátozása jogi igénye előterjesztéséhez, érvényesítéséhez szükséges és az adatkezelő nem mérlegelheti azt, egy ilyen kérelem teljesítése kapcsán, hogy a személyes adat amelyre a kérelem vonatkozik alkalmas-e illetve szükséges-e jogi igény előterjesztéséhez vagy érvényesítéséhez.

Forrás: Origo

Kiemelendő továbbá az is, hogy a NAIH határozat szerint mivel a GDPR 18. cikk (1) bekezdés c) pontja alapján nincs szükség az adott jogi igény előterjesztésének, érvényesítésének illetve jogi védelem szükségességének az érintett általi igazolására illetve valószínűsítésére, ezért a NAIH megállapította, hogy az adatkezelő megsértette az érintett adatkezelés korlátozásához való jogát is.

Ebben a körben kiemelkedően fontos, hogy a NAIH határozata szerint az Szvtv. szabályait a GDPR-ra figyelemmel kell ugyan értelmezni, és bár az Szvtv. valóban előírja, hogy az akinek jogát vagy jogos érdekét érinti a kamerafelvétel, az a jogos érdekének igazolásával kérheti az adatkezelőtől, hogy a felvételt ne semmisítse meg, a NAIH határozata szerint ezen Szvtv. rendelkezéseket nem lehet alkalmazni, figyelemmel arra, hogy a GDPR arra nem ad felhatalmazást a tagállamoknak, hogy az érintetti jogok gyakorlása kapcsán kiegészítő, illetve eltérő szabályokat alkossanak.

A NAIH a fentiek kapcsán határozatában a fenti körülményt alátámasztandó hivatkozik arra is, hogy az Szvtv. módosítására vonatkozó Igazságügyi Minisztériumi előterjesztés elfogadása esetén a jövőben az Szvtv. nem írná elő az érintettek számára, hogy jogukat, illetve jogos érdeküket igazolják annak érdekében, hogy az adatkezelő ne törölje, illetve semmisítse meg a kamerafelvételeket.

Végezetül a NAIH elmarasztalta az adatkezelőt a kérelemre adott elutasító válaszának hiányossága miatt is, figyelemmel arra, hogy az elutasító válasz nem tartalmazta - a GDPR 12. cikk (4) bekezdésével ellentétben – az érintett jogorvoslati lehetőségeire vonatkozó tájékoztatást.

Fontos kiemelni, hogy a NAIH a bírság kiszabása kapcsán a határozat szerint az alábbi szempontokat mérlegelte (a kiszabott bírságot „jelképes összegű"-nek minősítette):
- a jogsértés az érintetti jogok sérelmével járt,
- a felvételek törlésre kerültek, nem helyreállíthatók,
- az adatkezelő első alkalommal követte el a fentiek szerinti jogsértéseket,
- az Szvtv-nek a határozat meghozatalakor hatályos szabályai nincsenek összhangban a GDPR-ral és ez félrevezethette az adatkezelőt az érintett kérelmének elbírálása során.

A fentiek kapcsán megjegyzendő, hogy az Szvtv. fentiek szerinti módosítására eddig még nem került sor, az Szvtv. rendelkezéseit érintő egyéb módosítások 2019. július 1-ével lépnek hatályba – hangsúlyozták végezetül a Kovács Réti Szegheő Ügyvédi Iroda szakértői.