Hétpecsét Információbiztonsági Egyesület

Egymillió forintos az első GDPR-bírság

A NAIH honlapján olvasható határozat szerint a szervezet nem tett eleget a Kérelmező hozzáférési joga - ideértve a másolat kiadásához való jogát, illetve az adatkezelés korlátozásához való joga – gyakorlására irányuló kérelmeinek, és ezzel jogellenes adatkezelést valósított meg.

Az ügyben a Kérelmező azt kifogásolta, hogy a bepanaszolt szervezettől kérte a recepciót és a várakozó teret megfigyelő rögzített kamerafelvételek törlésének mellőzését, azok 5 éves időtartamra való zárolását, valamint a felvételek másolatát és az azokba való betekintését. Erre egy személyiségi jogi perhez, továbbá egy értékpapír jogviszonyhoz kapcsolódó perhez, jogi eljáráshoz volt szüksége. A szervezet ezt elutasította, mert álláspontja szerint a képfelvételek csak annak bizonyítására alkalmasak, hogy a Kérelmező adott időpontban ott járt, de az ügyintézésre vonatkozó további információt nem tartalmaznak.

A NAIH az információs önrendelkezési jogról és az információszabadságról szóló törvény értelmében járt el. Tájékoztatáskérésükre a bepanaszolt szervezet azzal reagált, hogy a kérelemhez a panaszos nem fűzött jogos indoklást, viszont törekednek a GDPR-ban is rögzített adatminimalizálás elvére, ezért a kérdéses felvételeket az adatvédelmi tájékoztatójukban foglalt 3 nap után törölték.

A GDPR 15. cikke szerint az érintett jogosult arra, hogy az adatkezelőtől visszajelzést kapjon arra vonatkozóan, hogy az adatkezelő kezeli-e a személyes adatait, és amennyiben igen, akkor arra is jogosult, hogy a róla kezelt személyes adatokhoz, valamint az adatkezelésre vonatkozó információkhoz hozzáférést kapjon., ezzel kapcsolatban pedig nem támaszt többletkövetelményeket. Tehát az érintettnek nem kell igazolnia a hozzáférési joga gyakorlásához fűződő jogát vagy jogos érdekét, illetve nem kell indokolnia, hogy mi okból kíván élni ezzel a jogával.

A GDPR 18. cikk (1) bekezdés c) pontja alapján az érintett jogosult arra, hogy kérésére az adatkezelő korlátozza az adatkezelést, ha az adatkezelőnek már nincs szüksége a személyes adatokra az adatkezelés céljának eléréséhez, de az érintett igényli azokat jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez. Ebben az esetben az adatkezelőnek az általa folytatott adatkezelést a jogi igény előterjesztéséhez vagy érvényesítéséhez szükséges ideig köteles felfüggeszteni, és nem mérlegelheti, hogy a felvételek alkalmasak-e a bizonyításra.

Ezek a rendelkezések a személy- és vagyonvédelmi, valamint a magánnyomozói tevékenység szabályairól szóló törvény (Szvtv.) vonatkozó paragrafusait is felülírják.

Emellett arról sem tájékoztatták a kérelmezőt, hogy nem tettek intézkedéseket a kérelme nyomán, és ennek kapcsán jogorvoslattal élhet, pedig ezt a GDPR 12. cikk (4) bekezdése előírja.

A Hatóság a bírságkiszabás során az alábbi tényezőket vette figyelembe:

Erre való tekintettel a kiszabott adatvédelmi bírság „jelképes összegű” és nem lépi túl a kiszabható bírság maximumát.

http://kamaraonline.hu/cikk/egymillio-forintos-az-...

Megtekintés: 1041