A berlini adatvédelmi hatóság óriási, több, mint 14 millió eurós bírságot szabott ki egy ingatlanok bérbeadásával foglalkozó társaságra a GDPR megsértése miatt. A 14,5 millió eurós bírságon túl, 15 egyedi esetben (15 bérlő vonatkozásában) további egyenként 6-17 ezer euró közötti bírságot is megállapított a hatóság.
Az ügy előzménye, hogy az adatkezelőnél először 2017. júniusában, majd 2019. márciusában újra helyszíni ellenőrzést tartottak a hatóság munkatársai. Az ellenőrzések során megállapításra került, hogy az adatkezelőnél a bérlők adatait archív rendszerben tárolják, amelyben nem biztosított azon adatkörök tekintetében a törlés lehetősége, amelyek tekintetében már nincs szükség a megőrzésre. Az adatkezelő nem vizsgálta az archiválás során, hogy az adatok megőrzése lehetséges, illetve szükséges-e. Ennek következtében előfordult, hogy akár évekkel az eredeti adatkezelési cél megszűnését követően rendelkezésre álltak a bérlőkre vonatkozó személyes adatok. Olyan a bérlők személyes és pénzügyi helyzetére vonatkozó adatokról volt szó, mint pl. fizetési igazolások, munkaszerződések kivonatai, adózásra és biztosításra vonatkozó adatok, bankkivonatok.
Bár az adatkezelő tett intézkedéseket az első vizsgálatot követően, ugyanakkor a jogellenes állapotot nem szüntette meg 2019. márciusáig sem, így már a GDPR alkalmazandóvá válását követően is legalább 9 hónapon keresztül fennállt a jogellenes állapot. Erre tekintettel a berlini adatvédelmi hatóság megállapította a GDPR 25. cikkének (beépített és alapértelmezett adatvédelem) és az 5. cikk (alapelvek) sérelmét.
A bírság összegének megállapítása során abból indult ki a hatóság, hogy az adatkezelő éves árbevétele meghaladta az 1 milliárd eurót és a hatóság kalkulációja szerint a kiszabható bírság maximuma 28 millió euró körüli összeg volt. A konkrét bírságösszeg megállapítása során súlyosbító körülményként értékelték a hosszan tartó jogellenes állapot fennállását, illetve azt, hogy az adatkezelő tudatos magatartással hozta létre a jogsértően működő rendszert. Enyhítő körülménynek minősült ugyanakkor, hogy az adatkezelő lépéseket tett a jogellenes helyzet megszüntetése iránt, az adatokkal tényleges visszaélés nem történt, illetve, együttműködött a hatósággal.
A határozat még nem jogerős, az érintett társaság fellebbezhet a döntéssel szemben.
A 14,5 millió eurós bírság az első jelentősebb összegű bírság azt követően, hogy a berlini adatvédelmi hatóság már augusztusban kinyilvánította, miszerint a korábbiakhoz képest jóval komolyabb összegű, akár millió eurós nagyságrendű bírságok kiszabására is számítani lehet tőle.
Milyen tanulságok vonhatók le az esetből?
Jól látszik, hogy a GDPR alkalmazásának kezdeti időszakát követően egyre inkább számítani lehet nagyobb összegű bírságokra is. Ezt vetítette elő a német adatvédelmi hatóságok által a közelmúltban közzétett bírságolási koncepció is (bár ennek alkalmazása nem érhető tetten a jelen ügyben közzétett információkban).
A folyamatok, rendszerek megfelelő kialakítása különösen nagy jelentőséggel bír, mert egy rosszul kialakított folyamat vagy fejlesztett rendszer esetében önmagában a nem megfelelő kialakítás és a GDPR "rendszerszintű" megsértése önmagában hordozza a jogsértés megállapításának és a bírság kiszabásának a lehetőségét.
Az alapelvek által támasztott elvárásokat, illetve a beépített és alapértelmezett adatvédelem elveit az adatkezelőknek be kell építeniük a mindennapi működésükbe, ezeket le kell fordítani konkrét feladatokká és az adatkezelési folyamatokkal, rendszerekkel szembeni elvárásokká.
A korábban megállapított jogsértések esetén az adatkezelőknek meg kell tenniük a szükséges intézkedéseket ezek mielőbbi orvoslása érdekében, hiszen ellenkező esetben súlyosító körülmény lehet a feltárt jogsértés orvoslásáénak az elmulasztása és a hosszú időn keresztül fennálló jogellenes állapot.
