GDPR

Adatvédelem mindenkinek / Data protection for everyone

Az első adatvédelmi bírság 2020-ban Magyarországon

2020. március 16. 09:00 - poklaszlo

A magyar adatvédelmi hatóság (NAIH) fotó Facebookon történő engedély nélküli közzététele miatt hozott elmarasztaló határozatot, amelyben 100.000 Ft összegű bírságot szabott ki.

A tényállás szerint a VIII. kerületi önkormányzat jelenlegi alpolgármestere az önkormányzati választási kampányban tett közzé az érintettet is ábrázoló képet, amelyen választási plakátok eltávolításával kapcsolatban készült, bár maga a kép a letépést követően készült (a kérelmezett előadása szerint: "A képen az látható, hogy egy közfeladat ellátásával megbízott személy választási időszakban önhatalmúlag egy választási hirdetményt semmisít meg.").

A közzététel kapcsán a kérelmezett arra hivatkozott, hogy a "képfelvételt tartalmazó bejegyzés közzétételének alapja a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog, célja pedig a közhatalom gyakorlása szempontjából közérdeklődésre számot tartó eseményről való tájékoztatás volt." "A fényképfelvétel elkészítésére és közzétételére tehát a Kérelmező cselekményének rögzítése és nyilvánosság elé tárása céljából került sor, a választások tisztaságának és a választók kiegyensúlyozott tájékoztatásának biztosítása érdekében. A képmás elkészítésének jogalapja a véleménynyilvánításhoz, a választások tisztaságához és a választók kiegyensúlyozott tájékozódásához fűződő jog volt.

A kérelmező sérelmezte azt is, hogy a fotón szereplő kiskorú lányának arcát kitakarták ugyan, de a bejegyzésben utaltak a jelenlétére, így könnyen beazonosíthatóvá vált.

A kérelmez sérelmesnek találta,. hogy a kérelmezett a bejegyzés eltávolításával kapcsolatos megkeresésére nem is reagált.

A Hatóság megállapításai:

1. Adatkezelő személye 

A Hatóság rögzítette, hogy a Facebook-oldal tulajdonosának (jelen ügyben a kérelmezett önkormányzati képviselőnek) "az adott oldalon zajló mindennemű tevékenység vonatkozásában – a Facebook használati szabályai szerint is elvben – kizárólagosan rendelkezni jogosult személyként egyértelműen fennáll az oldal használatával összefüggően megvalósított adatkezelésért való felelőssége." A kérelmezett volt az, aki a képfelvétel készítésének célját és az adatkezelés módját (a kép nyilvánosságra hozatala) meghatározta.

Egyértelműen leszögezte a Hatóság azt is, hogy a bejegyzés (és benne a fénykép) közzététele nem minősülhet háztartási célú adatkezelésnek, azaz nem esik a GDPR kivételszabálya alá, mivel ".... a Kérelmezőt ábrázoló képfelvételt egy nyilvános, vagyis mindenki által látható bejegyzésben saját (hivatalos) Facebook-oldalán tette közzé a Kérelmezett - aki a vizsgált adatkezeléskor önkormányzati képviselői tisztséget töltött be, ennélfogva már és alpolgármesterré válása előtt is közszereplőnek minősült - …."

2. A kérelmező személye

A kérelmező személyének megítélése azért volt releváns az ügyben, mivel a képfelvétel készítésének és közzétételének idején egy 100%-ig önkormányzati tulajdonú, cégnek volt az igazgatósági elnöke. Tekintettel arra, hogy a társaság közfeladatot ellátó szervnek minősül, melynek képviseletére a kérelmező is jogosult volt. A Hatóság hangsúlyozta, hogy

….. a közfeladatot ellátó szervek képviseletére jogosult személyek (csakúgy, mint a közfeladatot ellátó személyek, illetve közszereplők) esetében jóval szélesebb azon adatok köre, amelyek nyilvánossága még nem sérti az illető személyiségi jogait, és e személyeknek többet kell eltűrniük a rovásukra elhangzott negatív értékítéletek és bírálatok vonatkozásában, ez azonban természetesen nem eredményezheti a személyes adatok védelméhez való jog semmibevételét.

Az Infotv. 26. § (2) bekezdése csak példálózóan sorolja fel a közérdekből nyilvános adatokat, ezen túl azonban a közérdekből nyilvános adatok körét kiegészíti ki azon személyes adatok körével, amelyeket az egyes törvények felsorolnak, azzal, hogy "… a közérdekből nyilvános személyes adatok vonatkozásában is érvényesülnie kell a személyes adatok kezelésére vonatkozó célhoz kötött adatkezelés elvének."

A Hatóság a fentiek alapján arra a következtetésre jutott, hogy "a Kérelmező neve a képfelvétel készítésekor és közzétételekor közérdekből nyilvános adatnak minősült. Ugyanakkor a Kérelmező képmása nem tekinthető közérdekből nyilvános (személyes) adatnak az Infotv. 26. § (2) bekezdése alapján, tekintettel arra, hogy egy igazgatósági elnök (illetve tag) kinézete nem függ össze közfeladat ellátásával."

3. Az adatkezelés jogszerűsége

 Az adott ügyben az adatkezelés jogszerűsége körében vizsgálni kell különösen:

  • adatkezelési elvek (különösen célhoz kötöttség, adattakarékosság) érvényesülését,
  • adatkezelési jogalap meglétét,
  • azt, hogy különleges adatok kezelése felmerül-e,
  • az érintett közszereplőnek vagy közfeladatot ellátó személynek minősül-e,

  • a személyes adatok védelméhez fűződő alapvető jog és a véleménynyilvánítás szabadságának ütközésére.  

A kérelmezett konkrét jogalapot nem jelölt meg az adatkezelés kapcsán, hanem a véleménynyilvánítás szabadságára, illetve a választások tisztaságához és a választók kiegyensúlyozott tájékozódásához fűződő jogra hivatkozott. Az általa hivatkozott bírósági döntések kifejezetten a sajtó által megvalósított adatkezelésekkel és a sajtószabadság gyakorlásával összefüggésben születtek (lásd 28/2014. (IX. 29.) AB határozat, EJEB a Flinkkilä and Others v. Finland ügy).

Jelen ügyben a kérelmezett nem a sajtó munkatársaként járt el, Facebook-oldala nem minősül sajtóterméknek, így a Hatóság álláspontja szerint "a Kérelmezett által hivatkozott bírósági döntésekben a bíróságok által a sajtószabadsággal összefüggésben tett megállapításokat nem lehet a vizsgált adatkezelésre vonatkoztatni."

A Hatóság vizsgálta a Ptk. közszereplők személyiségi jogaira (Ptk. 2:44. §), illetve a fényképek elkészítésére és felhasználására (Ptk. 2:48. §) vonatkozó szabályokat.

A Hatóság megállapította, hogy "sem a képfelvétel készítése, sem annak közzététele nem egyeztethető össze a Kérelmezett által megjelölt céllal, nevezetesen egy jogsértő cselekmény rögzítésével és nyilvánosság elé tárásával."

Tekintettel arra, hogy az eljárás során nem került megfelelő jogalap igazolásra és az adatkezelés meghaladta a szükséges és arányos mértéket, a Hatóság megállapítja, hogy a Kérelmezett megsértette a GDPR 6. cikk (1) bekezdését és a GDPR 5. cikk (1) bekezdésében foglalt jogszerű adatkezelés, valamint a célhoz kötöttség és az adattakarékosság elvét is.

Mivel a poszt az eljárás idején is elérhető volt, és a kérelmező már nem tölti be a képfelvétel készítésekor betöltött tisztségeket, a Hatóság megállapította, hogy a megfelelő cél és jogalap nélkül az adatkezelés nem jogszerű, és sérti a kérelmező GDPR 17. cikke szerinti elfeledtetéshez való jogát is. 

4. Érintetti joggyakorlás

A kérelmezett a kérelmező által hozzá intézett joggyakorlási igényekre semmilyen választ, tájékoztatást nem adott a GDPR 12. cikk (3)-(4) bekezdéseiben meghatározott módon és időn belül, anélkül, hogy a válaszadás megtagadására alapot adó körülmény fennállt volna.

A fentiek alapján a kérelmezett megsértette a kérelmező GDPR 15. cikke szerinti hozzáféréshez, valamint az 17. cikk szerinti törléshez („elfeledtetéshez”) való jogát, az érintett jogai gyakorlására vonatkozó intézkedésekről rendelkező 12. cikkét és a 5. cikk (1) bekezdésében foglalt tisztességes eljárás és átláthatóság elvét.

5. A bírság és a határozat közzététele

A 100.000 Ft összegű adatvédelmi bírság kiszabása során a Hatóság a bírság kiszabása során az alábbi tényezőket vette figyelembe:

  • az adatkezelés megfelelő jogalap és cél nélkül történt és az érintett magánszféráját jelentősen érintette, továbbá a jogsértés súlyos, mert érintetti jog gyakorlását érinti, továbbá az adatkezelő a GDPR több cikkét is megsértette, köztük alapelvi jogsértést is megvalósított,
  • a jogsérelmet szándékos magatartás idézte elő, 
  • a kötelezett elmarasztalására a GDPR megsértése miatt még nem került sor, 
  • a jogsértés jellege alapján – adatkezelési elvek és érintetti jogok sérelme – a kiszabható bírság felső határa 20 000 000 EUR, 
  • a "bírságkiszabással a Hatóság speciális prevenciós célja az, hogy ösztönözze a Kötelezettet arra, hogy vizsgálja felül önkormányzati képviselőként és alpolgármesterként folytatott, természetes személyek személyes adatait érintő, továbbá az érintetti kérelmek megválaszolásával és kezelésével kapcsolatos adatkezelési gyakorlatát." A generálpreventív cél pedig az volt, hogy "... a Kötelezetthez hasonló közfeladatot ellátó személyek adatkezelési gyakorlatának a jogszerűség irányába való mozdulását kívánja elérni. A véleménynyilvánítás szabadságára és a tájékozódáshoz való jogra, mint jogos érdekre történő hivatkozás ugyanis precíz alátámasztást igényel, a sajtószabadságra történő hivatkozás, utalás pedig nem sajtónak minősülő adatkezelők és nem az általuk közzétett, nem sajtóterméknek minősülő „termékek” esetében nem állja meg a helyét."

A határozatnak az adatkezelő (Kérelmezett) azonosító adataival történő nyilvánosságra hozatalát arra tekintettel rendelte el a Hatóság, hogy azt "egy olyan személy tevékenységével összefüggésben hozta, aki közösségi célok és társadalmi normák megvalósítása érdekében jár el és közvetít a társadalom tagjai felé..."

Szólj hozzá!
Címkék: bírság képmás portfolioblogger Magyarország NAIH HU érintetti jogok adattakarékosság célhoz kötöttség közérdekből nyilvános adat

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr6515520708

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása