GDPR

Adatvédelem mindenkinek / Data protection for everyone

Friss adatvédelmi bírságok Skandináviából

2020. június 02. 09:30 - poklaszlo

A GDPR alkalmazandóvá válása óta már számos adatvédelmi bírság kiszabásáról olvashattunk. Egyes országokban viszonylag gyakran nyúlnak a bírságolás eszközéhez (a gyakrabban bírságoló országok listáján találhatjuk pl. Németországot, Spanyolországot, Olaszországot Romániát), más tagállamokban viszont csak néhány alkalommal kellett eddig az adatkezelőknek bírságot fizetniük (az eddig kifejezetten keveset bírságoló országok között szerepel pl. Írország, Horvátország, Finnország, Dánia). 

A Skandináv országok (a szűk értelemben ide tartozó Svédország, Dánia, és Norvégia mellett Finnország, Izland) eddig viszonylag visszafogottan nyúltak a bírságolás eszközéhez. Az elmúlt hónapokban (március-május) Svédországban, Dániában és Finnországban is több ügyben született adatvédelmi bírság (Finnországban első ízben jelent meg bírságolásra vonatkozó döntés májusban, rögtön három különböző esetben), Norvégiában pedig legutóbb február végén került sor bírság megállapítására (két ügyben is). Az alábbiakban röviden ezeket a friss, bírságkiszabással járó eseteket foglalom össze. 

1. Svédország

Eddig öt alkalommal szabott ki a svéd adatvédelmi hatóság bírságot. Ebből kétszer még 2019-ben, három alkalommal viszont a közelmúltban (márciusban, áprilisban és májusban is egy-egy alkalommal). 

Márciusban a Google-ra szabtak ki kb. 7 millió euró összegű bírságot az érintetti jogok gyakorlásával kapcsolatban. A bírság kiszabásához az vezetett, hogy - a svéd adatvédelmi hatóság 2017-es döntése ellenére - a Google a találatok közül nem távolított el olyanokat, amelyek listázását a hatóság nem találta jogszerűnek. A 2018-ban indított újabb vizsgálat 2020. márciusában került lezárásra és vezetett bírság kiszabásához, megállapítva a GDPR 5. cikkének (alapelvek), 6. cikkének (jogalapok) és 17. cikkének (törléshez, illetve elfeledtetéshez való jog) sérelmét. A Google eljárásnak különösen sérelmezett eleme volt, hogy a Google a linkek keresési találatok közüli eltávolításakor tájékoztatja erről az érintett honlap tulajdonosát, megjelölve, hogy ki kérte a keresési eredmények közül történő eltávolítást. Ennek köszönhetően a honlap tulajdonosa újra tudja publikálni a kérdéses tartalmat egy másik webcímen, amely aztán újból megjelenik a keresésben. A Google eljárásának eredményeként az érintetti jog gyakorlása elveszti a hatékonyságát, hiszen a tartalom újra felbukkan a keresési eredmények között.

Áprilisban egy adatvédelmi incidens késedelmes bejelentése miatt állapítottak meg kb. 18.700 euró összegű bírságot. A Nemzeti Kormányzati Szolgáltatóközpont (National Government Service Centre; NGSC) a fizetések adminisztrációját végző IT rendszer hibájával összefüggő adatvédelmi incidensről kapott bejelentéseket, amely a személyes adatokhoz történő jogosulatlan hozzáférés lehetőségét nyitotta meg. A hatóság három hónappal az incidenst követően kapott bejelentést és az érintett személyek tájékoztatásáig öt hónap telt el. Az NGSC-nek adatfeldolgozóként haladéktalanul tájékoztatnia kell az adatkezelőket, hogy azok a hatóság felé a bejelentési- és az érintettek tájékoztatására vonatkozó kötelezettséget időben teljesíthessék. 

Májusban egészségügyi adatok jogosulatlanul történő nyilvánosságra hozatala miatt szabott ki a svéd adatvédelmi hatóság bírságot az Örebro Megyei Egészségügyi Bizottságra. A hatóság megállapította, hogy az iratok és a személyes adatok honlapon történő közzétételére vonatkozóan nem álltak rendelkezésre írásban rögzített utasítások, ehelyett szóbeli utasításokkal döntöttek a publikálásról. A vizsgált ügyben a szóbeli utasításokat nem követték megfelelően, ez vezetett az irat téves nyilvánosságra hozatalához. A Bizottság tehát nem vezetett be megfelelő szervezési intézkedéseket a személyes adatok védelme érdekében. A közzététel kapcsán sérült a célhoz kötöttség elve, nem állt rendelkezésre megfelelő jogalap és a különleges adatok kezelésére vonatkozóan sem állt fenn a GDPR alapján megkövetelt kivétel az adatok kezelésére vonatkozó tilalom alól. A kiszabott bírság összege 11.000 euró volt. A bírság kiszabása mellett a svéd hatóság kötelezte a Bizottságot a megfelelő írásbeli utasítások meghozatalára.

2. Dánia 

Egy állásközvetítő társaság tekintetében javasolt az adatvédelmi hatóság kb. 6.700 eurónak megfelelő összegű bírságot májusban. Az eljárásra az adott okot, hogy az adatkezelő, az érintett hozzáférési jog gyakorlására irányuló kérelmének kézhezvételét követően, de a kérelem teljesítése előtt, törölte a kérelemmel érintett adatokat. 

Márciusban pedig két önkormányzat esetében tett javaslatot a hatóság adatvédelmi bírság kiszabására, miután - incidensek kapcsán (számítógépek ellopása) indult vizsgálat eredményeként - adatbiztonsági hiányosságok kerültek megállapításra (pl. titkosítás hiánya az incidenssel érintett számítógépeken). Az egyik esetben 20.620 személyt érintett az incidens, ráadásul érzékeny személyes adatokhoz is hozzáférés történhetett, a másik esetben 1.600 személyt érintően válhattak hozzáférhetővé adatok az incidens következtében. A javasolt bírság összege 14.000 és 7.000 euró volt. 

(Dániában az adatvédelmi hatóság közvetlenül nem szab ki bírságot, hanem arról végső soron a bíróság dönt. A GDPR Preambuluma szerint (151): "Dánia és Észtország jogrendszere nem teszi lehetővé az e rendeletben meghatározott közigazgatási bírságok kiszabását. A közigazgatási bírságokra vonatkozó szabályok Dániában oly módon alkalmazhatók, hogy a bírságot az illetékes nemzeti bíróságok büntetőjogi szankcióként róják ki, [....]. Ezért az illetékes nemzeti bíróságok figyelembe veszik a bírság kiszabását kezdeményező felügyeleti hatóság ajánlását. A kiszabott bírságoknak minden esetben hatékonynak, arányosnak és visszatartó erejűnek kell lenniük.")  

3. Finnország

Finnország 2020. májusában szabott ki először bírságot a GDPR alapján, rögtön három esetben is. 

Első esetben a finn posta kapott 100.000 eurós bírságot, mivel az érintetteket nem tájékoztatta megfelelően a jogaikról, különösen a tiltakozás jogáról azzal kapcsolatban, hogy a címváltozásuk bejelentése esetén a címadatokat a posta kiadja harmadik feleknek marketing célból. A jogsértés csak 2019-ben több, mint 161 ezer személyt érintett. 

A második, 16.000 euró összegű bírság kiszabásával járó esetben a adatkezelő elmulasztotta adatvédelmi hatásvizsgálat végzését a munkavállalók helymeghatározási adatainak kezelésével járó adatkezelés kapcsán. A helymeghatározási adatokat a gépjárművekbe beépített rendszeren keresztül gyűjtötték és az adatkezelés célja, többek között, a munkaidő ellenőrzése volt.  

A harmadik bírságot pedig arra tekintettel szabta ki a finn adatvédelmi ombudsman, hogy egy társaságnál az állásra jelentkezőktől szükségtelenül gyűjtötték adatokat. A gyűjtött adatok között voltak az érintettek vallási meggyőződésére, egészségi állapotára, esetleges terhességére és családi állapotára vonatkozó adatok. A hatóság elrendelte az adatok törlését és 12.500 euró összegű bírságot szabott ki. (A bírság összege arra tekintettel, hogy különleges adatok jogszerűtlen kezelésére került sor, nem mondható kifejezetten magasnak.)   

4. Izland

A márciusban kiszabott két izlandi bírság adatvédelmi incidensekkel állt kapcsolatban.

Egyik esetben, a National Center of Addiction Medicine, amely egy függőségeket kezelése érdekében működő civil szervezet, egy korábbi munkavállalójának személyes tárgyait postai úton küldte el, a dobozban ugyanakkor számos korábbi rehabilitálásra szoruló érintett egészségügyi adatait és a rehabilitáción történő részvételére vonatkozó adatot tartalmazó irat volt. Az eset - a GDPR 5. cikk (1) bekezdés f) pont (integritás és bizalmi jelleg elve) és a GDPR 32. cikk (adatbiztonság) megsértése miatt - 20.643 eurós bírság kiszabásával zárult.   

A másik esetben egy tanár a diákjainak és azok törvényes képviselőinek a lehetséges konzultációs időpontokkal kapcsolatos emailhez tévesen nem a konzultációs időpontokat tartalmazó mellékletet, hanem más diákok érzékeny adatait is tartalmazó file-t csatolta. Az iskola  8.945 euró összegű bírságot kapott.     

5. Norvégia

Norvégiából legutóbb február végén érkezett hír bírság kiszabásáról. A kb. 73.600 euró bírságot Rælingen önkormányzatával szemben szabták ki nem megfelelő adatbiztonsági intézkedések miatt, egy 15 fogyatékkal élő diák adatait kezelő platform használata kapcsán.

Egy másik, szintén február végi ügyben kb. 36.800 euró összegű bírságot jogalap nélküli adatkezelésre tekintettel állapították meg. A jogalap nélküli adatkezelés egy 16 év alatti gyermeket érintett, akit lopással gyanúsították és a róla készült videofelvételt osztották meg. A bírság összegének megállapítása során a 16 év alatti gyermek érintettségre is különös tekintettel volt a norvég adatvédelmi hatóság.

Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr8915731252

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása