A GDPR-ban szereplő jelentős bírságtételek kapcsán a konkrét ügyekben kiszabott bírságok több szempontból is fontos gyakorlati iránytűként szolgálnak: egyrészt önmagában a bírságok mértéke is jelzésértékű, másrészt fontos kérdés, hogy a hatósági gyakorlatban a GDPR mely cikkei érintettek elsősorban, milyen ügyekben és milyen konkrét mérlegelési szempontok alapján szab ki bírságot a hatóság.
Az alábbiakban - hasonlóan a 2019-ben megállapított bírságokhoz - a NAIH 2020-ban hozott, adatvédelmi bírságot kiszabó határozatait gyűjtöm össze. A folyamatosan frissülő összeállításból könnyen nyomon követhető, hogy milyen jogsértések miatt, mekkora összegű bírságot határozott meg a Hatóság, illetve, hogy az adott ügyben a GDPR mely cikkeinek való megfelelést vizsgálták. (Utolsó frissítés: 2021.02.06.)
Határozat száma és kelte | Bírság összege | GDPR érintett cikkei | Rövid összefoglalás | Megjegyzés |
(2020.03.04.) |
100.000 Ft |
|
Választási kampány során Facebook-on került sor fénykép közlésére, amelyen az érintett (egy önkormányzati cég vezetője és - arcának a kitakarásával - kiskorú lánya látható) választási plakátok eltávolítása kapcsán (a plakátok letépését követően). |
Részletek ebben a posztban érhetők el. |
(2020.03.26.) |
1.000.000 Ft |
|
A banki ügyintéző általi téves adatrögzítés miatt az érintett adatai megjelentek egy tőle független kölcsönszerződéssel összefüggésben a Központi Hitelinformációs Rendszerben (KHR) is. |
Részletek ebben a posztban érhetők el. |
(2020.03.09.) |
300.000 Ft |
|
Az ügyben követelés érvényesítése kapcsán rögzítették az adós ügyfél adataihoz kapcsolódóan az érintett hívószámát kapcsolattartói adatként, ugyanakkor az adatnak az ügyfélhez történő rögzítése anélkül történt, hogy az érintett az ügyfél képviseletében való eljárásra jogosító meghatalmazással bírt volna, illetve az adatkezelő rögzítéskor tudta, hogy az adat nem az ügyfeléé és nem is az ügyféltől származik. Az adatkezelő a hozzájárulás meglétét sem tudta igazolni. A GDPR 11. cikk (2) bekezdésben írtakat az adatkezelő betartotta, továbbá a pontatlan adatot a nyilvántartásából törölte, így e körben nem történt jogsértés. |
|
(2020.03.19.) |
2.000.000 Ft |
|
Kamarafeltételek - hozzáférési jog keretében történő - kiadásának elmaradásával, illetve zárolt kamerafelvételek törlése miatt, a hozzáférési jog gyakorlásának megsértésére került sor. Az adatkezelő nem adott előzetes tájékoztatást a zárolás feloldásáról sem, így ellehetetlenítve az érintetti jogok megfelelő gyakorlását. Az adatkezelő nem tudta igazolni azt sem, hogy - az eljárással érintett időszakban - a kamerákkal történő adatkezelés megfelelt az adatvédelmi követelményeknek. |
|
(2020.01.24.) |
500.000 Ft |
|
Egy könyvelő cég kinyomtatott ügyféllistája, amely személyes adatokat is tartalmazott (név, születési adatok, TAJ szám, ügyfélkapu bejelentkezési adatok, stb.) vált hozzáférhetővé. A lefolytatott vizsgálat során a Hatóság adatbiztonsági és az incidenskezeléssel kapcsolatos szabályozási hiányosságokat tárt fel. |
Részletek ebben a posztban. |
(2020.05.18.) |
100.000.000 Ft |
|
Egy adatvédelmi incidenst követő vizsgálat során megállapította a Hatóság, hogy az adatkezelő honlapján keresztül kihasználható sérülékenység személyes adatokhoz való hozzáférést eredményezhetett. Az adatkezelő nem alkalmazott megfelelő technikai védelmi intézkedéseket a személyes adatok kapcsán, különösen, hogy a személyes adatokat tartalmazó adatbázist nem titkosította. A célhoz kötöttség és korlátozott tárolhatóság megsértését pedig arra tekintettel állapította meg a NAIH, hogy az adatkezelő egy korábbi, hibajavítás céljára létrehozott adatbázist nem törölt azt követően, hogy az adatkezelés célja megszűnt. | |
(2020.06.08.) |
200.000 Ft |
|
Korábbi munkavállaló archív (részben magánjellegű) leveleihez történő hozzáférés megtagadása miatt indult az eljárás. Bár a korábbi munkaviszonnyal kapcsolatban keletkezett, a munkavégzéshez szükséges levelezéshez történő hozzáférés megtagadása jogszerű lehetett, de a magáncélú levelekhez történő hozzáférés megtagadása sértette az érintett hozzáférési jogát. Az adatkezelő a hozzáférési igény elutasítása során nem adott megfelelő tájékoztatást az érintett részére, így akadályozta az érintetti jog (hozzáférés) gyakorlását. | |
(2020.01.22.) |
2.000.000 Ft |
|
Az adatkezelő az érintett hozzáférési kérelmére nem válaszolt érdemben. Egyrészt általánosságban adott tájékoztatást az adatkezelésről, nem az érintett kérdéseire reagált, másrészt arra hivatkozott, hogy egy korábbi kérelme kapcsán az érintett már választ kapott a kérdéseire, amelyet a felek közötti jogvitában hozott bírósági döntés is alátámaszt (res iudicata). | |
(2020.07.09.) |
1.000.000 Ft |
|
Aláírásgyűjtéssel járó kezdeményezés során a kapcsolattartói adatok politikai célból történő kezelésével kapcsolatban állapította meg a Hatóság a hozzájárulások hiányát, illetve a tájékoztatás hiányosságát. Az eljárás érintette az aláírások papír alapon történő gyűjtését és az aláíró ívek online feltöltéséhez kapcsolódó adatkezelést is. | További részletek ebben a posztban. |
(2020.05.28.) |
1.000.000 Ft + 500.000 Ft |
|
Követelés behajtásával kapcsolatban történő adatkezeléssel összefüggésben állapított meg jogsértést a Hatóság. Az ügy érdekessége, hogy az adatkezelő mellett az adatfeldolgozó tekintetében is bírságot szabott ki a NAIH (500.000 Ft), mivel adatfeldolgozói minőségén túlterjeszkedve nyújtott nem megfelelő tájékoztatást az érintettnek, mellyel megsértette a GDPR 5. cikk (1) bek. a) pontját (jogszerűség, tisztességes eljárás és átláthatóság). |
|
(2020.07.23.) |
2.000.000 Ft |
|
A NAIH a Forbes Magazin 50 leggazdagabb magyart és legnagyobb családi vállalkozásokat tartalmazó kiadványaival kapcsolatos adatkezeléseket vizsgálta. Az ügy eldöntése szempontjából kiemelt jelentőségű a személyes adatok kezelésének és a véleménynyilvánítás szabadságához és a tájékozódáshoz való jognak az egymáshoz való viszonya, illetve az ezek közötti egyensúly megtalálása. A Hatóság hiányosságokat állapított meg az érdekmérlegelés elvégzése és a tájékoztatás kapcsán, ugyanakkor elutasította az adatok törlésére vonatkozó igényt arra tekintettel, hogy az szükséges a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából (17. cikk (3) bek. a) pont). |
További részletek itt (angolul). |
(2020.07.23.) |
2.500.000 Ft |
|
A NAIH a Forbes Magazin 50 leggazdagabb magyart és legnagyobb családi vállalkozásokat tartalmazó kiadványaival kapcsolatos adatkezeléseket vizsgálta. Az ügy eldöntése szempontjából kiemelt jelentőségű a személyes adatok kezelésének és a véleménynyilvánítás szabadságához és a tájékozódáshoz való jognak az egymáshoz való viszonya, illetve az ezek közötti egyensúly megtalálása. A Hatóság hiányosságokat állapított meg az érdekmérlegelés elvégzése és a tájékoztatás kapcsán, ugyanakkor elutasította az adatok törlésére vonatkozó igényt arra tekintettel, hogy az szükséges a véleménynyilvánítás szabadságához és a tájékozódáshoz való jog gyakorlása céljából (17. cikk (3) bek. a) pont). |
További részletek itt (angolul). |
(2020.07.17.) |
500.000 Ft |
|
Elektronikus megfigyelőrendszer munkáltató általi alkalmazásához kapcsolódó feltételek vizsgálata az ebédlőben és egy munkavégzési helyként szolgáló teremben elhelyezett kamerák tekintetében. A határozatban a rögzítés nélküli megfigyelés kapcsán értékelendő szempontokra is kitér a Hatóság. | |
NAIH/2020/193/8. (2020.07.23.) |
600.000 Ft |
|
Ideiglenes lakcím helyesbítésére, illetve törlésére vonatkozó kérelmek teljesítésének elmulasztása. Megfelelő jogalap nélküli adattovábbítás cafeteria biztosítása kapcsán. | |
NAIH/2020/35/3. (2020.07.16.) |
1.000.000 Ft + 500.000 Ft |
|
Követelés behajtásával kapcsolatban történő adatkezeléssel összefüggésben állapított meg jogsértést a Hatóság, különös tekintettel az értékbecsléssel összefüggő adatkezelésre. | |
NAIH/2020/2204/8. (2020.09.03.) |
20.000.000 Ft |
|
Kamerás megfigyeléssel kapcsolatos adatkezelés során az érintetti jogok gyakorlására vonatkozó eljárásrend nem megfelelő kialakítása. | További részletek ebben a posztban. |
(2020.04.27.) |
7.500.000 |
|
Egészségügyi adatokat is tartalmazó online rendszer sérülékenysége kapcsán megállapításra került, hogy az adatkezelő nem alkalmazott megfelelő adatbiztonsági intézkedéseket és az incidenskezelés körében sem járt el megfelelően (különös tekintettel a téves kockázatértékelésre). | |
(2020.07.23.) |
5.000.000 |
|
Pénzügyi közvetítő tevékenység jogellensége: jogalap nélküli adatkezelés, előzetes tájékoztatás hiánya,
adatkezelési nyilvántartás készítésének elmulasztása és adatfeldolgozói szerződés hiánya. |
|
(2020.12.09.) |
20.000.000 + 500.000 (adatfeldolgozó) |
|
Az adatkezelő a honlapja fejlesztéséhez nem kellő gondossággal választott adatfeldolgozót, amely a honlap fejlesztése és tesztelése kapcsán nem járt el megfelelően, így a kialakult sérülékenység közvetlenül hozzájárult az adatvédelmi incidens bekövetkezéséhez. A Hatóság az adatfeldolgozóra is bírságot szabott ki. | |
(2020.10.14.) |
700.000 |
|
Munkahelyen elhelyezett kamerarendszerrel kapcsolatban nem kaptak az érintettek megfelelő tájékoztatást, illetve olyan területek is megfigyelés alá kerülhettek, amelyeken a munkavállalók a pihenőidejüket tölthették. | |
(2020.10.05.) |
600.000 |
|
Lakcímadat módosítására vonatkozó igény teljesítésének elmulasztása, emiatt régi lakcím további kezelése. | |
(2020.08.13.) |
2.000.000 |
|
Engedményezést követően telefonszám és email cím jogalap nélküli kezelése. | |
(2020.08.06.) |
2.000.000 + 2.000.000 |
|
Követelés engedményezésével kapcsolatos adatkezelés, amelynek során több az engedményezési folyamatban részes adatkezelő is mulasztást követett el, többek között a hozzáférési és a tájékoztatási jogok megsértése révén. | |
(2020.12.16.) |
35.000.000 |
|
Babaváró kölcsönnel összefüggésben végzett adatkezelés kapcsán az adatkezelő a várandósgondozási könyvekről történő másolatkészítés révén olyan személyes adatokat, köztük egészségügyi adatokat is kezelt, amelyek az adatkezelés célja szempontjából nem voltak szükségesek és megfelelő jogalappal sem rendelkezett ezek tekintetében. | |
(2020.09.29.) |
60.000.000 |
|
Személyes ügyfélszolgálaton történő ügyintézésekről készített az adatkezelő hangfelvételeket, amelyek kapcsán megfelelő jogalappal nem rendelkezett, illetve megsértette a célhoz kötöttség és adattakarékosság elveit is. | |
(2020.12.10.) |
8.000.000 |
|
Az eljárásban érintett Egyetem a rendszeres szociális ösztöndíj iránti pályázatok benyújtása, valamint azok elbírálása során végzett adatkezelése nem felelt meg a GDPR-ban meghatározott feltételeknek. |