GDPR

Adatvédelem mindenkinek / Data protection for everyone

20 millió forintos bírság az érintetti jogok gyakorlására kialakított eljárások elégtelensége miatt

2020. október 26. 11:00 - poklaszlo

Egy frissen közzétett határozatában a NAIH 20 millió forintos adatvédelmi bírságot állapított meg, mivel az adatkezelő nem tett megfelelő technikai és szervezési intézkedéseket annak érdekében, hogy az érintettek, a kamerás megfigyeléssel kapcsolatban, megfelelően élhessenek a GDPR-ban biztosított jogaikkal.

Eljárási szempontból is érdekes az ügy, mivel először érintetti bejelentés alapján egyedi ügyben indított vizsgálatot a Hatóság, amelyet a kamerás megfigyeléssel kapcsolatos adatkezelésre kiterjedő hatósági ellenőrzés követett és ennek alapján indult hivatalból hatósági eljárás, amely a bírságot kiszabó határozat meghozatalához vezetett.

1. Tényállás

Az érintett bejelentése szerint az Adatkezelő üzletében történt vásárlás kapcsán az érintett készpénzben fizetett (9.990 Ft-ot) és nem kért (és állítása szerint nem is kapott) visszajárót, de csak később észlelte, hogy nem 10.000 Ft-os, hanem 20.000 Ft-os bankjeggyel fizetett, a blokk szerint ugyanakkor 10.010 Ft visszajárót kapott visszajárót. (A vásárlás egyébként 2018. május 26-án, azaz egyetlen nappal a GDPR alkalmazandóvá válását követően történt!)

Az érintett az Adatkezelőhöz intézett panaszában kérte, hogy megtekinthesse a fizetésről készült kamerafelvételt és kérte azt is, hogy a felvétel ne kerüljön törlésre. Az Adatkezelő arról tájékoztatta az érintettet, hogy a felvételt csak a rendőrség hivatalos megkeresésére tudja kiadni. Az Ügyfél (érintett) 2018. június 25. napján rendőrségi feljelentést tett ismeretlen tettes ellen, azonban a rendőrségi eljárás során a megkeresés idejében a kamerafelvétel már nem állt rendelkezésre.

A fenti egyedi ügyben folytatott vizsgálat alapján feltárt információk alapján a Hatóság hivatalból hatósági ellenőrzést indított arra vonatkozóan, hogy az Adatkezelő az általa alkalmazott adatkezelési gyakorlat során betartja-e az általános adatvédelmi rendeletben foglalt követelményeket.

A hatósági ellenőrzés során a Hatóság megállapította, hogy az Adatkezelő az ország területén széles körben kiterjedten, mind a 129 üzletében kamerákat üzemeltetett. Az Adatkezelő nyilatkozata szerint a hozzáférési jog kezelése nem központi utasítás alapján történt, hanem egy hibás egyéni döntés okozta, mivel a GDPR alkalmazandóvá válásakor, 2018. május 25-én az Adatkezelő még nem rendelkezett a kamerafelvételek tekintetében semmilyen belső adatkezelési szabályzással, így nem volt szabályozva többek között annak módja sem, hogy miként kell kezelni az érintetti kérelmeket. Az Adatkezelő elismerte, hogy nem megfelelően került sor az érintetti kérelem kezelésére.

Az Adatkezelő - mivel azt észlelte, hogy szükség van az üzletekben alkalmazott megfigyelőrendszerek szabályozásának aktualizálására - 2018. június 18. és augusztus 1. napja között valamennyi üzletében lekapcsolta a kamerarendszer képrögzítés funkcióját (azaz csak élőképet lehetett figyelemmel kísérni), amíg a megfelelő szabályozás el nem készül. Az elektronikus megfigyelőrendszerre vonatkozó szabályzata 2019. november 26-án került elfogadásra, amely többek között részletes utasítást is tartalmaz arra vonatkozóan, hogy miként kell kezelni a kamerafelvételekhez való hozzáférésre irányuló érintetti kérelmeket. E naptól rögzítette a Társaság ismét a kamerafelvételeket, amelyeket 7 napig tárol.

Tekintettel arra, hogy a hatósági ellenőrzés során feltárt információk alapján a Hatóság azt valószínűsítette, hogy a Társaság megsértette a GDPR rendelkezéseit, a NAIH hivatalból adatvédelmi hatósági eljárást indított, amely "[...] annak vizsgálatára irányult, hogy a Társaság a vizsgált időszakban az általános adatvédelmi rendeletnek megfelelően kezelte-e a hozzá beérkező érintetti kérelmeket, illetve az érintetti joggyakorlás kezelésére kialakított gyakorlata megfelelt-e az általános adatvédelmi rendeletben foglaltaknak." (Határozat, 4. o.) A Hatóság az eljárásba az eredeti bejelentést tevő érintettet ügyfélként bevonta, mivel az Adatkezelő állítása szerint a vizsgált időszakban más nem élt hasonló joggyakorlás iránti kérelemmel a kamerás megfigyelés kapcsán.

2. A Hatóság megállapításai

2.1. Az egyedi esetben elkövetett jogsértések

A kamerafelvétellel kapcsolatos érintetti kérelem kapcsán az Adatkezelő több mulasztást is elkövetett:

  • egyrészt a kamerafelvételeket az Adatkezelő nem csupán a rendőrség részére köteles átadni, hanem - más hatóságok és bíróságok mellett - a GDPR 15. cikk (3) bekezdése alapján a kamerafelvételen szereplő valamely személy részére is köteles hozzáférést biztosítani a felvétel azon részéhez, amelyen az adott személy szerepe;
  • másrészt az Ügyfél nem az eredeti kamerafelvételt vagy az arról készült másolat kiadását kérte az Adatkezelőtől, hanem azt, hogy a rögzített felvételekbe betekinthessen, az Adatkezelő viszont a felvétel megtekintése és a felvétel kiadása iránti igény közötti különbséget nem ismerte fel, így nem is megfelelően bírálta el a kérelmet (bár az érintettet mindkét jog, azaz a betekintés és a másolat kiadásának joga is megillette volna);
  • harmadrészt az Adatkezelő sem a betekintés megtagadásának tényéről, sem pedig a betekintés megtagadásának indokairól nem adott tájékoztatást.

Annak ellenére tehát, hogy az Adatkezelő határidőben válaszolt az érintetti kérelemre, de válaszában nem indokolta, hogy a felvételekbe való betekintést miért nem engedélyezi, illetve az érintetti joggyakorlást nem megfelelő indokok alapján tagadta meg, így a hozzáférési jog kapcsán megsértette a GDPR 15. cikk (1) bekezdését. Ezen túlmenően a Hatóság megállapította, hogy az érintett hozzáférési kérelmének megtagadása során az Adatkezelő megsértette a GDPR 12. cikk (4) bekezdését is, mivel nem adott a jogorvoslati lehetőségekről tájékoztatást, ez pedig oda vezetett, hogy mire a Hatóság intézkedni tudott volna a kamerafelvétele kapcsán, azok már nem álltak rendelkezésre.

Azzal pedig, hogy az érintett többszöri kérése ellenére, az Adatkezelő nem tett eleget a felvétel megőrzése iránti kötelezettségének (és e tkintetben nem is tájékoztatta megfelelően az érintettet) megsértette - a tájékoztatás elmaradásával - a GDPR 12. cikk (4) bekezdését, valamint - a felvétel törlésével - a GDPR 18. cikk (1) bekezdés c) pontját.

Az adatkezelés korlátozásához való jog kapcsán a Hatóság kiemeli, hogy

[a]z adatkezelés korlátozásához való jog érvényre juttatása különösen fontos lehet egy olyan üzlethelyiségben működtetett kamerarendszer esetén, ahol pénzkezelés történik, ugyanis mind a vásárló, mind az eladó oldalán felmerülhet a felvétel eljárásban való felhasználása iránti igény, ha egy vitás helyzetet nem tudnak eldönteni. A felvételek rendelkezésre állása nélkül károsodhat mindkét fél, ugyanis egyedül a kamerafelvétel birtokában lehet bizonyítani, hogy a vásárló mekkora összeget fizetett ki, illetve az eladó mekkora összeget vett át, így előfordulhat, hogy az eladó rosszul ad vissza a vásárlónak, így vagy hiány keletkezik a kasszában, vagy a vásárló több pénzt fizet ki a termékért, mint amennyibe az valójában kerülne. (Határozat, 9. o.)

2.2. Az Adatkezelő kamerafelvételek kezelésére és a kapcsolódó érintetti joggyakorlásokra vonatkozó gyakorlata

A Hatóság két időszakot vizsgált, egyrészt a 2018. május 25-től augusztus 1-ig tartó, másrészt a 2019. november 26-át követő időszakot.

Az első időszak (2018. május 25. - 2018. augusztus 1.) kapcsán kiemelte:

  • fogyasztóvédelmi panaszként kezelték a bejelentést, az Adatkezelőnél, bár több kézen átmenet a panasz, mégsem észlelték, hogy a kérelem adatvédelmi tárgyú;
  • a Társaság ezen időszakban a kamerafelvételek tekintetében adatvédelmi szabályozással egyáltalán nem rendelkezett, így akár az is előfordulhatott, hogy több adatvédelmi tárgyú kérelem is érkezett, de azokat nem azonosították adatvédelmi tárgyú beadványként (ezt mutatja az is, hogy bár a beérkező panaszokról több, különböző nyilvántartást vezetett a Társaság, de egyikből sem derül ki, hogy az adott kérelem esetleg adatvédelmi tárgyú lehet-e);
  • figyelemmel a GDPR 24. cikkére és a - beépített és alapértelmezett adatvédelem elveit rögzítő - 25. cikkre, "a Társaságnak már a kamerás adatkezelés tervezése, kialakítása során – azaz még a kamerák üzembe helyezése előtt – meg kellett volna hoznia azokat a szervezési, illetve technikai intézkedéseket, amelyek az érintettek GDPR III. fejezetében szereplő jogait biztosítani tudják" (Határozat, 10. o.), ennek körébe tartozik különösen
    1. érintetti jogok kezelésére vonatkozó belső eljárásrend kialakítása (érintetti kérelmeket kezelő személy kijelölése, kérelmek fogadására alkalmas csatornák kialakítása, szükség esetén adatvédelmi tisztviselő kijelölése, a joggyakorlás szabályainak kialakítása, adatbiztonsági intézkedések bevezetése, nyilvántartásvezetés),
    2. az érintettek megfelelő tájékoztatási gyakorlatának kialakítása,
    3. megfelelő oktatás a munkatársak számára az adatkezelés kapcsán (pl. arról, hogy "milyen érintetti kérelmek fordulhatnak elő, hogyan lehet felismerni és elkülöníteni e kérelmeket az egyéb beadványoktól, panaszoktól, hogyan kell kezelni e kérelmeket, a Társaságon belül mely szervezeti egységhez kell továbbítani e kérelmeket", lásd Határozat, 10. o.).  
  • A fentieknek megfelelő intézkedések elmaradása oda vezetett, hogy az Adatkezelő a vizsgált időszakban a kamerás adatkezeléshez kapcsolódó érintetti joggyakorlás tekintetében semmilyen szervezési és technikai intézkedéseket nem hozott, ezzel megsértette a GDPR 25. cikk (1) bekezdését (alapértelmezett adatvédelem elve).

A második időszak (2019. november 26., azaz a vonatkozó szabályzat elfogadását követően) kapcsán kiemelte:

  • a Szabályzat korlátozza a másolat kiadásának jogát (GDPR 15. cikk (3) bekezdés), mivel  csak abban az esetben adható ki a felvétel másolata az érintett részére, ha azon az érintetten kívül más személy nem szerepel, ellenkező esetben, kizárólag a Társaság székhelyén történő megtekintésre van lehetőség, ugyanakkor - a Hatóság álláspontja szerint - "[...] a GDPR 15. cikk (4) bekezdését nem úgy kell biztosítania, hogy – a felvételen szereplő más személyek esetén – az érintett részére egyáltalán nem adja ki az általa kért kamerafelvétel másolatát, hanem megfelelő technikai intézkedésekkel (pl. maszkolással) kell a Társaságnak garantálnia, hogy a felvételen szereplő egyéb személyek jogai ne sérüljenek, miközben az érintett hozzáférési kérelmét teljesíti" (Határozat, 11. o.),
  • a Szabályzatból az olvasható ki, hogy a felvételek megtekintésére kizárólag akkor van lehetőség, ha azon más személy is szerepel (tehát, ha csak az érintett látszik a felvételen, akkor nem), így a betekintés joga is korlátozott,
  • összességében tehát "[…] nem megfelelő az a gyakorlat, ha az egyik (felvétel megtekintése) gyakorlására akkor van lehetőség, ha a másik (felvételről készült másolat kiadása) nem teljesíthető, hanem az érintett kérelmét a kérelem tartalma szerint kell teljesíteni, akár a felvételről készült másolat kiadását kéri, akár a felvételt megtekinteni szeretné" (Határozat, 12. o.).

  • A Hatóság megállapította, hogy "[...] a Társaság adatkezelési szabályozásának kialakítása során olyan szervezési intézkedéseket hozott, amelyek nem biztosítják az érintettek hozzáférési jogát a GDPR 15. cikk (1) és (3) bekezdésében előírt feltételek szerint, ezáltal a Társaság megsértette a GDPR 25. cikk (1) bekezdését." (Határozat, 12. o.) ű

  • Az adatkezelés korlátozásához való jog kapcsán pedig azt állapította meg a Hatóság, hogy a szabályzat előírása, miszerint „azon érintett, akinek jogát vagy jogos érdekét a képfelvétel rögzítése érinti, jogának vagy jogos érdekének igazolásával kérheti, hogy a felvételt az adatkezelő ne semmisítse meg, illetve ne törölje a bíróság vagy hatóság megkereséséig, de legfeljebb 30 napra” jogkorlátozó, így ez nem biztosítja az érintettek adatkezelés korlátozásához fűződő jogát a GDPR 18. cikke által előírt feltételek szerint, ezáltal szintén megsértve a GDPR 25. cikk (1) bekezdését.

3. A bírság

A NAIH 20 millió Ft összegű bírságot szabott ki az Adatkezelőre, mivel egyrészt az Adatkezelő "[...] 2019. november 26. napjáig – a kamerafelvételek tekintetében – semmilyen adatvédelmi szabályozással nem rendelkezett, azaz nem hozta meg a szükséges szervezési intézkedéseket annak érdekében, hogy az érintettek joggyakorlása a GDPR előírásai szerint biztosított legyen, amely azt eredményezte, hogy a Kötelezett megsértette az Ügyfél hozzáféréshez való, illetve az adatkezelés korlátozásához fűződő jogát" (Határozat, 13. o.), másrészt a 2019. november 26. napján megalkotott adatkezelési szabályozása aránytalanul korlátozza az érintettek hozzáféréshez, illetve az adatkezelés korlátozásához való jogát.

A Hatóság súlyosító körülményként vette figyelembe:

  • az Ügyfél érintetti kérelmének nem megfelelő kezelésére azért került sor, mert az Adatkezelő egyáltalán nem rendelkezett adatvédelmi szabályozással az általa üzemeltetett kamerarendszer tekintetében, így az Adatkezelő által elkövetett jogsértés ezek alapján súlyosan gondatlanul elkövetett jogsértésnek minősül [GDPR 83. cikk (2) bekezdés b) pont];
  • a 2019. november 26-a óta érvényben lévő szabályozásban szereplő intézkedések aránytalanul akadályozzák az érintettek hozzáférési, illetve adatkezelés korlátozásához való jogát [GDPR 83. cikk (2) bekezdés a) pont];
  • a szükséges intézkedések meghozatala az Adatkezelő feladata lett volna, így az adatkezelő teljes mértékben felelős mind az Ügyfél tekintetében elkövetett jogsértésért, mind pedig az azóta is fennálló jogkorlátozó gyakorlat kialakításáért [GDPR 83. cikk (2) bekezdés d) pont];
  • a Kötelezettet rendkívül súlyos gondatlanság terheli a vizsgált adatkezelés kapcsán amiatt is, hogy annak ellenére, hogy az üzletei nagyobb száma miatt nagyságrendekkel nagyobb számú érintetti joggyakorlás iránti kérelemre kellett volna felkészülnie, a szervezési intézkedései még az ilyen kérelmek azonosítására és kezelésére sem voltak alkalmasak, és így alappal feltételezhető, hogy nemcsak a vizsgált konkrét esetben, hanem máskor sem került sor megfelelően a hozzáférési jog megfelelő biztosítására [GDPR 83. cikk (2) bekezdés b) pont].

 Enyhítő körülmények:

  • az Adatkezelő a kár enyhítésére 30.000 Ft-ot ajánlott fel az érintettnek [GDPR 83. cikk (2) bekezdés c) pont];
  • az Adatkezelő már a hatósági ellenőrzés lefolytatása alatt jogszerű adatkezelést elősegítő intézkedéseket hozott [GDPR 83. cikk (2) bekezdés f) pont];
  • az Adatkezelő olyan mértékben eleget tett a Hatóság felé fennálló együttműködési kötelezettségének, hogy a jogsértés elkövetését maga is beismerte [GDPR 83. cikk (2) bekezdés f) pont].

Egyéb értékelt tényezők:

  • a vizsgált időszakban az Adatkezelő egyetlen érintetti kérelmet azonosított, így nyilatkozata szerint egyetlen alkalommal követett el jogsértést az érintetti kérelmek kezelése során, azonban a Hatóság az Adatkezelő e nyilatkozatát nem fogadta el [GDPR 83. cikk (2) bekezdés k) pont];
  • az adatkezelés nem érintette a személyes adatok különleges kategóriáit [GDPR 83. cikk (2) bekezdés g) pont];
  • a kiszabott bírság akkor képes elérni célját, ha annak összege – az Adatkezelő értékesítési árbevételéhez is viszonyítva – érezhető mértékű;
  • az Adatkezelő – legutoljára közzétett – 2018. évi beszámolója szerinti az értékesítés nettó árbevétele 33 645 000 000 forint volt, a kiszabott adatvédelmi bírság összege a Kérelmezett értékesítési nettó árbevételének 0,0594%-a.

A GDPR 83. cikk (2) bekezdés e), h), i) és j) pontja szerinti körülmények a konkrét ügy kapcsán nem alkalmazandók. A NAIH továbbá "[...] a bírságkiszabás során nem tartotta relevánsnak azt, hogy a vizsgált adatkezelési gyakorlatra „nem központi utasításra”, hanem egy „hibás egyéni döntés” következtében került sor, mivel a Hatóság álláspontja szerint ebben az esetben is a Kötelezett viseli a felelősséget" (Határozat, 14. o.). 

Szólj hozzá!
Címkék: bírság portfolioblogger Magyarország NAIH HU hatósági ellenőrzés kamerás megfigyelés beépített és alapértelmezett adatvédelem érintetti jogok hozzáférési jog adatkezelés korlátozásához való jog

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr4616255150

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása