GDPR

Adatvédelem mindenkinek / Data protection for everyone

Rekordot döntött a NAIH bírságbevétele 2022-ben

2023. április 05. 11:33 - poklaszlo

Megjelent a NAIH 2022-re vonatkozó beszámolója

Közzétette a Nemzeti Adatvédelmi és Információszabadság Hatóság a 2022. évre vonatkozó éves beszámolóját. Az alábbiakban a beszámoló néhány érdekesebb, adatvédelmet érintő elemét emelem ki. 

1. A számok tükrében

Az adatvédelmi hatósági ügyek száma tovább növekedett, igazodva a GDPR alkalmazandóvá válása óta érvényesülő tendenciához. 2022-ben 591 adatvédelmi hatósági eljárás indult kérelemre, míg hivatalból további 117 eljárás, azaz összesen 708 új adatvédelmi hatósági eljárás indult (283 eljárást pedig az előző évből hozott át a Hatóság). (Az összehasonlítás kedvéért az előző években így alakult a hatósági eljárások száma: 2018: 67, 2019: 276, 2020: 347, 2021: 556). Az adatvédelmi hatósági eljárások döntő többsége a GDPR-ral kapcsolatos témákban indul (az eljárásoknak csak töredéke foglalkozik a bűnüldözési irányelvvel), beleértve az incidensekkel kapcsolatos ügyeket is. 

Az adatvédelmi vizsgálati ügyek száma is növekedett 2021-hez képest, 2022-ben ugyanis 2273 adatvédelmi vizsgálati ügy indult (kérelemre és hivatalból együttesen; 2021-ben 1960 vizsgálat indult). Ezzel az adatvédelmi vizsgálati ügyek száma megközelítette a 2020-as csúcsévet, amikor 2400 vizsgálat indult. 

A hatósági ellenőrzések száma 940 volt 2022-ben, messze meghaladva a 2021-es 630-as ügyszámot.  

A Hatóság 2022. december 31-i munkajogi létszáma 115 fő volt.

A Hatósághoz befolyt bírságösszeg is rekordot döntött az elmúlt évben, ennek összege meghaladta a 387 millió Ft-ot (egész pontosan 387 272 eFt volt, lásd a beszámoló VI.2.4. pontját). A rekordhoz nagymértékben hozzájárult a 250 millió forintos bírság, amelyet ügyfélszolgálati hangfelvételek mesterséges intelligencia alkalmazásával történő elemzésével összefüggésben szabott ki a Hatóság (összehasonlításképpen: 2021-ben 74 364 eFt folyt be a Hatósághoz bírság jogcímén).  A Hatósághoz befolyt bírság a központi költségvetés bevétele. 

2. Kiemelt adatvédelmi tárgyú ügyek

A beszámolóban az alábbi adatvédelmi tárgyú ügyekre tért ki a NAIH: 

  • igazságügyi szakértők adatkezelése (ezen belül két téma érdemelt az előző évekhez képest újdonságként kiemelést: a szakértői vizsgálat során készített hangfelvétellel kapcsolatos érintetti jogok, illetve a magánszakértők tevékenységével kapcsolatos adatkezelés), 
  • országgyűlési választási kampánnyal kapcsolatos adatkezelések tapasztalatai, 
  • kamerás megfigyelések (ez továbbra is slágertéma, az előző beszámolók is részletesen foglalkoztak a témával - lásd pl. a 2020-as beszámoló kapcsán írt összefoglalómat itt, ugyanakkor a Hatóság a korábbi évekhez képest eltérő szempontokat ítélt meg, illetve új értelmezési kérdésekben is határozott, így érdemes a beszámolóban szereplő ügyeket e tekintetben is átböngészni), 
  • örökzöld témaként: a marketing tevékenységgel összefüggő adatkezelések (e körben kiemelhető a 10 millió Ft-os bírsággal zárult, a süti hozzájárulás-kezelő rendszerekkel kapcsolatos adatkezelés vizsgálata, lásd NAIH-3195/2022), 
  • egészségügyi adatkezelések.

A kamerás megfigyelésekkel kapcsolatos ügyek kapcsán érdemes kiemelni, hogy 

  • a Hatóság megállapította, miszerint a létfontosságú érdek jogalap nem alkalmazható a kamerarendszerrel történő megfigyeléssel összefüggő adatkezelésekre (lásd beszámoló 38. o.), 
  • az IP-kamerákból álló kamerarendszer útján történő hangrögzítést jogellenesnek minősítette a NAIH, mivel az adatkezeélés az elérni kívánt céllal nem volt arányos, illetve a kiemelte azt is a Hatóság, hogy a hangrögzítés nem tekinthető általánosan bevett gyakorlatnak vagyonvédelmi kamerás megfigyelések esetében, így az érintettek tájékoztatás hiányában nem is számíthattak arra, hogy a kamerák a képmásuk mellett a hangjukat, a beszélgetéseiket is rögzíti (lásd beszámoló 39. o.), 
  • egy szépségszalonban folytatott kamerás megfigyelés kapcsán kirívó jogellenességet állapított meg a Hatóság és a maga nemében jelentős, 30 millió Ft összegű bírságot szabott ki (lásd beszámoló 41. o., illetve NAIH-2732/2023),
  • előfordult olyan adatkezelői védekezés is, miszerint rögzítés hiányában nem történt adatkezelés, így a Hatóság újra felhívta a figyelmet arra, hogy a rögzítés nélküli kamerás megfigyelés is adatkezelésnek minősül, így arra szükséges alkalmazni az adatvédelmi jogszabályokban meghatározott követelményeket (lásd beszámoló 44. o.).

A GDPR hatálya alá tartozó egyéb fontos ügyek közül az alábbiakat emelte ki a NAIH a beszámolójában (II.1.6. pont): 

  • szakellátott gyermekek pályaalkalmassági/IQ felmérése, 
  • hangfelvétel kezelése gyámhatósági eljárás során, 
  • kereskedelmi üzletlánc adatkezelési gyakorlata alkoholtartalmú ital vásárlásához kapcsolódóan,
  • érintetti jogok biztosításának sérelme a Vakcina-regisztráció lekérdezése (vakcinareg.neak.gov.hu) kapcsán,
  • üzemanyagtöltő állomások forgalmi engedélyen szereplő vonalkód leolvasásához kapcsolódó adatkezelése,
  • személyazonosság igazolásának kötelezettsége gyógyszertárakban,
  • szervezett postapótló szolgáltatás adatvédelmi kérdései,
  • szálláshely szolgáltatók okmánybeolvasáshoz kapcsolódó adatkezelése.

3. A személyes adatok bűnüldözési, honvédelmi, és nemzetbiztonsági célú kezelésével kapcsolatos ügyek 

Az Infotv. hatálya alá tartozó ügyek közül az alábbi témákat tartotta említésre érdemesnek a Hatóság: 

  • a Szitakötő rendszer vizsgálata (a rendszer célja az ország valamennyi településén jelen lévő, egységes központosított rendszerbe szervezett, a közterületeken tartózkodók, a közlekedők, a tömegközlekedési eszközökön utazók és a banki, illetve pénzügyi szolgáltatásokat igénybe vevők intenzív és tömeges megfigyelést lehetővé tevő képi megfigyelő rendszer létrehozása és működtetése volt; a Hatóság arra a megállapításra jutott, hogy "a Hatóság által a jogszabály-előkészítés során megfogalmazott aggályok nem rendeződtek megnyugtatóan", lásd beszámoló 67. o.), 
  • egy büntetőeljárás során a rendőrkapitányság által hozott határozatban szereplő személyes adatok jogszerűtlen kezelése,
  • büntetés-végrehajtási intézetben a fogvatartottról készült pszichológiai vélemények megismerésének kérdése,
  • fogvatartottak egészségügyi személyes adatainak kezelése a büntetés-végrehajtási intézetek által,
  • fogvatartottnak szóló hivatalos irat felbontása büntetés-végrehajtási intézetben,
  • bűnjelek csomagolása,
  • személyes adatok továbbítása, célhoz kötöttség elve,
  • adatkezelési gyakorlat jogszerűségének vizsgálata, adatbiztonsági előírások,
  • kérelem alapján folytatott adatvédelmi hatósági eljárás Pegasus kémszoftverrel történő megfigyeléssel összefüggésben (a Hatóság ezzel kapcsolatos konklúziója: "... a kérelem szerinti eljárást a Hatóság lefolytatta, melynek eredményeként jogellenességet nem tárt fel, ezért a kérelem jogellenes adatkezelés megállapítására vonatkozó részét elutasította és a kérelem érintetti jogok Hatóság közreműködésével történő biztosítására vonatkozó részének helyt adva, a fentiekben kifejtetteknek megfelelően az érintettet arról tájékoztatta, hogy a kérelme tárgyában minden szükséges ellenőrzést elvégezett", lásd beszámoló 88. o.; a NAIH jelentése a Pegasus kapcsán hivatalból indított vizsgálatáról pedig itt érhető el). 

4. Adatvédelmi incidensek

2021-hez képest növekedett a bejelentett incidensek száma, 627 incidenst jelentettek be az adatkezelők a NAIH-nál 2022-ben. 

Forrás: NAIH, 2022. évre vonatkozó éves beszámoló, 88. o.  

Az incidensek kapcsán az informatikai támadások növekvő veszélyére hívja fel a figyelmet a Hatóság: "A beérkezett incidens bejelentések nagyjából 17%-a informatikai rendszer hackelése miatt következett be, míg a zsaroló vírusok miatti támadások az összes bejelentés kb. 9,2%-át, az adathalászatból származó incidensek pedig 9,3 %-át tették ki. A fenti számok jól mutatják azt a trendet, hogy az adatkezelők egyre növekvő számú informatikai támadásnak vannak kitéve, mely az adatbiztonság fontosságára és az adatvédelmi tudatosság fejlesztésének szükségességére hívja fel a figyelmet." (Lásd beszámoló 88. o.)

Az incidensek ágazati megoszlása kapcsán kiemeli a NAIH, hogy a legtöbb incidensbejelentés az egészségügy, illetve a biztosítási és a pénzügyi szektorból érkezik, az összes incidens bejelentés kb. 40%-át adják az ezen ágazatokból érkető bejelentések. 

5. A Hatóság peres ügyei 

2022-ben a Hatóságnak összesen 34 lezárt peres ügye volt. Ebből a Hatóság 19 perben 100%-os pernyertes lett, 3 perben a Hatóság túlnyomórészt pernyertes lett, 4 perben a bíróság már a keresetlevelet visszautasította, 4 peres eljárást a bíróság megszüntetett, és mindösszesen 4 perben lett a NAIH pervesztes. (Lásd beszámoló 182. o.)

Szólj hozzá!
Címkék: statisztika joggyakorlat portfolioblogger Magyarország NAIH HU kamerás megfigyelés Infotv Rendelet adatvédelmi incidens

Ajánlott bejegyzések:

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr3318093898

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása