Június elején tette közzé a NAIH az első 100 millió forintos adatvédelmi bírságot kiszabó határozatát. A bírság az eddig Magyarországon kiszabott adatvédelmi bírságokhoz képest jóval magasabb összegű volt (korábban kiszabott legmagasabb összegű bírság 30 millió forintot tett ki), így önmagában a bírság összege is figyelemre méltó, ugyanakkor ezen túlmenően is számos fontos megállapítást tartalmaz a határozat, amelyekből néhányat az alábbiakban mutatok be.

(A határozattal szemben bírósági jogorvoslatnak van helye.)

1. Tényállás

Az ügy előzményeként egy adatvédelmi incidens szolgált, amelynek során egy honlapon keresztül kihasználható sérülékenységet fedezett fel egy támadó (hacker), aki jelezte a hibát az adatkezelőnek és a hozzáféréssel érintett, személyes adatokat tartalmazó adatbázis egy sorát is rögzítette annak bizonyítékaként, hogy a sérülékenység kihasználásával személyes adatok váltak hozzáférhetővé.

A sérülékenység kihasználásával egyrészt olyan korábban hibajavításhoz létrehozott tesztadatbázis történt hozzáférés, amelynek a törlésére a hibajavítás befejezését követően nem került sor. Az adatbázis ügyfelek személyes adatát tartalmazta. Ezen túlmenően a hozzáférés lehetővé vált hírlevél feliratkozók adatbázisához, illetve főadminisztrátori adatokhoz is. Az adatbázisok tekintetében titkosítás alkalmazására nem került sor.   

A Hatóság megállapítása szerint hosszú ideje ismert sérülékenységről volt szó, amelyre vonatkozóan a piacon elérhető volt javítás, de az adatkezelő a sérülékenység javítását elmulasztotta.

At the beginning of June, the Hungarian DPA published a decision imposing an administrative fine of HUF 100 million (approx. EUR 290,000) under the GDPR. The fine was much higher than the data protection fines imposed in Hungary so far (the highest amount of fines previously imposed was HUF 30 million). The amount of the fine is remarkable; however, the decision also contains several important findings, some of which are discussed below. (The decision is still subject to judicial review.)

1. Background of the case

The case was initiated following a data breach, in which a hacker discovered a vulnerability through the controller’s website, who reported the error to the data controller and recorded a line of the accessed database containing personal data to prove that through the vulnerability, access to personal data was possible.

One of the databases affected by the data breach was a test database that was previously created for bug fixes and that was not erased after the bug fixing was completed. The database contained personal data of customers. In addition, access to databases of newsletter subscribers and website administrators’ data were possible. No encryption was applied to the databases.

The Authority found that the vulnerability was known for a long time and an update was available on the market that could have been used to fix the vulnerability, but the controller failed to use this update to fix the vulnerability. (The update was not part of an official software update package but still it was easily accessible.)

A közelmúltban a NAIH több olyan határozatot is közzétett, amelyek segítséget nyújthatnak a hozzáférési jog terjedelmének értelmezése kapcsán. A gyakorlatban az adatkezelőknek számos esetben nehézséget jelenthet, hogy az érintetti kérelmek gyakorlása kapcsán úgy tegyenek eleget az igényeknek, hogy ezzel az adatkezelő érdekei ne sérüljenek (pl. üzleti titkok védelme), illetve a kérelmek teljesítése a személyes adatnak minősülő adatok kiadására korlátozódjon és ne terjedjen ki olyan információkra, adatokra, amelyek már nem tárgyai a hozzáférési jognak (mert pl. az érintettel nem hozhatók kapcsolatba, így nem minősülnek személyes adatnak). Az alábbiakban a NAIH frissen közzétett határozatainak legfontosabb pontjait tekintem át.    

(A témával korábban is foglalkoztam, bemutatva a NAIH és külföldi hatóságok, illetve bíróságok alakuló gyakorlatát.)

Az Európai Bizottság februárban tette közzé az adatstratégiáját, amely az európai adatökoszisztéma keretei fejlesztésének és versenyképességének tervét rajzolja fel, hangsúlyozva az európai értékek kiemelt szerepét és védelmét az adatokra épülő világban. 

Az adatstratégia számba veszi a leküzdendő főbb problémákat, kihívásokat, és ezek között kiemelt szerepet kapnak, többek között, az alábbiak:

• az adatok hozzáférhetősége, 
• erőegyensúly hiánya a releváns piacokon (lásd pl. felhőszolgáltatásokat), 
• az interoperabilitás hiánya, az adatok minőségével kapcsolatos problémák,
• az EU technológiai függősége.

A stratégia alapján ahhoz, hogy Európa versenyképes adatgazdaságot építhessen, erősítenie kell a technológiai- és adatszuverenitását is, hiszen jelenleg mind az infrastruktúra, mind a feldolgozható adatokhoz történő hozzáférés terén Európa lépéshátrányban van a versenytársaival szemben. 

A NAIH 300.000 Ft összegű adatvédelmi bírságot szabott ki a pontosság elvének megsértése és jogalap nélküli adatkezelés miatt egy követeléskezeléssel összefüggő adatkezelés vizsgálata kapcsán (NAIH/2020/2555). 

A NAIH egy frissen közzétett határozatában 500.000 Ft összegű bírságot állapított meg adatbiztonsági hiányosságok és az incidensek bejelentésével kapcsolatos belső szabályozási mulasztások miatt. Az eset külön érdekessége, hogy az eljárás közérdekű bejelentésre indult, miután a bejelentő egy személyes adatokat is tartalmazó listát

ingatlanjának kertjében szedte össze […] a szél által odafújt egyéb papírszemetekkel együtt. A megtalált listát a beadványozó eredetben továbbította a Hatóság részére.(Határozat, 2.o.)

While the amount of administrative fine in the GDPR is only a theoretical maximum, fines imposed in specific cases could serve as important practical compass in several respects: on the one hand, the level of fines is indicative itself, and on the other hand, it is also important for data controllers and processors to see which articles of the GDPR are regularly cited in the decisions, what are the most important criteria that are taken into account by the authorities when deciding on the legal consequences (including fines) in a given case.

Below I collect the decisions of the Hungarian Data Protection Authority (NAIH) imposing fines (published in 2020) and I also indicated the articles of the GDPR that were referred to in the decisions by the authority. The below list is regularly updated. (The list of the GDPR fines imposed in 2019 is available here.) (Last updated: 06.02.2021)

A GDPR-ban szereplő jelentős bírságtételek kapcsán a konkrét ügyekben kiszabott bírságok több szempontból is fontos gyakorlati iránytűként szolgálnak: egyrészt önmagában a bírságok mértéke is jelzésértékű, másrészt fontos kérdés, hogy a hatósági gyakorlatban a GDPR mely cikkei érintettek elsősorban, milyen ügyekben és milyen konkrét mérlegelési szempontok alapján szab ki bírságot a hatóság. 

Az alábbiakban - hasonlóan a 2019-ben megállapított bírságokhoz - a NAIH 2020-ban hozott, adatvédelmi bírságot kiszabó határozatait gyűjtöm össze. A folyamatosan frissülő összeállításból könnyen nyomon követhető, hogy milyen jogsértések miatt, mekkora összegű bírságot határozott meg a Hatóság, illetve, hogy az adott ügyben a GDPR mely cikkeinek való megfelelést vizsgálták. (Utolsó frissítés: 2021.02.06.)

A NAIH újabb 1 millió forintos adatvédelmi bírságot szabott ki jogalap nélküli adatkezelés, illetve a célhoz kötöttség elvének sérelme miatt.

1. Tényállás

A Kérelmező (érintett) a Kérelmezett pénzintézet (adatkezelő) nyilvántartásában egy hitelügyletnél adóstársként került rögzítésre és ezzel összefüggésben az adatai a Központi Hitelinformációs Rendszerbe (KHR) is továbbításra kerültek annak ellenére, hogy az érintett nem volt részese semmilyen kölcsönügyletnek az adott pénzintézettel. A téves adatrögzítést akkor észlelte, amikor egy másik pénzintézettel kötött volna kölcsönszerződést, de ezt az igényét elutasították a KHR-ben szereplő adatokra tekintettel.

Az eljárás során megállapításra került, hogy az érintett korábban folyószámlát vezetett a pénzintézetnél, amely még 2005-ben megszűnt és a pénzintézet az adatait (és a szerződést) a vonatkozó jogszabályi megőrzési időre tekintettel kezelte. Az érintett rögzítésére a KHR-ben tévesen került sor egy hitelszerződéshez kapcsolódóan, amely téves manuális adatrögzítés miatt fordulhatott elő. 

Az érintett 700.000 Ft összegű sérelemdíjat követelt jogellenes adatkezelésre tekintettel a pénzintézettől. A pénzintézet 200.000 Ft összegű kártérítést utalt át az érintett részére.

A GDPR alkalmazandóvá válása óta már számos adatvédelmi bírság kiszabásáról olvashattunk. Egyes országokban viszonylag gyakran nyúlnak a bírságolás eszközéhez (a gyakrabban bírságoló országok listáján találhatjuk pl. Németországot, Spanyolországot, Olaszországot Romániát), más tagállamokban viszont csak néhány alkalommal kellett eddig az adatkezelőknek bírságot fizetniük (az eddig kifejezetten keveset bírságoló országok között szerepel pl. Írország, Horvátország, Finnország, Dánia). 

A Skandináv országok (a szűk értelemben ide tartozó Svédország, Dánia, és Norvégia mellett Finnország, Izland) eddig viszonylag visszafogottan nyúltak a bírságolás eszközéhez. Az elmúlt hónapokban (március-május) Svédországban, Dániában és Finnországban is több ügyben született adatvédelmi bírság (Finnországban első ízben jelent meg bírságolásra vonatkozó döntés májusban, rögtön három különböző esetben), Norvégiában pedig legutóbb február végén került sor bírság megállapítására (két ügyben is). Az alábbiakban röviden ezeket a friss, bírságkiszabással járó eseteket foglalom össze.