A közelmúltban a NAIH több olyan határozatot is közzétett, amelyek segítséget nyújthatnak a hozzáférési jog terjedelmének értelmezése kapcsán. A gyakorlatban az adatkezelőknek számos esetben nehézséget jelenthet, hogy az érintetti kérelmek gyakorlása kapcsán úgy tegyenek eleget az igényeknek, hogy ezzel az adatkezelő érdekei ne sérüljenek (pl. üzleti titkok védelme), illetve a kérelmek teljesítése a személyes adatnak minősülő adatok kiadására korlátozódjon és ne terjedjen ki olyan információkra, adatokra, amelyek már nem tárgyai a hozzáférési jognak (mert pl. az érintettel nem hozhatók kapcsolatba, így nem minősülnek személyes adatnak). Az alábbiakban a NAIH frissen közzétett határozatainak legfontosabb pontjait tekintem át.    

(A témával korábban is foglalkoztam, bemutatva a NAIH és külföldi hatóságok, illetve bíróságok alakuló gyakorlatát.)

Az Európai Bizottság februárban tette közzé az adatstratégiáját, amely az európai adatökoszisztéma keretei fejlesztésének és versenyképességének tervét rajzolja fel, hangsúlyozva az európai értékek kiemelt szerepét és védelmét az adatokra épülő világban. 

Az adatstratégia számba veszi a leküzdendő főbb problémákat, kihívásokat, és ezek között kiemelt szerepet kapnak, többek között, az alábbiak:

• az adatok hozzáférhetősége, 
• erőegyensúly hiánya a releváns piacokon (lásd pl. felhőszolgáltatásokat), 
• az interoperabilitás hiánya, az adatok minőségével kapcsolatos problémák,
• az EU technológiai függősége.

A stratégia alapján ahhoz, hogy Európa versenyképes adatgazdaságot építhessen, erősítenie kell a technológiai- és adatszuverenitását is, hiszen jelenleg mind az infrastruktúra, mind a feldolgozható adatokhoz történő hozzáférés terén Európa lépéshátrányban van a versenytársaival szemben. 

A NAIH 300.000 Ft összegű adatvédelmi bírságot szabott ki a pontosság elvének megsértése és jogalap nélküli adatkezelés miatt egy követeléskezeléssel összefüggő adatkezelés vizsgálata kapcsán (NAIH/2020/2555). 

A NAIH egy frissen közzétett határozatában 500.000 Ft összegű bírságot állapított meg adatbiztonsági hiányosságok és az incidensek bejelentésével kapcsolatos belső szabályozási mulasztások miatt. Az eset külön érdekessége, hogy az eljárás közérdekű bejelentésre indult, miután a bejelentő egy személyes adatokat is tartalmazó listát

ingatlanjának kertjében szedte össze […] a szél által odafújt egyéb papírszemetekkel együtt. A megtalált listát a beadványozó eredetben továbbította a Hatóság részére.(Határozat, 2.o.)

While the amount of administrative fine in the GDPR is only a theoretical maximum, fines imposed in specific cases could serve as important practical compass in several respects: on the one hand, the level of fines is indicative itself, and on the other hand, it is also important for data controllers and processors to see which articles of the GDPR are regularly cited in the decisions, what are the most important criteria that are taken into account by the authorities when deciding on the legal consequences (including fines) in a given case.

Below I collect the decisions of the Hungarian Data Protection Authority (NAIH) imposing fines (published in 2020) and I also indicated the articles of the GDPR that were referred to in the decisions by the authority. The below list is regularly updated. (The list of the GDPR fines imposed in 2019 is available here.) (Last updated: 06.02.2021)

A GDPR-ban szereplő jelentős bírságtételek kapcsán a konkrét ügyekben kiszabott bírságok több szempontból is fontos gyakorlati iránytűként szolgálnak: egyrészt önmagában a bírságok mértéke is jelzésértékű, másrészt fontos kérdés, hogy a hatósági gyakorlatban a GDPR mely cikkei érintettek elsősorban, milyen ügyekben és milyen konkrét mérlegelési szempontok alapján szab ki bírságot a hatóság. 

Az alábbiakban - hasonlóan a 2019-ben megállapított bírságokhoz - a NAIH 2020-ban hozott, adatvédelmi bírságot kiszabó határozatait gyűjtöm össze. A folyamatosan frissülő összeállításból könnyen nyomon követhető, hogy milyen jogsértések miatt, mekkora összegű bírságot határozott meg a Hatóság, illetve, hogy az adott ügyben a GDPR mely cikkeinek való megfelelést vizsgálták. (Utolsó frissítés: 2021.02.06.)

A NAIH újabb 1 millió forintos adatvédelmi bírságot szabott ki jogalap nélküli adatkezelés, illetve a célhoz kötöttség elvének sérelme miatt.

1. Tényállás

A Kérelmező (érintett) a Kérelmezett pénzintézet (adatkezelő) nyilvántartásában egy hitelügyletnél adóstársként került rögzítésre és ezzel összefüggésben az adatai a Központi Hitelinformációs Rendszerbe (KHR) is továbbításra kerültek annak ellenére, hogy az érintett nem volt részese semmilyen kölcsönügyletnek az adott pénzintézettel. A téves adatrögzítést akkor észlelte, amikor egy másik pénzintézettel kötött volna kölcsönszerződést, de ezt az igényét elutasították a KHR-ben szereplő adatokra tekintettel.

Az eljárás során megállapításra került, hogy az érintett korábban folyószámlát vezetett a pénzintézetnél, amely még 2005-ben megszűnt és a pénzintézet az adatait (és a szerződést) a vonatkozó jogszabályi megőrzési időre tekintettel kezelte. Az érintett rögzítésére a KHR-ben tévesen került sor egy hitelszerződéshez kapcsolódóan, amely téves manuális adatrögzítés miatt fordulhatott elő. 

Az érintett 700.000 Ft összegű sérelemdíjat követelt jogellenes adatkezelésre tekintettel a pénzintézettől. A pénzintézet 200.000 Ft összegű kártérítést utalt át az érintett részére.

A GDPR alkalmazandóvá válása óta már számos adatvédelmi bírság kiszabásáról olvashattunk. Egyes országokban viszonylag gyakran nyúlnak a bírságolás eszközéhez (a gyakrabban bírságoló országok listáján találhatjuk pl. Németországot, Spanyolországot, Olaszországot Romániát), más tagállamokban viszont csak néhány alkalommal kellett eddig az adatkezelőknek bírságot fizetniük (az eddig kifejezetten keveset bírságoló országok között szerepel pl. Írország, Horvátország, Finnország, Dánia). 

A Skandináv országok (a szűk értelemben ide tartozó Svédország, Dánia, és Norvégia mellett Finnország, Izland) eddig viszonylag visszafogottan nyúltak a bírságolás eszközéhez. Az elmúlt hónapokban (március-május) Svédországban, Dániában és Finnországban is több ügyben született adatvédelmi bírság (Finnországban első ízben jelent meg bírságolásra vonatkozó döntés májusban, rögtön három különböző esetben), Norvégiában pedig legutóbb február végén került sor bírság megállapítására (két ügyben is). Az alábbiakban röviden ezeket a friss, bírságkiszabással járó eseteket foglalom össze. 

Két friss állásfoglalást tett közzé az adatvédelmi hatóság. Az egyik a kamerafelvételekről készült másolatok kiadásának a kérdésével foglalkozik, a másik pedig a webkamerák működtetésével foglalkozik. A két állásfoglalás főbb megállapításait az alábbiakban foglalom össze.

Az elmúlt időszakban egyre többet olvashatunk, hallhatunk az ún.  ötödik generációs (5G) mobiltechnológiára épülő megoldások megjelenéséről, a kereskedelmi 5G szolgáltatások elindulásáról. Magyarországon a közelmúltban hirdetett eredményt a Nemzeti Média- és Hírközlési Hatóság (NMHH) az 5G-re is használható frekvenciákért megtartott árverésén.   

Az 5G technológia előnyeként különösen azt szokás kiemelni, hogy

• jelentősen nagyobb a letöltési sebesség,
• a válaszadási idő csökken,
• egyszerre sokkal több kapcsolódó eszközt tud kezelni. 

A technológia térnyerése kapcsán számos adatvédelmi és adatbiztonsági kérdés is felmerül, amelyek áttekintésében nyújthat segítséget a spanyol adatvédelmi hatóság (AEPD) frissen (május 13-án) publikált rövid összefoglalója (a spanyol nyelvű verzió elérhető itt).