While the amount of administrative fine in the GDPR is only a theoretical maximum, fines imposed in specific cases could serve as important practical compass in several respects: on the one hand, the level of fines is indicative itself, and on the other hand, it is also important for data controllers and processors to see which articles of the GDPR are regularly cited in the decisions, what are the most important criteria that are taken into account by the authorities when deciding on the legal consequences (including fines) in a given case.

Below I collect the decisions of the Hungarian Data Protection Authority (NAIH) imposing fines (published in 2020) and I also indicated the articles of the GDPR that were referred to in the decisions by the authority. The below list is regularly updated. (The list of the GDPR fines imposed in 2019 is available here.) (Last updated: 06.02.2021)

A GDPR-ban szereplő jelentős bírságtételek kapcsán a konkrét ügyekben kiszabott bírságok több szempontból is fontos gyakorlati iránytűként szolgálnak: egyrészt önmagában a bírságok mértéke is jelzésértékű, másrészt fontos kérdés, hogy a hatósági gyakorlatban a GDPR mely cikkei érintettek elsősorban, milyen ügyekben és milyen konkrét mérlegelési szempontok alapján szab ki bírságot a hatóság. 

Az alábbiakban - hasonlóan a 2019-ben megállapított bírságokhoz - a NAIH 2020-ban hozott, adatvédelmi bírságot kiszabó határozatait gyűjtöm össze. A folyamatosan frissülő összeállításból könnyen nyomon követhető, hogy milyen jogsértések miatt, mekkora összegű bírságot határozott meg a Hatóság, illetve, hogy az adott ügyben a GDPR mely cikkeinek való megfelelést vizsgálták. (Utolsó frissítés: 2021.02.06.)

A NAIH újabb 1 millió forintos adatvédelmi bírságot szabott ki jogalap nélküli adatkezelés, illetve a célhoz kötöttség elvének sérelme miatt.

1. Tényállás

A Kérelmező (érintett) a Kérelmezett pénzintézet (adatkezelő) nyilvántartásában egy hitelügyletnél adóstársként került rögzítésre és ezzel összefüggésben az adatai a Központi Hitelinformációs Rendszerbe (KHR) is továbbításra kerültek annak ellenére, hogy az érintett nem volt részese semmilyen kölcsönügyletnek az adott pénzintézettel. A téves adatrögzítést akkor észlelte, amikor egy másik pénzintézettel kötött volna kölcsönszerződést, de ezt az igényét elutasították a KHR-ben szereplő adatokra tekintettel.

Az eljárás során megállapításra került, hogy az érintett korábban folyószámlát vezetett a pénzintézetnél, amely még 2005-ben megszűnt és a pénzintézet az adatait (és a szerződést) a vonatkozó jogszabályi megőrzési időre tekintettel kezelte. Az érintett rögzítésére a KHR-ben tévesen került sor egy hitelszerződéshez kapcsolódóan, amely téves manuális adatrögzítés miatt fordulhatott elő. 

Az érintett 700.000 Ft összegű sérelemdíjat követelt jogellenes adatkezelésre tekintettel a pénzintézettől. A pénzintézet 200.000 Ft összegű kártérítést utalt át az érintett részére.

A GDPR alkalmazandóvá válása óta már számos adatvédelmi bírság kiszabásáról olvashattunk. Egyes országokban viszonylag gyakran nyúlnak a bírságolás eszközéhez (a gyakrabban bírságoló országok listáján találhatjuk pl. Németországot, Spanyolországot, Olaszországot Romániát), más tagállamokban viszont csak néhány alkalommal kellett eddig az adatkezelőknek bírságot fizetniük (az eddig kifejezetten keveset bírságoló országok között szerepel pl. Írország, Horvátország, Finnország, Dánia). 

A Skandináv országok (a szűk értelemben ide tartozó Svédország, Dánia, és Norvégia mellett Finnország, Izland) eddig viszonylag visszafogottan nyúltak a bírságolás eszközéhez. Az elmúlt hónapokban (március-május) Svédországban, Dániában és Finnországban is több ügyben született adatvédelmi bírság (Finnországban első ízben jelent meg bírságolásra vonatkozó döntés májusban, rögtön három különböző esetben), Norvégiában pedig legutóbb február végén került sor bírság megállapítására (két ügyben is). Az alábbiakban röviden ezeket a friss, bírságkiszabással járó eseteket foglalom össze. 

Két friss állásfoglalást tett közzé az adatvédelmi hatóság. Az egyik a kamerafelvételekről készült másolatok kiadásának a kérdésével foglalkozik, a másik pedig a webkamerák működtetésével foglalkozik. A két állásfoglalás főbb megállapításait az alábbiakban foglalom össze.

Az elmúlt időszakban egyre többet olvashatunk, hallhatunk az ún.  ötödik generációs (5G) mobiltechnológiára épülő megoldások megjelenéséről, a kereskedelmi 5G szolgáltatások elindulásáról. Magyarországon a közelmúltban hirdetett eredményt a Nemzeti Média- és Hírközlési Hatóság (NMHH) az 5G-re is használható frekvenciákért megtartott árverésén.   

Az 5G technológia előnyeként különösen azt szokás kiemelni, hogy

• jelentősen nagyobb a letöltési sebesség,
• a válaszadási idő csökken,
• egyszerre sokkal több kapcsolódó eszközt tud kezelni. 

A technológia térnyerése kapcsán számos adatvédelmi és adatbiztonsági kérdés is felmerül, amelyek áttekintésében nyújthat segítséget a spanyol adatvédelmi hatóság (AEPD) frissen (május 13-án) publikált rövid összefoglalója (a spanyol nyelvű verzió elérhető itt).

Az Európai Adatvédelmi Testület múlt heti plenáris ülésén a magyar adatvédelmi hatóság (NAIH) beszámolt a Kormány május 4-én kihirdetett rendeletéről, amely korlátozta az érintetti jogok gyakorlását a koronavírussal összefüggő adatkezelésekkel kapcsolatban (179/2020. (V. 4.) Korm. rendelet). A Testület további tájékozódást tartott szükségesnek a témában, így a soron következő ülésen további részletekről kért tájékoztatást a NAIH-tól.  

A koronavírus miatt bevezetett korlátozó intézkedések lazítása kapcsán számos kérdés merül fel arra vonatkozóan, hogy a lazítás mellett milyen intézkedések bevezetése szükséges és indokolt a vírus terjedésének újbóli jelentős gyorsulásának megelőzése érdekében. Ezek között olyan intézkedések is lehetnek, amelyek adatkezeléssel járnak. Ilyen például a munkahelyi testhőmérséklet ellenőrzés, amellyel a NAIH egy friss állásfoglalásban is foglalkozik.  

Frissítés (2020.10.15.): A NAIH újabb tájékoztatót adott ki a témában, amely az egészségügyi válsághelyzetben bevezetett járványügyi készültség időtartama alatt a testhőmérséklet mérésével összefüggő egyes adatkezelések kérdésével foglalkozik. (Részletek az új tájékoztató kapcsán ebben a posztban olvashatók.)

Az Európai Adatvédelmi Testület két újabb iránymutatást adott ki a koronavírus (COVID-19) járvány kapcsán: (i) egészségügyi adatok kutatási célú kezelése a COVID-19 járvánnyal kapcsolatban (2020/03. sz. iránymutatás); és (ii) a helymeghatározási adatok és a kapcsolatok nyomon követésére szolgáló eszközök alkalmazásáról a COVID-19 járvánnyal összefüggésben (2020/04. sz. iránymutatás).

Az alábbiakban a fenti két iránymutatás legfontosabb megállapításait mutatom be.

Az Apple és a Google április 10-én jelentették be, hogy együttműködnek egy olyan technológiai keretrendszer közös kialakításában, amely alapul szolgálhat a koronavírus terjedésének nyomon követését segítő applikációk fejlesztésében. Az együttműködés jelentőségét az adja, hogy ezzel olyan, az app-ok fejlesztését megkönnyítő keretrendszer alakítható ki, amely elősegíti a sokfelé készülő applikációk interoperabilitását. 

A kezdeményezés révén kialakítandó keretrendszer (Contact Tracing Framework (CTF)) kapcsán a brit adatvédelmi biztos (ICO) április 17-én véleményt bocsátott ki. Az alábbiakban az ICO véleményében szereplő főbb megállapításokat foglalom össze.