Hazai GDPR bírságok – 1. rész
A Hazai GDPR bírságok elnevezésű cikksorozatunkban összegyűjtjük és ismertetjük a Nemzeti Adatvédelmi és Információszabadság Hatóság által nyilvánosságra hozott, már a GDPR alapján kiszabott adatvédelmi bírságokkal kapcsolatos határozatokat. Cikkünkben részletesen bemutatjuk, miért szabott ki pénzbüntetést a NAIH, és hogy miképp folyt a vizsgálat.
A NAIH által hozott határozat szerint az Érintett 2018. augusztus 27-én fordult panasszal az Adatvédelmi Hatósághoz. A bejelentő panaszában azt sérelmezte, hogy az Adatkezelő nem adja ki neki, valamint nem zárolja azokat a kameraképeket, amelyeken ő maga is szerepel, holott ehhez joga lett volna.
A kérelmező kérelmében kifejtette, hogy a felvételek zárolása, illetve a másolatok kiadása számára jogi eljárás lefolytatásához szükségesek, azaz jogi érdeke fűződik hozzá.
Az Adatkezelő hibásan hivatkozott az Szvtv. 31. (6) bekezdésére. (2019. április 26.-tól hatálytalan) A hatóság álláspontja szerint az Szvtv. szabályait a GDPR-ra tekintettel kell értelmezni, amely alapján bár az Adatkezelő jogos érdekét érinti a kamerafelvétel, azonban a GDPR a hozzáférési jog, valamint az adatkezelés korlátozásához való jog gyakorlására vonatkozó rendelkezései szerint nem támaszt feltételeket ahhoz, hogy az érintett ezen jogait gyakorolhassa.
Az Adatkezelő az érintett jogos érdekének igazolásához kötötte a kamerafelvételekbe való betekintés biztosítását, holott a GDPR 12. cikkének (5) bekezdése alapján a hozzáférési jog gyakorlása csak akkor tagadható meg, ha a kérelem egyértelműen megalapozottan túlzó. Erre azonban a vállalkozás az eljárás során nem hivatkozott sem az Érintettnek, sem a NAIH-nak adott válaszában.
A NAIH megállapított, hogy az Adatkezelő megsértette:
- A GDPR 15. cikkét, mert nem biztosított a Kérelmező számára betekintést a kamerafelvételekbe, és nem bocsátotta rendelkezésére a kamerafelvételekről készült másolatot.
- A GDPR 18. cikk (1) bekezdésének c) pontját, mert a zárolási kérelem megtagadásával megsértette a Kérelmező adatkezelés zárolásához való jogát.
- A GDPR 12. cikkének (4) bekezdését, mert a kérelem elutasítása során nem tájékoztatta a Kérelmezőt a jogorvoslati lehetőségekről.
A Hatóság az Infotv 61. § (1) bekezdés a) pontja alapján úgy döntött, hogy az Adatkezelőt 1.000.000 forint adatvédelmi bírság megfizetésére kötelezi.
Az Adatvédelmi Hattóság a bírság megállapítása során figyelembe vette:
- A jogsértés jellegét, mivel az a Kérelmező érintetti jogainak sérelmével járt;
- A Kérelmező adatkezelés korlátozása iránti kérelme teljesítésének megtagadása eredményeként a Kötelezett törölte a kamerafelvételeket, melyek nem helyreállíthatók;
- A kötelezett első alkalommal követte el a meghatározott jogsértéseket;
- A Szvtv. jelen ügyben releváns szabályai még hatályosak, azonban nincsenek összhangban a GDPR-ral, és ez félrevezethette a Kötelezettet a Kérelmező kérelmének elbírálása során.
