Hazai GDPR bírságok – 2. rész

A Hatóság a NAIH/2019/596 számú határozatában megállapította, hogy az Adatkezelő jogellenesen járt el, mivel jogalap nélkül adta át, továbbította az érintett személyes adatait tartalmazó közérdekű bejelentését harmadik személy részére, aki így jogosulatlanul hozzáfért azokhoz. 

A Hatóság a fentiekre tekintettel 

• 1 millió Ft összegű adatvédelmi bírságot szabott ki, és
• elrendelte a végleges határozatnak az adatkezelő azonosító adatainak közzétételével történő nyilvánosságra hozatalát.  

A Határozat kötelezettje (Adatkezelő) a Kecskemét Megyei Jogú Város Polgármesteri Hivatala volt, amely egy incidensbejelentés kapcsán lefolytatott eljárás eredményeként kapott bírságot. 

A közérdekű bejelentés az Önkormányzat által alapított és felügyelt intézmény működésére vonatkozott. Az érintett az intézmény alkalmazottja volt a bejelentés időpontjában. A bejelentés kivizsgálása során, az intézmény vezetője további információként kérte a közérdekű bejelentés teljes tartalmának rendelkezésére bocsátását, amelynek az adatkezelő üggyel foglalkozó munkatársa eleget is tett, vagyis a személyes adatokat tartalmazó dokumentumot – az érintett közérdekű bejelentését – teljes terjedelmében, anonimizálás nélkül megküldte az intézménynek, amely egyébként az érintett munkáltatója, és egyben a közérdekű bejelentésben kezdeményezett eljárás tárgya is volt. Ezt követően az érintett közalkalmazotti jogviszonyát rendkívüli felmentéssel megszüntette a bejelentéssel érintett intézmény. Az incidenst az Önkormányzat bejelentette a Hatóságnak. 

A közérdekű bejelentő személyes adatainak harmadik személlyel való közlése jogalap nélkül történt, a Panasztörvényben (a panaszokról és a közérdekű bejelentésekről szóló 2013. évi CLXV. törvény) előírt kifejezett tiltás ellenére, ezáltal megsértette a GDPR 5. cikk (1) bekezdés a) pontját („jogszerűség, tisztességes eljárás és átláthatóság” elve), és 6. cikkét (adatkezelés jogalapja).

A jogellenes adatközlés egyidejűleg adatvédelmi incidensnek is minősült, mivel az adatok biztonsága olyan módon sérült, hogy az a kezelt személyes adatok jogellenes, jogosulatlan közlését és azokhoz jogosulatlan hozzáférést eredményezett. Az incidens kezelése kapcsán a Hatóság nem állapított meg jogsértést, mivel az adatkezelő az incidenst bejelentette a Hatóságnak és mivel úgy értékelte, hogy az valószínűsíthetően magas kockázatot jelent az érintettre, így az érintett tájékoztatása is megtörtént.

Tekintettel arra, hogy az Önkormányzat az Infotv. 61. § (4) bekezdés b) pontja hatálya alá tartozik, így a vele szemben kiszabható bírság mértéke százezertől húszmillió forintig terjedhet.  

A bírság kiszabása során a Hatóság az alábbi szempontokat vette figyelembe: 

• A jogsértés csak egyetlen érintettre terjedt ki, de számára jelentős következménnyel járt, mivel a jogsértés és közalkalmazotti jogviszonyának megszüntetése között közvetlen ok-okozati kapcsolat áll fenn.
• A kezelt személyes adatok köre, jellege, illetve az ezek szigorúbb védelmére szolgáló, speciális törvényi szabályozás is azt támasztják alá, hogy az ilyen adatok kezelésekor az adatkezelőknek fokozott elővigyázatossággal kell eljárniuk, és az ilyen kategóriájú személyes adatokra vonatkozó jogsértés esetén súlyosabb szankcionálás lehet indokolt. Erre tekintettel, az alkalmazott szankció speciális és generális preventív funkciója különös jelentőséggel bír. 
• Enyhítő körülményként vette figyelembe a Hatóság, hogy a tényállás feltárása során nem utalt semmi arra, hogy a jogsértés visszavezethető lenne az adatkezelőnél fennálló rendszerszintű problémára, és általában az adatkezelő – a belső szabályozók és az adatvédelmi tisztviselő feladatellátása révén – az adatvédelmi szabályok betartására törekszik. 
• A Hatóság végül figyelemmel volt arra is, hogy az adatkezelő az érintett személyes adatainak jogosulatlan személy általi megismerésről való tudomásszerzést követően következetesen alkalmazta belső eljárásrendjét annak érdekében, hogy az adatvédelmi incidens körülményeit kivizsgálja, és megtegye a szükséges intézkedéseket, illetve együttműködött a Hatósággal az ügy kivizsgálásában.