Tavaly nyáron indította a NAIH azt a vizsgálatot, amelynek következtében megszületett az első GDPR bírság Magyarországon. Egymillió forintra bírságoltak egy céget azért, mert nem őrzött meg egy kamerafelvételt.
„A GDPR bírság valós kockázat, amelyet nem szabad félvállról venni!” – figyelmeztet Dr. Bitai Zsófia, GDPR-szakértő.
A türelmi idő lejárt. A GDPR rendelet alapján először szabott ki adatvédelmi bírságot a NAIH, mivel egy adatkezelő a jogosult kifejezett kérése ellenére törölte annak személyes adatait, valamint megtagadta a másolatok átadását.
A kérelmező 2018 augusztusában indított eljárást a Nemzeti Adatvédelmi és Információszabadság Hatóságnál, mivel az adatkezelő nem tett eleget arra irányuló kérésének, hogy őrizze meg a róla készült kamerafelvételt, valamint, hogy betekinthessen a felvételek másolatába. Az adatkezelő azzal az indokolással utasította el a kérést, hogy a kérelmező nem igazolta az igénye jogosságát, és törölte a szóban forgó felvételeket.
A NAIH döntésében kimondta, a GDPR rendelet alapján mindenkinek joga van ahhoz, hogy személyes adataihoz teljes hozzáférése legyen, így például a róla készült felvételeket megnézhesse, vagy azokról másolatot kapjon. Mindenki jogosult továbbá kérni az adatkezelőtől, hogy korlátozza adatai kezelését, amennyiben ez jogai érvényesítéséhez szükséges (és az adatkezelőnek már nincsen szüksége azokra az adatkezelés céljának eléréséhez). Jelen esetben ez a kamerafelvételek megőrzését jelentette volna, amit az adatkezelő megtagadott.
„A bírsággal kapcsolatban azt fontos kiemelni, hogy e jogok gyakorlása nem köthető feltételhez. Azaz az érintetteknek nem kell bizonyítaniuk, hogy miért kérik az adataikhoz való hozzáférést, vagy azok megőrzését. – magyarázza Dr. Bitai Zsófia GDPR és reklámjogi szakjogász, a CLM Bitai and Partners vezetője. – A NAIH határozatában azt is kifogásolta, hogy az adatkezelő a döntésében nem tájékoztatta a kérelmezőt arról, hogy kérelmének elutasítása miatt panaszt nyújthat be a felügyeleti hatóságnál.”
A hatóság hivatalból vizsgálta a bírság kiszabásának szükségességét. Az adatvédelmi bírság összege a GDPR rendelet szerint akár húszmillió euró, illetve az előző pénzügyi év teljes világpiaci forgalmának legfeljebb 4 %-a is lehet. Jelen ügyben a hatóság a jelképes egymilliós bírság kiszabásánál figyelembe vette, hogy az adatkezelő első alkalommal követte el a jogsértéseket.
„A kismértékű bírság ellenére látható, hogy az adatvédelmi tudatosság egyre erősebb az érintettek körében, így minden cégnek fel kell készülni megfelelő GDPR megfelelési programmal. 2019-ben az adatvédelmi szabályok nem megfelelő ismerete komoly üzleti kockázatot jelent.” – mondta Dr. Bitai Zsófia.