2019 első negyedévében jelentősen megnövekedett a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) által kiszabott bírságok száma. A Hatóság többek között az alábbi esetekben állapította meg az általános adatvédelmi rendelet (GDPR) rendelkezéseinek megszegését:
Tévesen kiküldött banki SMS értesítők: Az adatkezelő pénzintézet egy idegen telefonszámra továbbította az egyik ügyfelét érintő hitelkártya tartozásokra vonatkozó SMS értesítőket. Miután az érintett telefonszám tulajdonosa panaszt tett a pénzintézet felé, az ígéretet tett az incidens kezelésére, ugyanakkor nem függesztette fel megfelelően az adatkezelést, és az érintett újabb értesítést kapott. Emellett a pénzintézet arra szólította fel az érintettet, hogy igazolja, a megadott telefonszám hozzá tartozik, és arra hivatkozott, hogy a telefonszám, mint banki adat törlésére csak a tényleges ügyfél hozzájárulásával van lehetőség. A hatóság úgy találta, hogy a pénzintézet megsértette a GDPR rendelkezéseit, miután az adatalany panaszát követően nem függesztette fel rögtön az adatkezelést, mert az adatkezelés csak addig volt jogszerű, amíg feltehető volt, hogy a telefonszám a banki ügyfélhez tartozik -> a jóhiszemű és az ágazati előírások betartásával történő adatkezelés is ütközhet jogszabályba! (NAIH/2019/363)
Kamerafelvételek jogszabálysértő törlése: az érintett többször is megjelent a közműszolgáltató, mint adatkezelő társaság székhelyének ügyfélterében a korábban tartott közgyűlésekről készített hangfelvételek meghallgatása és jegyzőkönyvek megtekintése céljából. Utóbb a látogatások során az épület biztonsági kamerái által róla készített felvételek megőrzésére kérte a társaságot, melynek kapcsán arra hivatkozott, hogy azokat később egy esetleges jogi eljárásban kívánja felhasználni. Az adatkezelő társaság az érintett kérelmének nem tett eleget. Döntését azzal indokolta, hogy a felvételek nem lennének alkalmasak az érintett által állított tények bizonyítására, és az alkalmazandó és hatályos személy- és vagyonvédelmi törvény (2005. évi CXXXIII. tv.) alapján az érintettnek igazolnia kell jogát, vagy jogos érdekét. A Hatóság megállapította, hogy a társaság megsértette a GDPR rendelkezéseit, melyek értelmében a jog vagy jogos érdek igazolása nem szükséges, és az adatkezelőnek nincs joga a kezelt adat minőségét vagy felhasználhatóságát mérlegelni -> az adatkezelőnek nincs mérlegelési joga, és egyes törvények rendelkezéseit még nem hozták összhangba a GDPR rendelkezéseivel! (NAIH/2018/5559)
Telefonszám kezelésének szükségessége: az érintett kölcsönszerződést kötött egy társasággal, majd a társaság másik vállalatba történt beolvadását követően telefonszáma törlését, és lakcíme módosítását kérte az adatkezelőtől. A telefonszám törlésére vonatkozó kérelmet a társaság elutasította arra hivatkozással, hogy a tartozás későbbi behajtása érdekében arra szüksége lehet. A Hatóság egyebek mellett megállapította, hogy telefonszám, mint személyes adat megőrzése kapcsán a társaság, mint adatkezelő által lefolytatott érdekmérlegelés nem felelt meg a GDPR követelményeinek, többek között azért, mert a társaság gazdasági érdekeket és kényelmi szempontokat helyezett előtérbe az érinett jogaival szemben. Emellett a Hatóság azt is rögzítette, hogy az eredetileg megjelölt, és az érintett által tudomásul vett adatkezelési cél (szerződés teljesítése) mellett más célból, pl. az ügyfélszolgálati tevékenység fejlesztése céljából is kezelte az adatot, amely cél vonatkozásában a társaság nem végezte el a szükséges mérlegelést, és nem bizonyította az adatkezelés szükségességét (a Hatóság álláspontja szerint „az adatkezelés eredeti célja szempontjából az írásbeli kapcsolattartási forma elegendő és megfelelő”) -> a Hatóság megállapította, hogy az adatkezelés nem felel meg a célhoz kötöttség és a szükségesség elvének. (NAIH/2019/2526)
A NAIH további határozatai: https://www.naih.hu/hatosagi-hatarozatok—vegzesek.html
Az egyes bírságokat kiszabó határozatok indokolásában a Hatóság azt is hangsúlyozta, hogy a bírság a vizsgált adatkezelés vonatkozásában került kiszabásra, de az nem jelenti azt, hogy az adatkezelő a nem vizsgált adatkezelések és tevékenységek tekintetében megfelel a GDPR rendelkezéseinek.
A GDPR 2018. május 25-ei hatálybalépése évfordulójának közeledtével tendenciaként értékelhető a megnövekedett számú bírságolás, amelyet az év hátralévő részében várhatóan további növekedés fog követni.
A megbírságolt tásaságok által elkövetett jogszabálysértések kapcsán benyújtott panaszokból az is látható, hogy az érintettek igyekeznek minél nagyobb nyilvánosságot szerezni az incidenseknek és elégtételt venni a társaságokon, így az adatkezelő vagy feldolgozó vállalatokat az adatalanyok által indítható kártérítési perek is fenyegetik.
A Colonnade GDPR adatvédelmi felelősségbiztosítás a fenti bírságokra is kiterjedő fedezet mellett olyan speciális fedezeti körökkel egészül ki, mint a vállalati információk nem megfelelő kezelésével, vagy a kiszervezett tevékenység során elkövetett adatvédelmi szabálysértéssel okozott károk, illetve az adatalanyok értesítésével kapcsolatos költségek, így bármely társaság számára széles körű védelmet nyújthat az adatvédelmi kitettségekkel szemben, mérettől és tevékenységi körtől függetlenül.
További információ: https://gdpr-biztositas.hu/
Bővebb tájékoztatásért és ajánlatért kérjük, lépjen kapcsolatba biztosítási alkuszával.
Amennyiben nincs ilyen közvetítője, közvetlenül is írhat nekünk gdpr@colonnade.hu e-mail címen