Adatvédelmi alapozó #8// A bírság

Alapvetően jogkövetőek vagyunk, de valljuk be, legtöbbünket a hiányosságokért kapható bírságok „fegyelmeznek”. Az adatkezelők többségét nem a folyamat tisztasága, hanem az esetleges bírság összege motivál a helyes adatkezelésben.

Tudva levő, hogy az esetek többségében nem a NAIH találja meg az esetleges „bűnösöket”, hanem bejelentések alapján indulnak el az eljárások. Lehet a bejelentő egy hiányosan vagy tévesen tájékoztatott ügyfél, egy konkurens, egy rosszakaró, vagy akár egy unatkozó polgár…..a lényeg, ha az adatkezelésünk rendben van, nem a bírságtól kell elsődlegesen tartanunk.

Az adatvédelmi bírságok Magyarországon: a NAIH oldalán ITT érhetőek el.

Az Info tv. (211. évi CXII. tv.) teszi lehetővé a NAIH számra, hogy az adatkezelőket 100.000,- forinttól 20.000.000,- forintig terjedő bírsággal sújthassa.

Hatóság annak eldöntésében, hogy indokolt-e a bírság kiszabása, illetve a bírság mértékének megállapítása során az eset összes körülményeit figyelembe veszi, így különösen a jogsértéssel érintettek körének nagyságát, a jogsértés súlyát, a magatartás felróhatóságát, valamint azt, hogy a jogsértővel szemben korábban állapítottak-e meg a személyes adatok kezelésével kapcsolatos jogsértést.

A bírság kiszámítására vonatkozóan az Európai Adatvédelmi Testület iránymutatásokat tett közzé. Bár a bírság összegének számszerűsítése minden esetben elvégzett konkrét értékelésen alapul, és a bírság összegének kiszámítása a felügyeleti hatóság mérlegelési jogkörébe tartozik.

A GDPR számos esetben teszi lehetővé közigazgatási bírság kiszabását. Az egyes jogsértések tekintetében ugyanakkor mindössze annak felső határát, a kiszabható legmagasabb összeget határozza meg. A felügyeleti hatóság ugyanakkor az eset körülményeinek és az arányosság elvének figyelembevételével dönt e szankció konkrét mértékéről (Infotv. 75/A. §).

Pár figyelemre méltó bírsághatározat a 2022. évből:

  • Az eddigi legnagyobb, 250.000.000,- millió forintos bírság, ami a NAIH 2021. évi beszámolójából derül ki- egy meg nem nevezett bankra szabta ki a NAIH. A bank az ügyfélszolgálati hívások rögzített anyagát mesterséges intelligencia segítségével elemzi, mely elemzésnél az adatkezelés célja (a hívások minőségellenőrzése bizonyos paraméterek alapján) és jogalapja (az általános adatvédelmi rendelet 6. cikk (1) bekezdés f) pontja szerinti jogalap) az érdekmérlegelés érvénytelensége miatt nem áll fenn. NAIN éves beszámolójában közzétett leírás szerint a hatóság alapvetően nem a mesterséges intelligencia felhasználását sérelmezte, sokkal inkább az ezzel kapcsolatos adatkezelés és érintetti jogok kapcsán fogalmazott meg kritikákat. Noha a döntés csak részleteiben elérhető, az alábbiak kiderülnek belőle: a GDPR megfelelés nem csak dokumentációs feladat, az érintetti jogokat a gyakorlatba is át kell ültetni, a jogos érdek jogalap alkalmazásának alaposnak kell lennie, növekedő bírság összegek.
  • autószerelő: 500.000,- forint bírság. Az autószerelő az ingatlanban, mely telephelyként szolgált- autószerelői tevékenységet folytat, ahol kamerarendszer működik egy feltételezett betörési szándékot követően felszerelve. Az ingatlan társtulajdonosa nem lett előzetesen tájékoztatva vagy megkérdezve a kamerák felszereléséről, illetve ezekről semmilyen tájékoztató anyag/tábla nem lett felszerelve az ingatlanban, ezért kérte, hogy szerelje le azokat, vagy rendezzék a rendszerrel kapcsolatos kérdéseket, hozzáférést. A kamerák le lettek választva a tápegységről, majd később újra működtek. A Kft. képviselői ismét kérték az autószerelőt, hogy intézkedjen a kamerarendszer jogszerű üzemeltetésével kapcsolatban, vagy szerelje le azokat. Érdemi választ elmondása szerint nem kaptak. Ezért történt meg a panaszos bejelentés.

Tájékozódj, kérj tanácsot!

ICSA