A GDPR-bírság

2018. május 25. óta minden vállalkozás számára kötelező az európai általános adatvédelmi rendelet, a GDPR alkalmazása. A szabályozásnak való megfelelés megköveteli a gazdasági társaságok adatkezeléseinek teljes körű felülvizsgálatát, az adatvédelmi hiányosságok feltárását és kezelését.

A GDPR-bírság mértéke

Az elmúlt években mind az adatvédelmi incidensek bejelentésének száma, mind pedig a kiszabott büntetési tételek mértéke folyamatos növekedést mutat. Súlyos adatvédelmi- és adatkezelési jogsértés esetén 20.000.000 EUR összegű közigazgatási bírság, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összeg is kiszabható azzal, hogy a kettő közül a magasabb összeg az irányadó.

Bár az Infotv. 75/A. §-a tartalmazza azt, hogy az eljáró hatóság hatásköreit az arányosság elvének figyelembevételével gyakorolja, különösen azzal, hogy a személyes adatok kezelésére vonatkozó előírások első alkalommal történő megsértése esetén a jogsértés orvoslása iránt – az általános adatvédelmi rendelet 58. cikkével összhangban – elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik, azonban ez nem zárja ki annak a lehetőségét, hogy súlyos jogsértés esetén a hatóság már első alkalommal is azonnali büntetést szabjon ki.

A bírság kiszabása mellett jelentős a megbírságolt cég presztízsvesztesége is, mivel a cég neve a jogsértéssel összefüggésben nyilvánosságra kerül.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) eddigi gyakorlata alapján megállapítható, hogy az alábbi területek kapnak kiemelt figyelmet:
• kamerás megfigyelés
• webáruház és online szolgáltatás nyújtás
• munkavállaló személyes adatainak kezelése
• hírlevél küldése és e-mail adatbázis használata
• közvetlen üzletszerzési célú adatkezelés
• adatbázis-kereskedelem
• munkaerő-közvetítéssel kapcsolatos adatkezelés

A NAIH 2023 februárjában 30 millió forint összegű bírságot szabott ki egy budapesti székhelyű szépségszalonra, amely egy 32 db kamerából álló kamerarendszert szabálytalanul üzemeltetett, valamint a marketing célú adatkezelése sem volt szabályos. A NAIH a kamerákat alkalmasnak találta a dolgozók megfigyelésére munka és pihenés közben, illetve a kamerákkal a vendégeket is folyamatos megfigyelés alatt tartották. A Hatóság érvénytelennek tartotta a kamerás adatkezelés jogalapját, a tájékoztatást és a hozzájárulás módját is, mind a munkavállalók, mind pedig a vendégek részéről. A megbírságolt cég hangrögzítést is alkalmazott, amelyről senkit sem tájékoztattak, ezzel súlyosan sértették a GDPR rendelkezései mellett a magánszférát is. A hatóság problémát talált továbbá az ügyféladatok kezelésében és az ajánlói rendszerben is (elégedett ügyfeleik adták meg ismerőseik elérhetőségét). A szépségszalon kezelte a vendégek egészségügyi adatait is, amellyel szintén súlyosan megsértették a GDPR rendeletet. A fenti ügy ezzel az eddigi legnagyobb NAIH-bírsággal szankcionált esetnek minősül a kamerás megfigyelések tekintetében.

A GDPR-szabályozás alkalmazása óta eltelt több mint öt évben már számos gazdasági társaság tett lépéseket a megfelelés érdekében, azonban a GDPR megfelelés folyamatos biztosítása nem egy egyszeri feladat. Az adatbiztonsági intézkedések megfelelőségét és az adatkezelések jogszerűségét folyamatosan és rendszeresen vizsgálni kell és meg kell tenni a szükséges intézkedéseket. Ezáltal jelentősen csökkenthető a szigorú szabályozásból fakadó anyagi- és reputációs kockázat is.