Az elmúlt hónapban egy német (berlini) és az osztrák adatvédelmi hatóság is több millió eurós bírságot szabott adatkezelőkre. Mivel az adatkezelők nem értenek egyet a hatalmas bírságokkal, bírósághoz fordulnak jogorvoslatért. A Szász-Anhalti Adatvédelmi Megbízott magánszemélyre szabott ki bírságot e-mailek címek jogellenes kezelése miatt.

Bírság ingatlanügynökség részére

A Berlini Adatvédelmi Megbízott 2019. október 30-án 14,5 millió eurós bírságot szabott ki egy német ingatlan ügynökség (Deutsche Wohnen SE) részére a GDPR rendelkezéseinek megsértése miatt.

A helyszíni vizsgálatok során 2017 júniusa és 2019 márciusa között a hatóság megállapította, hogy a vállalat a bérlők személyes adatainak tárolására egy olyan archiváló rendszert alkalmazott, amelyben nem gondoskodtak arról a lehetőségről, hogy a már nem szükséges adatokat el lehessen távolítani. A bérlők személyes adatait anélkül kezelték, hogy megvizsgálták volna, hogy a tárolás megengedett vagy egyáltalán szükséges-e. A vizsgált esetekben az érintett bérlőkről évekre visszamenőleg tároltak személyes adatokat, anélkül, hogy azok gyűjtésük eredeti célját szolgálták volna. Ilyenek voltak a bérlők személyes és pénzügyi adatai, mint például a jövedelemigazolás, munka- és képzési szerződés kivonatok, adózási és betegbiztosítási adatok, számlakivonatok.

A vállalat másfél évvel az első vizsgálat után sem az adatállomány megtisztítását nem végezte el, sem megfelelő jogalapot nem szolgáltatott a folytatólagos adattárolásra. Bár szabálytalanságok megszüntetésére előkészületeket tett a vállalat, ezek az intézkedések nem vezettek a személyes adatok jogszerű kezeléséhez. A bírságot a hatóság a GDPR 25. cikke, a beépített és alapértelmezett adatvédelem, és az 5. cikk, a személyes adatok kezelésére vonatkozó alapelvek megsértéséért szabta ki. A hatóság kimondta azt is, hogy a kiszabott bírságnak a GDPR-nak megfelelően nemcsak szükségesnek és arányosnak kell lennie, hanem visszatartó erővel is kell, hogy rendelkezzen. A hatóság a bírság kiszabása során figyelembe vette a társaság előző évi árbevételét, amely meghaladta az 1 milliárd eurót, így a kiszabható bírság maximuma 28 millió euró körül volt.

A hatóság minden enyhítő és súlyosbító körülményt figyelembe vett a bírság kiszabása során. Súlyosbító körülményként értékelte, hogy a társaság a kifogásolt archiválási struktúrát tudatosan, hosszú időn át nem megfelelő módon működtette. Enyhítő tényezőként értékelte a hatóság, hogy a jogellenes állapot helyreállítására az első lépéseket megtette a társaság, és a hatósággal együttműködött. Tekintettel arra, hogy az adatokhoz jogosulatlan hozzáférés nem történt, a bírság mértéke a fent említett kiszabható bírság középmértékéhez igazodik.

Emellett a hatóság a vállalat ellen további 6.000 és 17.000 euró között bírságot szabott ki 15 egyedi esetben a személyes adatok jogellenes kezelése miatt.

A döntés nem jogerős.

A Deutsche Wohnen SE közleményt adott ki, amelyben egyet nem értését fejezi ki a határozattal szemben, és jogorvoslatért bírósághoz fordul.

Bírság az Osztrák Posta részére

Azt Osztrák Adatvédelmi Hatóság 2019 októberében 18 millió eurós bírságot szabott ki az Osztrák Postára, mert azt több millió állampolgár személyes adatát jogellenesen kezelte. Az ügy háttere az Osztrák Posta év elején ismertté vált gyakorlata, amely évek óta tartott. A posta az érintettekről olyan adatokat adott tovább, hogy például szeretnek-e futni, milyen idősek, a családi állapotukat, milyen gyakran kapnak csomagot. 2,2 millió osztrák esetében a vélelmezett politikai szimpátiájukkal kapcsolatos adatokat is értékesítettek. A posta szerint ezek nem tényleges, közvetlen adatok, hanem más adatokból (pl.: nem, kor, bevétel, regionális vásárlóerő, stb.) vezették le őket. A szúrópróbaszerű vizsgálatnál kiderült, hogy a posta kevesebb, mint az esetek felében határozta meg jól az érintettek a politikai szimpátiáját. A posta marketingcélokból értékesítette az adatokat. A hatóság vizsgálatot folytatott le, és az adatkezelés abbahagyására és az adatok nagy részének törlésére kötelezte a postát.

Az adatvédelmi hatóság szóbeli meghallgatás után megállapította, hogy a posta megsértette a GDPR-t azzal, hogy politikai véleménnyel kapcsolatos adatot kezelt. A csomagok érkezésének gyakoriságával és a költözés gyakoriságával kapcsolatos adatok kezelése szintén jogellenes.

A döntés nem jogerős. Az Osztrák Posta a határozat ellen jogorvoslattal él.

(Forrás: https://www.heise.de)

Bírság magánszemély részére

A Szász-Anhalti Adatvédelmi Megbízott magánszemély ellen szabott ki 2500 euró bírságot. A megbírságolt személy 2018 júliusa és szeptembere között több olyan e-mailt küldött a címzettek személyes e-mail címére, amelyből a címzettek többi címzettet azonosítani tudták, így 131-153 személyes e-mail cím vált megismerhetővé a hatóság szerint. Az e-mailek panaszokat, becsmérléseket, feljelentéseket tartalmaztak a gazdaság, a sajtó és a politika különböző szereplői ellen. A bírságot a hatóság azonban nem az e-mailek tartalma miatt szabta ki a hatóság, hanem mert harmadik személyek jogait érintette az ügy.

A bírságot már másnap kifizette az e-maileket küldő személy, azonban később ismét megszegte az adatvédelmi rendelkezéseket, így ismét bírságot szabott ki rá a hatóság.

(Forrás: https://www.mz-web.de)

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

(Nyilvános konzultációra bocsátott változat)

A Testület szerint videofelvétel készítésére alkalmas eszközök intenzív használata hatással van az állampolgárok viselkedésére. Ezek a technológiák korlátozzák a szolgáltatások névtelen használatát, és általában, hogy az ember anonim maradjon. Névtelennek maradni és megőrizni a magánéletet általában is bonyolultabbá válik.

(tovább…)

(Nyilvános konzultációra bocsátott változat)

A GDPR 6. cikk b) pontja jogalapot biztosít a személyes adatok kezelésére, ha „az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges”. Ez a rendelkezés támogatja a vállalkozás szabadságát és kifejezi, hogy bizonyos esetekben a szerződéses kötelezettségeket nem lehet teljesíteni az érintett számára, anélkül, hogy az érintett ne bocsátana az adatkezelő rendelkezésre bizonyos adatokat.

(tovább…)

Felmérést végeztünk a környező országok hatóságainál azzal kapcsolatban, hogy 2018. május 25. óta hány adatvédelmi eljárás indult, abból mennyi esetben született döntés, illetve mennyi ügyben állapított meg a hatóság jogsértést, és azok közül mennyi esetben és milyen összegben került sor pénzbírság kiszabására.

1. Ausztria (Republik Österreich Datenschutzbehörde)

2018. május 25. és 2019. március 31. között 2 181 esetben nyújtottak be kérelmet közvetlenül az osztrák adatvédelmi hatósághoz, illetve ebbe a számba bele tartoznak külföldi hatóságnál indult, de illetékesség hiánya miatt áttételre került ügyek száma is. Ebből 318 eljárás zárult le határozattal, amelybe beletartoznak az eljárás lefolytatását elutasító határozatok is.

Az osztrák adatvédelmi hatóság 35 esetben állapított meg jogsértést és 9 esetben szabott ki közigazgatási bírságot, egyenként: 4.800 euró, 300 euró, 1.800 euró, 400 euró, 2.200 euró, 2.200 euró, 6.700 euró, 500 euró, 1.000 euró összegben. A bírság összegének meghatározására a GDPR 83. cikkének (2) bekezdése szerinti tényezők, illetve a szabálysértési törvény (VStG) alapján került sor.
A 2018. évi adatvédelmi jelentés elérhető:

https://www.dsb.gv.at/documents/22758/115209/datenschutzbericht_2018.pdf/86c43a23-7778-487a-88c4-a151d4b00a77 címen.

• Horvátország (Republika Hrvatska Agencija Za Zastitu Osobnih Podataka)

2018. május 25. és 2019. április 19. között 1.054 esetet tart nyilván, amelybe beletartoznak az adatvédelmi eljárás megindítása iránti kérelmek, panaszok, illetve a hatósághoz intézett egyéb kérdések és az arra adott válaszok. A hatóság nem vezet külön nyilvántartást az érintetti jogok megsértésével kapcsolatos eljárásokról.

Az adatvédelmi hatóság 8 esetben hozott határozatot a GDPR 58. cikk (2) bekezdése szerinti korrekciós hatáskörében eljárva, 14 esetben jogsértés hiányában elutasította a kérelmeket, 2 esetben pedig felfüggesztette az eljárást.

A horvát adatvédelmi hatóság 2019. április 19. napjáig bezárólag adatvédelmi bírságot egyetlen esetben sem szabott ki.

• Szlovénia (Informacijski pooblaščenec Republike Slovenije)

2018. május 25. és 2019. április 30. között 1.121 esetben indított adatvédelmi eljárást a szlovén hatóság, ebből 59 esetben hozott határozatot a GDPR 58. cikk szerint meghatározott korrekciós hatáskörében eljárva. 45 esetből 24 esetben figyelmeztetésben részesítette a jogsértőt, 21 esetben bírságot szabott ki, összesen 51.133 euró összegben.
A szlovén hatóság a tagállami személyes adatok védelméről szóló törvénye alapján szabta ki a bírságokat, tekintve, hogy az még Szlovéniában részben hatályos és – a szlovén hatóság által megküldött tájékoztatás szerint – a GDPR alapján a bírságok kiszabása még nem lehetséges. A bírságok kiszabása a szlovén adatvédelmi törvény, illetve a kisebb súlyú bűncselekményekről szóló jogszabály alapján történik, amely elérhető: https://www.ip-rs.si/en/legislation/personal-data-protection-act/

• Románia (Autoritatea Nationala de Supraveghere a Prelucrarii Datelor cu Caracter Personal)

A román hatóság 2018. május 25. és 2019. április 10. között 360 esetben kérelem alapján, 309 esetben hivatalból, összesen 669 esetben indított adatvédelmi eljárást, ebből GDPR 58. cikk (2) bekezdése alapján 30 esetben tett korrekciós intézkedést. Adatvédelmi bírság kiszabására a mai napig nem került sor.

• Németország

Hat szövetségi államban – Baden-Württembergben hét esetben összesen 203.000 euró, Rheinland-Pfalzban kilenc esetben összesen 124.000 euró, Berlinben 18 esetben összesen 105.600 euró, Hamburgban két esetben összesen 25.000 euró, Észak-Rajna-Vesztfáliában 36 esetben összesen 15.600 euró és Saar-vidéken három esetben összesen 590 euró közigazgatási bírság kiszabására került sor 2018. május 25. és az azt követő közel egy év eltelte alatt. A „Welt am Sonntag” felmérése szerint 72 esetben összesen 449.000 euró pénzbüntetés kiszabására került sor, míg Bajorországban a 2019-es jelentés szerint jelenleg még tart a türelmi időszak a bírságok kiszabása területén, bár 2018. május 25-e óta robbanásszerűen megemelkedett a benyújtott kérelmek száma (2.376 eljárás indult).

• Olaszország (Garante per la protezione dei dati personali)

Az olasz hatóság 2019. május 07-i jelentése szerint 2018-ban 707 esetben folytatott eljárást adatvédelmi jogsértés miatt. A jelentésből ugyan nem derül ki, hogy mely adatok vonatkoznak a 2018. május 25. napját követő időszakra, az azonban egyértelműen a GDPR alkalmazandóságának köszönhető, hogy a kiszabott bírságok a 2017. évhez képest 115% – kal megnövekedtek. Számszerűsítve ez azt jelenti, hogy 2018-ban 8.160.000 euró bírságot szabott ki összesen az olasz adatvédelmi hatóság. Végül, de nem utolsó sorban egy érdekesség az olasz hatóság döntései közül. A Garante első bírságként 50.000 euro bírságot szabott ki egy még 2018. május 25. előtt indult, de azt követően lezárult adatvédelmi eljárás során adatfeldolgozóval szemben az adatkezelés biztonságának garantálását szolgáló technikai és szervezési intézkedések megtételének elmulasztása miatt.

• Magyarország (NAIH)

A NAIH éves beszámolója szerint 2018. május 25. és 2018. július 26. között nem indított eljárásokat, a beérkezett panaszokat ún. vizsgálati eljárások keretében kezelte. 2018. július 26. után 1.105 konzultációs beadvány érkezett a Hatósághoz és 625 esetben indított vizsgálati eljárást. 2018. július 26. után 57 ügyben indult adatvédelmi hatósági eljárás (8 esetben hivatalból, 49 esetben kérelemre), ebből 2019. március 31-ig 27 döntés született, amelyekből 17 esetben az eljárás megszüntetésére került sor. A NAIH honlapján közzétett határozatok alapján 8 jogsértést megállapító határozat hozott a Hatóság, melyből 6 esetben összesen – statisztikai számadatok összevetése miatt forintról euróra átváltva – 46.154 euró összegben szabott ki bírságot. (A számadatok a különböző források és a változó valutaárfolyam miatt megközelítő jellegűek.)

A PPOS Audit Kft. vállalja professzionális adatvédelmi hatásvizsgálat lefolytatását.

Elérhetőségeink: https://ppos.hu/kapcsolat/

A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.

Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.

A törvényt (2019. évi XXXIV. törvény) 2019.04.11-én hirdették ki a Magyar Közlönyben, így a módosítások 2019.04.26-án, a kihirdetést követő 15. napon lépnek hatályba, alapvető célkitűzésük a GDPR végrehajtásához szükséges koherencia biztosítása.

(tovább…)

A NAIH/2019/363/2. számú ügyben 500.000 Ft adatvédelmi bírságot szabott ki a NAIH a GDPR 5. cikkének (1) bekezdés d) pontjának, a pontosság elvének megsértése, valamint a 12. cikk (2) bekezdésének, az érintetti jogok elősegítésére vonatkozó kötelezettség megszegése miatt.

(tovább…)

Már elérhető a Parlament honlapján az Európai Unió adatvédelmi reformjának végrehajtása érdekében szükséges törvénymódosításokról szóló T/4479. számú törvényjavaslat. A javaslat elfogadása esetén számos jogszabály fog módosulni.

(tovább…)

A Google és a GDPR

A francia adatvédelmi hatóság (CNIL) 50 millió eurós bírságot szabott ki a Google ellen az Andorid mobil operációs rendszerével kapcsolatban.

(tovább…)

Autóskamera az ír adatvédelmi hatóság szerint

Az ír adatvédelmi hatóság útmutatót tett közzé az autós kamerákkal kapcsolatosan.

(tovább…)

Ausztria – Osztrák Adatvédelmi Hatóság
2018.12.03. A Standard ajánlata megfelel az adatvédelmi rendeletnek. Visszatérő kérdés, hogy a hozzájárulásért lehet-e adni bármiféle előnyt, avagy a hozzájárulás elmaradása esetén kizárható-e az egyén a szolgáltatásból. Úgy tűnik, igen.

(tovább…)