Adatvédelmi bírságok: szigorodó gyakorlat


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

Néhány évvel az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotörvény) 2012. januári hatálybalépését követően, kialakulni látszanak a Nemzeti Adatvédelmi és Információs Hatóság (NAIH) bírságolási gyakorlatának alapjai. Mindezek alapján a hatósági jogalkalmazás szigorodása figyelhető meg.


Az Infotörvény vezette be az adatvédelmi bírság jogintézményét, azzal a céllal, hogy növelje a hatóság eszköztárát a jogérvényesítés terén. A bírság mértéke százezertől tízmillió forintig terjedhet, és mértéke a hatóság mérlegelésétől függ.

Az intézkedés bevezetését követő tapasztalatok azt mutatják, hogy jogsértés megállapítása esetén a hatóság szinte minden esetben bírságol, ugyanakkor a bírság mértékének megállapításánál figyelembe veszi az eset összes körülményeit. A hatóság ennek keretében figyelemmel van az elkövetett jogsértés súlyára, a jogsértéssel érintett adatalanyok számára, a vállalkozás méretére és tevékenyégi körére.

Így például az adatbázisok építésével és kezelésével hivatásszerűen foglalkozó, vagy egyéb okból kiemelt jelentőségű adatkezelők (például bankok, pénzügyi vállalkozások) illetve a méretüknél fogva nagyszámú adatot kezelő szervezetek akár kisebb súlyú jogsértés esetén is magasabb összegű bírságra számíthatnak.

Ügyvédvilág Kutatás

Az Ügyvédvilág szerkesztősége minőségfejlesztési céllal összeállított egy  kérdőívet, melynek kitöltése mindössze néhány percet vesz igénybe.
A kitöltők számára hozzáférhetővé tesszük A Polgári Törvénykönyv – A Ptké.-vel és az irányadó elvi iránymutatásokkal egységes szerkezetben című e-könyvet.
Kérjük, segítse munkánkat a kérdések megválaszolásával.

A kérdőívet ide kattintva éri el »

„A hatóság a bírság kiszabása során értékeli az eset egyéb körülményeit is, mint például az adatkezelő korábbi gyakorlatát. Egy „visszaeső” jogsértő adatkezelő rendszerint magasabb összegű bírságra számíthat mint egy olyan szervezet, amely korábban nem követett el jogsértést” – mondta el Gera Dániel, a Schönherr Hetényi Ügyvédi Iroda ügyvédje.

A bírság bevezetése óta több olyan, nagy port kavart eset is volt, amelyben a hatóság a magas összegű bírság kiszabásáról határozott. Az egyik első ilyen, nagyobb publicitást nyert esetben a hatóság nem is csupán az adatkezelő, hanem az általa igénybe vett adatfeldolgozó hibájából eredő jogsértés miatt szabott ki bírságot. A szóban forgó esetben egy hacker-támadás miatt hozzáférhetővé vált több mint 50.000 ügyfél adata. Jóllehet sem az adatkezelő, sem az adatfeldolgozó nem volt közvetlenül felelős a kárért, a hatóság megállapította, hogy gondatlanság terheli őket az álaluk alkalmazott biztonsági intézkedések hanyagsága miatt. A közzétett határozat rámutatott arra is, hogy az adatkezelő (amely személy vagy szervezet az adatkezelés célját megszabja, illetve azzal kapcsolatban döntéseket hoz) és az adatfeldolgozó (aki az adatkezelő megbízásából az adatokat technikailag kezeli) közötti megállapodás nem rendezte megnyugtatóan a felelősségi kérdéseket és azt sem, hogy végső soron melyikük felelős a biztonsági intézkedések betartásáért.

„A határozat egyébként jogalkalmazók számára is hasznos volt, hiszen elvi jelentőségű megállapodásokat tartalmazott azzal kapcsolatban, hogy az adatkezelő és az adatfeldolgozó közötti szerződésnek mit célszerű tartalmaznia. Ilyen megállapodás megkötése előtt az adatkezelést végzőnek mindenképpen tanácsos szakember segítségét kérnie, mert a hatóság akár egyetlen ügyfélpanasz nyomán is vizsgálhatja a teljes adatkezelés folyamatát és iratanyagát” – emelte ki a Schönherr Hetényi szakértője.

A jogalkalmazás szigorítása ugyanakkor megítélésünk szerint bizonyos fokig elkerülhetetlen is, hiszen a jelenlegi digitalizált világban a személyes adatok kezelésére vonatkozó szabályok betartása mind nagyobb kihívás elé állítja a hatóságokat. Maguk az adatkezelők sokszor bele sem gondolnak abba, hogy személyes adataik megadásával – és adott esetben egy nem kellőképp átgondolt klikkeléssel – azokat különféle szervezetek (adatkezelők és feldolgozók) egész lánca számára tehetik hozzáférhetővé.

„Nyilvánvaló, hogy egyetlen hatóságnak sem lehet kapacitása mindezen adatkezelések ellenőrzésére, így – álláspontunk szerint – éppen az elrettentés céljából válhat egyre gyakrabban szükségessé magasabb összegű bírság kiszabása, összességében pedig a hatósági ellenőrzési gyakorlat szigorodása is” – magyarázta Gera Dániel ügyvéd.

Titkos adatgyűjtés a büntetőeljárásban

Kis László kötete a büntetőeljárás egy nagyon vékony, ám annál szerteágazóbb kérdésének, a titkos adatgyűjtésnek próbálja felfedni minden vonulatát.

További információ és megrendelés >>

Kiegészítő információ:

Egy másik az idei év elején született határozatában a hatóság a maximális, 10 millió forintos bírságot szabta ki egy adatbázis-építéssel és kezeléssel foglalkozó cégre. Az ügyben indult eljárás során a hatóság több alapvető hiányosságot is megállapított és felhívta az ellenőrzött társaságot a vonatkozó gyakorlatának módosítására.

A szóban forgó esetben a megbírságolt adatkezelő nem tájékoztatta az adatalanyokat részletesen az adatkezelés céljáról (az adatkezelő által megjelölt „marketing tevékenység” túlzottan általános), és nem jelölte meg e körben azt, hogy az adatbázisok értékesítésre is kerülhetnek, így az adatok más adatkezelő számára is hozzáférhetővé válhatnak.

Ennek keretében elmaradt annak a megjelölése is, hogy az adatbázisok mely más harmadik személy részére kerülhetnek továbbításra, amely súlyosan sértette az érintett adatalanyok információs önrendelkezési jogát. E körben a hatóság felhívta a figyelmet arra, hogy minden egyes továbbításhoz külön hozzájárulás kellhet, és külön-külön meg kell adni a lehetőséget az adatalany számára arra, hogy ezekhez hozzájáruljon.

A hatóság által a hivatkozott határozatok meghozatalát követően tartott tájékoztatón a NAIH munkatársai felhívták a figyelmet arra, hogy a törvény nem korlátozza a hatóságot abban, hogy ugyanazon vagy hasonló jogsértés miatt több ízben is bírságot szabjon ki. Így például, ha egy jogszerűtlenül kezelt adatbázisban szereplő címekre az érintett cég többször is küld ki hírlevelet, nem zárható ki az, hogy a hatóság ezen jogsértés miatt akár több ízben is bírságot szabjon ki. A hatóság ugyanakkor szem előtt tartja a méltányosság elvét is, célja nem elsősorban a minél nagyobb összegű bírság kiszabása, hanem a jogalkalmazóknak az adatvédelmi szabályok betartására való rászorítása.


Kapcsolódó cikkek

2024. június 10.

Jogszabályfigyelő 2024 – 23. hét

Alábbi cikkünkben, tekintettel arra, hogy az elmúlt héten új Magyar Közlöny nem jelent meg, a Kúria Döntések Bírósági Határozatok legfrissebb számának a tartalmából válogattunk.

2024. június 7.

Önkormányzati választások 2024 – új időpont, új szabályok

Az idei év rendhagyó az önkormányzati választások szempontjából, hiszen most kivételesen nem ősszel, hanem az európai parlamenti választásokkal egy napon, júniusban kerül sor a választásra, ráadásul a 2019-eshez képest jelentősen módosultak a szabályok is, különösen a fővárosi közgyűlés vonatkozásában.

2024. június 6.

EP választás 2024: ki, hol és mire szavazhat?

Vasárnap az önkormányzati választásokkal egy időben került sor az európai parlamenti választásra is. Cikkünkben bemutatjuk, kik, hol és mire is szavazhatnak az EP választáson.