Az Európai Unió tavaly május óta alkalmazza általános adatvédelmi rendeletét (General Data Protection Regulation), rövidebb nevén a GDPR-t, amely természetesen hazánkra is vonatkozik. Mivel adatkezelést nem csupán nagyvállalatok, hanem a kis egyesületi weboldalak vagy személyes blogok is végeznek, a szabályokat nekik is be kell tartaniuk.

Magyar ügyekben eddig néhány alkalommal történt bírságolás (az elsőre ráadásul nem is régen került sor), most pedig újabb esetekről tudunk beszámolni: ezúttal két érintettet kötelezett 1-1 millió forintos adatvédelmi büntetés megfizetésére a Nemzeti Adatvédelmi és Információszabadság Hatóság.

A Crosssec Solutions oldalán megjelent beszámoló szerint az első egy kecskeméti ügy, amelynél a város polgármesteri hivatala sértette meg az általános adatvédelmi rendelet 5. cikk (1) bekezdés a) pontját és 6. cikkét azzal, hogy jogellenesen közölt személyes adatokat harmadik féllel.

Az érintett közérdekű bejelentést tett az önkormányzatnál egy, az önkormányzat által alapított és felügyelt intézmény működésével kapcsolatban, amelynek kivizsgálása rendben meg is kezdődött. Az intézmény vezetője további információként kérte, hogy a bejelentés tartalmát bocsássák rendelkezésére, amit az üggyel foglalkozó munkatárs ugyan megtett, ám az elküldött dokumentumban szereplő bejelentő személyes adatait már nem anonimizálta. Az érintett munkáltatója ezáltal be tudta azonosítani a bejelentőt, akinek közalkalmazotti jogviszonyát később rendkívüli felmentéssel megszüntette.

A beszámoló szerint az érintett tájékoztatást kért az adatkezelőtől azzal kapcsolatban, hogy személyes adatai hogyan váltak ismertté munkáltatója számára. Miután tudomást szerzett az ügyről, az adatvédelmi incidensről bejelentést tett a NAIH-nál. Utóbbi vizsgálatában rámutatott: a személyes adatokat - a közérdekű bejelentést és annak teljes tartalmát - az adatkezelőn kívüli harmadik személlyel - az intézménnyel - is közölték.

A hatóság azért is találta szükségesnek a bírság kiszabását, mert indoklásuk szerint a jogsértés súlyos következményekkel járt az érintettre nézve: az komoly pénzügyi veszteséget, továbbá gazdasági és szociális hátrányt is szenvedett. A NAIH végül 1 millió forint bírságösszeget állapított meg. Egyben ez az első olyan ügy, amelyben közfeladatot ellátó szerv mulasztott, és a hatóság adatvédelmi bírságot szabott ki – olvasható a bejegyzésben.

A másik ügy

A második magyar ügyben a bejelentő azért fordult a NAIH-hoz, mert az adatkezelő elutasította az adathelyesbítés és adattörlés iránti kérelmét. Az érintett jelezte az adatkezelőnek (akivel gépkocsi beszerzésének finanszírozására kölcsönszerződést kötött), hogy lakcíme megváltozott, továbbá azt is kérte, hogy a nyilvántartott személyes adatai közül a telefonszámot töröljék.

A kötelezett válaszlevelében azt írta, hogy a nyilvántartó rendszerben a lakcímre vonatkozó adatot csak akkor tudja módosítani, ha a kérelmező megküldi a lakcímkártya másolatát. Ezenfelül közölte azt is, hogy a telefonszámot nem törli a nyilvántartásból, mert annak kezelésére az általa elvégzett érdekmérlegelést követően lejárt tartozás telefonos megkeresés útján történő érvényesítése érdekében és céljából jogos érdeke van.

A kötelezett a lakcímváltozás módosítására vonatkozó eljárásrendje szerint kizárólag hatóság által kiállított dokumentum vagy annak másolatának bemutatásával módosíthatja. Az okmánymásolattal kapcsolatos adatkezelés vonatkozásában a pénzmosás és a terrorizmus finanszírozása megelőzéséről és megakadályozásáról szóló 2017. évi LIII. törvény (Pmt.) rendelkezéseire hivatkozott. Így az adatkezelő megtagadta a lakcímadat helyesbítésére és a telefonszámadat törlésére irányuló érintett kérelmet.

A hatóság a beszámoló szerint két kérdést vizsgált: a törléshez való jog gyakorlására irányuló, továbbá a helyesbítéshez való jog gyakorlására irányuló kérelmet.

A NAIH részben helyt adott a kérelmező kérelmének, mert indoklásuk szerint a kötelezett adatkezelési tevékenysége megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés b) és c) pontját, 13. cikk (3) bekezdését, 17. cikk (1) bekezdését, 6. cikk (4) bekezdését, illetve utasította az adatkezelőt arra, hogy a telefonszámot valamennyi nyilvántartásából törölje. A NAIH esetükben is bírságolt, a kötelezettet jogellenes adatkezelés miatt ugyancsak 1 millió forint adatvédelmi bírság megfizetésére kötelezte.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.