2018. 12.21-én született meg az első GDPR alapján kiszabott adatvédelmi bírság Magyarországon. A NAIH határozatában 1 millió Ft összegű bírságot szabott ki.
Történt ugyanis, hogy az érintett a róla a recepción készült kamerafelvételek zárolását, és az azokba való betekintés jogát kívánta gyakorolni. A kamerakép egyébként arra kellett, hogy egy peres ügyében bizonyítékként szolgálhasson. Az adatkezelő viszont azt válaszolta, hogy a kamera hangot nem, csak képet rögzít, ezért úgyse tudná használni semmire továbbá véleménye szerint az érintett által előadott indokok nem alapozták meg a kérelem jogosságát, nem támasztotta kellően alá az igényét.
A NAIH szerint az adatkezelőnek nincs mérlegelési lehetősége atekintetben, hogy az érintett által kért korlátozás alkalmas-e igényérvényesítésre.
Jogilag pedig azzal védekezett, hogy a a Vagyonvédelmi törvény 31. § (6) bekezdése szerint - jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez szükséges feltétel nem teljesült az érintett oldalán. A felvételek végül törlésre kerültek az adatvédelmi szabályzatuk alapján.
Az érintetti jogok sérelme
A NAIH határozatatában úgy döntött, hogy az adatkezelő megsértette
az érintett hozzáférési jogát (GDPR 15. cikk),
az adatkezelés korlátozásához való jogát (18. cikk)
és nem adott megfelelő tájékoztatást a jogorvoslati lehetőségekről (12. cikk (4) bekezdés).
A hozzáférési jog megsértésével kapcsolatban a Hatóság leszögezte, hogy "a hozzáférési jog – ideértve annak részjogosítványát is, a másolat rendelkezésre bocsátáshoz való jogot – gyakorlása kapcsán a GDPR nem támaszt többletkövetelményeket, az feltétel nélkül gyakorolható, tehát az érintettnek nem kell igazolnia a hozzáférési joga gyakorlásához fűződő jogát vagy jogos érdekét, illetve nem kell indokolnia, hogy mi okból kíván élni ezzel a jogával."
Az adatkezelő arra hivatkozással utasította el az érintett hozzáférési kérelmét, hogy az érintett nem igazolta a GDPR 18. cikk (1) bekezdésében foglalt valamely feltétel fennállását, azaz az érintett jogos érdekének igazolásához kötötte, pedig a hozzáférési jog gyakorlására irányuló érintetti kérelem teljesítése kizárólag a GDPR 12. cikk (5) bekezdése szerinti esetekben tagadható meg, azaz csak akkor, ha a kérelem egyértelműen megalapozatlan vagy túlzó. Ilyen körülmény azonban nem merült fel, illetve ilyenre az adatkezelő sem hivatkozott. A Hatóság tehát megállapította a GDPR 15. cikkének (hozzáférési jog) megsértését.
Az adatkezelő úgy gondolta, jó ötlet a Vagyonvédelmi törvény vonatkozó rendelkezéseire hivatkozni, csakhogy ezek nem állnak még teljesen összhangban a GDPR-ral (a történet az un. Saláta-törvény előtt játszódik). Egyébként pedig a GDPR, mint közvetlenül alkalmazandó uniós jogforrási aktus és a vele ellentétes törvény viszonyában, a GDPR rendelkezésének kell érvényesülnie a vele ellentétes tagállami belső szabállyal szemben is.
A Hatóság megállapította a GDPR 12. cikk (4) bekezdésének (érintett jogainak gyakorlását segítő intézkedések) sérelmét is, mivel az adatkezelő az érintettnek küldött elutasításában megjelölte ugyan az elutasítás ténybeli és jogi indokait, azonban nem tájékoztatta a kérelmezőt jogorvoslati lehetőségeiről.
Tanulságok:
1. Ha valaki a GDP-ba szereplő jogaira hivatkozik, legyünk nagyon kedvesek s együttműködők, ha annyira bele akar tekinteni a kameraképekbe és szeretne magának egy DVD-t íratni, akkor tegyük meg, ha ez nem okoz valami óriási érdeksérelmet. Tudom, hogy macerás és bosszantó is, de joga van hozzá és nem nagyon van mit mérlegelni. Olyan keveset tudunk a NAIH gyakorlatáról, hogy inkább kövessünk el mindent a feljelentés meg polgári per elkerülésére, mint kapjunk egy hatalmas bírságot.
2. Nem kell tehát igazolnia, hogy miért kéri a kameraképet vagy bármilyen aktát, amit pl. egy dolgozóról vezetünk. Jól gondoljuk meg és készüljünk fel, ha arra akarunk hivatkozni, hogy a kérés megalapozatlan vagy túlzó,
3. Mielőtt jogászkodunk és más egyéb törvényekre akarunk hivatkozni, ne felejtsük, hogy a GDPR közvetlenül alkalmazandó EU-s rendelkezés és aduász, mindent visz. Nagyon erős indokok kellenek, hogy szembe menjünk vele.
