FRISSS!!!
Home / Címlap / Adatvédelmi bírság – európai kitekintés

Adatvédelmi bírság – európai kitekintés

Másfél évvel a GDPR hatálybalépése után már sor került az első rekordösszegű bírságok kivetésére, amelynek értéke akár a több millió eurót is eléri. Az act legal | Bán és Karika Ügyvédi Társulás segítségével az alábbiakban bemutatjuk, hogy más európai országokban, illetve hazánkban milyen összegű bírságok kiszabására került eddig sor és mely adatkezelési gyakorlatokat szankcionálták a hatóságok.

Mire kell leginkább figyelni a személyes adatok kezelése során 

A GDPR számos új követelményt támaszt a vállalkozásokkal szemben a személyes adatok kezelése terén. Különösen a személyes adatok feldolgozása és tárolása területén kell különös biztonsági óvintézkedéseket tenni. Első és legfontosabb a személyes adatok feldolgozásának törvényes és érthető módja, amelyet csak meghatározott célokra lehet gyűjteni. Az adatokat olyan formában lehet tárolni, amely csak az érintettek azonosítását teszi lehetővé, mindaddig amig a felhasználásukhoz szükséges. Az adatokat olyan módon kell feldolgozni, amely biztosítja a személyes adatok biztonságát és védelmet nyújt a jogosulatlan vagy jogellenes feldolgozással szemben. Ezen követelmények biztosításához pedig szükség van a megfelelő technikai és szervezetési intézkedések kialakítására és fenntartására. 

Az új rendelet megsértése esetén a társaságok akár 20 millió euró vagy a társaság globális összforgalmának éves árbevétele 4%-ának megjelelő mértékű bírságot is fizethetnek. 

Nézzük meg konkrét példákon keresztül, hogy mit is jelent ez a gyakorlatban.

Mit büntetnek a hatóságok és mekkora összegű bírságra számíthatnak az adatkezelők 

2019 júliusában az Egyesült Királyság Adatfelügyeleti Hatósága (ICO) bejelentette, hogy 204 millió euró összegű bírságot szabott ki a British Airways-re (az éves árbevétel körülbelül 1,5% -a). Ez a legmagasabb bírság, amelyet a GDPR hatálybalépése óta kivetettek, amely meghaladja a francia hatóságok által a Google-re 2018-ban kiszabott 50 millió eurós bírságot is. A British Airwaysnél az adat- és informatikai biztonsággal kapcsolatos gondatlanság eredményezte a kiszabott rekordbírságot. Egy úgynevezett hackertámadás által számítástechnikai bűnözők 2018-ban hozzáférést kaptak személyes adatokhoz és hitelkártya-információkhoz, köztük biztonsági kódokhoz (CVC-számok) olyan British Airways ügyfelektől, akik hitelkártyával fizették a repülőjegyet. Az adatvédelmi incidens körülbelül 500 000 ügyfelet érintett. 

Németországban 2019. év végéig 80-nál is több bírságot szabtak ki, a büntetések összege eléri összesen kb. a 485.000 eurót (átlagosan 6.000 euró ügyenként). A Baden-Württembergi tartomány szabta ki a mai napig a legmagasabb bírságot 80.000 euró összegben. A jelen esetben egy digitális publikáción keresztül személyes egészségügyi adatok kerültek az internetre a nem megfelelő belső ellenőrzési mechanizmusok miatt. További 50.000 eurós bírságot szabtak ki Berlinben a berlini Bank (N26) ügyében a volt ügyfelek személyes adatainak jogosulatlan feldolgozása miatt. A bank bizonyos korábbi ügyfeleknek a személyes adatait jogellenesen, egy úgynevezett „fekete listán” tárolta. Ez azonban csak akkor lehetséges, ha az ügyféllel kapcsolatban pénzmosás gyanúja merül fel.

„Magyar viszonylatban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)-hoz 2018. július 26-a után több mint 1.000 konzultációs beadvány érkezett, amelyekben több mint 600 esetben indított vizsgálati eljárást a hatóság.” – ismerteti az act legal szakértője.  57 ügyben indult adatvédelmi hatósági eljárás, ami több mint 48.000 eurós bírságot eredményezett. A legjelentősebb bírságot a Sziget Kft. esetében szabta ki a NAIH. A cég által szervezett rendezvényeken alkalmazott beléptetés során megvalósított adatkezelés jogellenessége abban állt, hogy a kötelezett által, a vizsgált időszakban folytatott adatkezelés nem megfelelő jogalapon történt, nem felelt meg a célnak és az érintettek nem kaptak megfelelő előzetes tájékoztatást. A panaszt azért nyújtották be, hogy a belépésnél a résztvevők igazolványai be lettek szkennelve anélkül, hogy meghatározták volna az adatkezelés célját és az idejét. A Sziget Kft. a figyelmeztetést követően sem javította ki az észlelt hibákat, ezért adatvédelmi bírságot szabott ki rá a NAIH 30 millió forint összegben. 

Következtetés és kilátások a GDPR területén

A bemutatott hatósági gyakorlat eddigi álláspontja szerint a cégek szempontjából látható, hogy az adatvédelemre és az informatikai biztonságra fordított beruházások pénzügyi szempontból is megtérülhetnek. Azok a cégek ellenben, amelyek eddig nem vették figyelembe a GDPR szabályait és az adatkezelési gyakorlatukat nem igazították a GDPR követelményeihez magas bírságokra is számíthatnak.

Ajánlott cikk

Biztos abban, hogy végleg búcsút vett munkavállalójától?

A munkáltatói felmondás előzetes mérlegelésénél a munkáltatók általában tisztában vannak azzal, hogy ha a felmondást …

Vélemény, hozzászólás?

Ez a weboldal az Akismet szolgáltatását használja a spam kiszűrésére. Tudjunk meg többet arról, hogyan dolgozzák fel a hozzászólásunk adatait..

%d blogger ezt szereti:

Annak érdekében, hogy Önnek a legjobb élményt nyújtsuk sütiket használunk honlapunkon. További információ

Az Uniós törvények értelmében fel kell hívnunk a figyelmét arra, hogy ez a weboldal ún. "cookie"-kat vagy "sütiket" használ. A sütik kicsik, teljesen veszélytelen fájlok, amelyeket a weboldal azért helyez el az Ön számítógépén, hogy minél egyszerűbbé tegye Ön számára a böngészést. A sütiket letilthatja a böngészője beállításaiban. Amennyiben ezt nem teszi meg, illetve ha az "Elfogadom" feliratú gombra kattint, azzal elfogadja a sütik használatát.

Bezárás