Jogi Publikáció – dr. Farkas Mihály: Az adatvédelmi bírság kiszabásának szempontjai a Nemzeti Adatvédelmi és Információszabadság Hatóság gyakorlatának tükrében
- By : Jogerő.hu
- Category : Jogi publikáció
I. Bevezetés
A természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 rendelet (a továbbiakban: általános adatvédelmi rendelet) jelentős újításként vezette be a tagállamokban az egységes adatvédelmi bírság intézményét. A bírság mértéke az egységesség jegyében mindenhol azonosan kerül meghatározásra és a korábbi bírságösszegekhez képest lényegesen magasabb. Az általános adatvédelmi rendelet bevezetése óta eltelt idő alatt már elegendő számú határozat született, hogy a Nemzeti Adatvédelmi és Információszabadság Hatóság (a továbbibakban: NAIH) gyakorlata megismerhető lehessen. Dolgozatomban – amely Szegedi Tudományegyetem Állam- és Jogtudományi Kar Digitális Adatvédelmi Szakjogász és Szaktanácsadó képzésre készített dolgozat jelentős továbbépítésével készült – az adatvédelmi bírságra vonatkozó rendelkezések ismertetését követően a NAIH gyakorlatát szeretném górcső alá venni annak érdekében, hogy minél átfogóbb képet tudjunk alkotni ezen jogintézményről.
II. Jogszabályi háttér
Az általános adatvédelmi rendelet (11) preambulum bekezdése a rendelet egyik fő célját az alábbiak szerint határozza meg „ahhoz, hogy a személyes adatok az Unió egész területén hatékony védelemben részesüljenek, az érintettek jogait, valamint a személyes adatokat kezelő, illetve az adatkezelést meghatározó személyek kötelezettségeit megerősíteni és részletesen meghatározni szükséges, ugyanakkor pedig az egyes tagállamokban a személyes adatok védelmére vonatkozó szabályok betartásának ellenőrzéséhez és biztosításához egyenértékű hatáskört is biztosítani szükséges, és a jogsértőkre azonos szankciókat kell alkalmazni.”[1](kiemelés tőlem)
Fentiekből jól látszik a jogalkotó azon szándéka, hogy a tagállamok területén megvalósuló jogsértések azonos elbírálás alá essenek függetlenül attól, hogy mely tagállamban valósult meg a jogsértés. Ezen cél érdekében az általános adatvédelmi rendelet a tagállamokra nézve egységes, kötelezően alkalmazandó szankciórendszert határoz meg.
Az általános adatvédelmi rendelet 58. cikk a tagállami felügyeleti hatóságok hatáskörét az alábbi három fő kategóriába sorolja:
- Vizsgálati hatáskör
- Korrekciós hatáskör
- Engedélyezési és tanácsadási hatáskör.
Az adatvédelmi bírság kiszabására a hatóság egyéb szankciók mellett, illetőleg helyett korrekciós hatáskörében jogosult. Az általános adatvédelmi rendelet 83. cikke előírja a tagállami felügyeleti hatóságok számára, hogy biztosítsák, hogy a kiszabott közigazgatási bírságok minden esetben hatékonyak, arányosak legyenek és visszatartó erővel rendelkezzenek. Az általános adatvédelmi rendelet a tagállami felügyeleti hatóságok egyedi ügyben történő mérlegelésére bízza, hogy szankcióként a korrekciós jogköréből fakadó jogkövetkezmények[2] helyett, vagy mellett sor kerül e közigazgatási bírság kiszabására.
A közigazgatási bírság kiszabásának, valamint a bírság mértékének megállapítására egységes szempontrendszert állapít meg az álltalános adatvédelmi rendelet. A tagállami felügyeleti hatóság által mérlegelési körében kötelezően figyelembe veendő körülmények az alábbiak szerint kerültek meghatározásra:
„a) a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;
b) a jogsértés szándékos vagy gondatlan jellege;
c) az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;
d) az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa a 25. és 32. cikk alapján foganatosított technikai és szervezési intézkedéseket;
e) az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések;
f) a felügyeleti hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;
g) a jogsértés által érintett személyes adatok kategóriái;
h) az, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette-e be a jogsértést, és ha igen, milyen részletességgel;
i) ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban – ugyanabban a tárgyban – elrendelték az 58. cikk (2) bekezdésében említett intézkedések valamelyikét, a szóban forgó intézkedéseknek való megfelelés;
j) az, hogy az adatkezelő vagy az adatfeldolgozó tartotta-e magát a 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmusokhoz; valamint
k) az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.”[3]
A kiszabható közigazgatási bírság maximumát az álltalános adatvédelmi rendelet a 83. cikk (4) bekezdése szerinti „enyhébb” jogsértés esetén 10 millió euróban, illetőleg vállalat esetén, annak világpiaci forgalmának 2%-ban határozta meg, míg a 83. cikk (5) bekezdése szerinti „súlyosabb” jogsértés megvalósulásakor a bírság akár 20 millió euró, illetőleg vállalat esetében világpiaci forgalma 4%-nak megfelelő összeg is lehet.
Fenti rendelkezésekből jól látszik, hogy az általános adatvédelmi rendelet, mind az alkalmazni kívánt szankció tekintetében, mind a szankció mértéke vonatkozásában jelentős mérlegelési lehetőséget biztosít a tagállami hatóságok számára. Erre tekintettel szükségesnek tartom a NAIH, mint a hazai felügyeleti hatóság gyakorlatának az áttekintését.
III. A NAIH gyakorlata
1. NAIH/2019/769.
Az ügy tényállásának lényege szerint a munkáltató a munkavállaló betegség miatti keresőképtelenségének ideje alatt, a munkavállaló előzetes értesítése nélkül ellenőrzést végzett a munkáltató által biztosított technikai eszközökön, köztük a munkavállaló számára biztosított munkahelyi e-mail fiókban. A Munkáltató az ellenőrzés során fényképfelvételeket készített, amelyeket a Kérelmező munkaviszonyának megszüntetéséhez mellékelt, továbbá utasította a kérelmezőt, hogy a keresőképtelenségének megszűnését követő munkanapon adja le a Munkáltató által biztosított elektronikai eszközeit, amelyeken a kérelmező személyes adatokat is tárolt (pl. személy azonosító okmány másolat). Az ügyben a NAIH[4]
- megállapította, hogy a Munkáltató a tisztességes adatkezelés elvébe ütközően kezelte a Kérelmező személyes adatait e-mail-fiókja áttekintése és ellenőrzése vonatkozásában, továbbá az ezen ellenőrzéssel összefüggő adatkezelésről jogellenesen nem nyújtott előzetes tájékoztatást;
- utasította a Munkáltatót, hogy a határozat véglegessé válásától számított 15 napon belül a Kérelmező bevonásával és tájékoztatásával vizsgálja felül, hogy a Kérelmező e-mail fiókja sérelmezett Munkáltató általi áttekintése és ellenőrzése során mely – a munkavégzéssel össze nem függő (magáncélú) – személyes adatait, levelezéseit ismerte meg, illetve tárolta, és azokat törölje;
- hivatalból megállapította, hogy a Munkáltató a Kérelmező e-mail fiókjának ellenőrzésével összefüggő adatkezelés során az elszámoltathatóság alapelvi követelményét megsértve nem tett megfelelő technikai, szervezési intézkedéseket annak érdekében, hogy az általa, a munkavállalók számára biztosított e-mail-fiókok és számítástechnikai eszközök használatával összefüggésben, valamint ennek ellenőrzése során biztosítsa a személyes adatok védelmét, és nem gondoskodott az érintettek megfelelő tájékoztatásáról;
- hivatalból utasította a Munkáltatót arra, hogy a határozat véglegessé válásától számított 30 napon belül megfelelő, a tisztességes adatkezelés alapelvi követelményével összhangban álló technikai, szervezési intézkedések megtételével gondoskodjon a munkavállalók számára biztosított e-mail-fiókok és számítástechnikai eszközök használatával összefüggésben a személyes adatok védelméről, alkossa meg az ehhez szükséges belső szabályokat és gondoskodjon az érintettek megfelelő tájékoztatásáról, ennek keretében biztosítsa, hogy az e-mail- fiókok, számítástechnikai eszközök ellenőrzésére vonatkozó belső szabályozás, és az ellenőrzésre vonatkozó megfelelő tájékoztató megalkotásával végezze a munkavállalók e-mail-fiókjainak, számítástechnikai eszközeinek az ellenőrzését;
- hivatalból utasította a Munkáltatót, hogy a határozat véglegessé válásától számított 15 napon belül a Kérelmező tájékoztatásával és bevonásával vizsgálja meg, hogy a Kérelmező által visszaszolgáltatott eszközök (telefon és laptop) a Kérelmező mely személyes adatait tartalmazzák, melyek közül azokat, amelyek kezelésére, a munkaviszony időközbeni megszüntetésére is figyelemmel jogalappal, illetőleg legitim céllal, már nem rendelkezik – ideértve mindenekelőtt magáncélú, azaz a munkavégzéssel össze nem függő adatokat – törölje;
- a kérelem adatvédelmi bírság kiszabására vonatkozó részét elutasította, ugyanakkor a Munkáltatót hivatalból 1 000 000,- forint adatvédelmi bírság megfizetésére kötelezte[5].
A NAIH döntésében az ügy összes releváns körülményét mérlegelve arra az álláspontra jutott, hogy feltárt jogsértéssel nem állna arányban, illetőleg kellő visszatartó erővel sem rendelkezne, amennyiben figyelmeztetést alkalmazna, így bírság kiszabását látta szükségesnek. A bírság kiszabása vonatkozásában a NAIH kiemelte, hogy „a bírságkiszabással a Hatóság speciális prevenciós célja az, hogy ösztönözze a Kötelezettet arra, hogy adatkezelési tevékenységét tudatosan folytassa, és az érintetteket ne tárgyként, hanem valóban jogosultként kezelje, biztosítva az ebből eredő jogaik, az adataik kezelése feletti kontrol gyakorlásához szükséges információkat, egyéb feltételeket. Általában pedig szükséges valamennyi hasonló helyzetben lévő adatkezelő számára világossá tenni, hogy a személyes adatok kezelése fokozott tudatosságot igényel, nem lehet e téren a józan belátásra hagyatkozva bármilyen proaktív intézkedések megtétele nélkül működni, gondatlanul bízva abban, hogy nem származik hátrány a személyes adatok ténylegesen kontrollálatlan kezeléséből. Az ilyen hanyag magatartás az érintettek jogait teljes mértékben figyelmen kívül hagyja, és mint ilyen, lényegében emberi méltóságukat csorbítja, és mint ilyen, nem maradhat szankcionálatlanul.”[6]
A NAIH által fent kifejtettekből is jól látszik, hogy a felügyeleti hatóság aktívan alakítja a gyakorlatot, az egyes egyedi ügyekben meghozott határozataival – az általános adatvédelmi rendelet 83. cikkének megfelelően – a jelentős hangsúlyt fektet mind a generális, mind a speciális prevenció érvényesítésére.
A bírság mértékének meghatározása körében a NAIH megállapította, hogy a Munkáltató által elkövetett jogsértés a 83. cikk (5) bekezdés b) pontja szerinti magasabb bírságkategóriába tartozó jogsértésnek minősülnek.
Ezen túlmenően a bírság kiszabása körében súlyosító körülményként került értékelésre, hogy [7]
- a Munkáltató által okozott jogsérelem okán az érintetti jogok gyakorlása jelentősen megnehezült;
- a Munkáltató magatartása súlyosan gondatlannak tekintendő.
Ezzel szemben enyhítő körülményként vette figyelemben[8], hogy
- a Munkáltató korábban nem volt elmarasztalva az általános adatvédelmi rendelet szabályainak megsértése miatt;
- a Munkáltatót fenyegető károk enyhítése, illetőleg elkerülése érdekében szükséges volt a Munkáltató által elvégzett ellenőrzés;
- a Munkáltató az elvégzett ellenőrzés során nem ismert meg a Kérelmező magánéletével kapcsolatos, érzékeny információkat;
- valamint azt, hogy a Kérelmező jelentős közrehatása volt megállapítható, mivel a Munkáltatótól munkavégzés céljából kapott e-mail fiókban, eszközökön a munkavégzéssel össze nem egyeztethető célú adatkezelést végzett úgy, hogy az eltérő célból tárolt adatok egymástól egyszerűen külön válogathatóak lettek volna[9].
2. NAIH/2019/1590.
Az ügy tényállásának lényege szerint a kérelmezők (magánszemélyek) ingatlana tekintetében a jelzálogjog-jogosult változásáról szóló határozatot a kérelmezett (földhivatal) a kérelmezettek személyes adatait tartalmazva kézbesítette az ugyanazon jogosult, egyazon törlési kérelmével érintett további 40 ingatlan tulajdonosainak is erre tekintettel a NAIH-nál adatvédelmi hatósági eljárás megindítását kezdeményezték.
Az ügyben a NAIH
- a Kérelmezők kérelmének helyt adott és megállapította, hogy a Kérelmezett az „adattakarékosság“ és az „átlátható adatkezelés“ elvét megsértve harmadik személyek számára hozzáférhetővé tette a Kérelmezők személyes adatait, valamint az adatkezeléséről nem adott átlátható tájékoztatást, ezért Kérelmezettet az általa végzett ezen jogszerűtlen adatkezelések miatt elmarasztalta,
- a jogellenes adatkezelés miatt Kérelmezettet hivatalból 600.000,- Ft adatvédelmi bírság megfizetésére kötelezte.
Tárgyi ügyben a NAIH az ügy összes körülményét vizsgálva arra megállapításra jutott, hogy az eljárás során feltárt jogsértéssel figyelmeztetés alkalmazása nem állna arányban, illetőleg kellő visszatartó erővel sem rendelkezne. A feltárt jogsértés kapcsán bírság kiszabását látta szükségesnek, mivel a kérelmezett által megvalósított jogsértés a 83. cikk (5) bekezdés a) pontja szerinti magasabb összegű bírság kategóriába tartozó jogsértés.[10]
A NAIH a bírság meghatározása során az alábbi körülményeket vette figyelembe[11]:
- a Kérelmezett gondatlan magatartásával valósította meg a szabályszegést;
- a Kérelmezett ismétlődő jelleggel, főtevékenysége körében, közhatalom gyakorlása keretében végzi az ingatlan-nyilvántartással összefüggő adatok kezelését;
- a Kérelmezett a vitatott gyakorlatát megváltoztatta, a jogellenes adatkezelés tényét elismerte;
- a Kérelmező adatait a Kérelmezett gyakorlata nyomán negyven fő ismerhette meg illetéktelenül;
- a jogsértés közepesen súlyosnak tekinthető.
3. NAIH-85-3/2022
A NAIH panasz alapján előzmény vizsgálati eljárást folytatott le NAIH-5161/2021. számon, melynek során a pénzintézeti tevékenységet folyató jogi személynek minősülő Ügyfél azon gyakorlata során megvalósuló adatkezelést vizsgálta, mely szerint az Ügyfél a hozzá befutó ügyfélszolgálati hívásokról rögzített hanganyagot automatikus elemzésnek veti alá, valamint ezen adatkezelés vonatkozásában azt, hogy ezen adatkezelés tekintetében az Ügyfél megfelelő mértékű tájékoztatást nyújt-e az adatkezeléssel érintett személyeknek. Az Ügyfél ezen elemzés alapján kapott adatokra támaszkodva dönti el, hogy mely ügyfeleket szükséges visszahívnia, melynek során egyebek mellett automatikusan elemzésre kerül a telefonáló személy, valamint az ügyfélszolgálati feladatokat ellátó személy érzelmi állapota, valamint a beszélgetés más jellemzői.
A NAIH fenti előzményi vizsgálati eljárása alapján indított eljárás során az Ügyfél részéről az ügyfélszolgálatára telefon útján bejövő és kimenő hívások rögzített hangfelvételeinek automatikus vizsgálatával, valamint ezen vizsgálat alapján a hangfelvételek bizonyos részének visszahallgatásával, ezt követően az érintetettek egy részének visszahívásával összefüggésben megvalósuló adatkezelést vetette ellenőrzés alá. A vizsgálat során a NAIH mind az Ügyfél ügyfélszolgálatán munkát ellátó dolgozói, mind a telefonáló harmadik személyek vonatkozásában megvalósuló adatkezelést vizsgálta.
Az ügyben a NAIH[12]
- Hivatalból megállapította, hogy az Ügyfél hangfelvétel elemzéssel megvalósuló adatkezelési gyakorlata során megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés a) és b) pontját[13], 6. cikk (1) bekezdését[14], 6. cikk (4) bekezdését[15], 12. cikk (1) bekezdését[16], 13. cikkét[17], 21. cikk (1) és (2) bekezdését[18], 24. cikk (1) bekezdését[19], 25. cikk (1) és (2) bekezdését[20].
- A NAIH az általános adatvédelmi rendelet 58. cikk (2) bekezdés d) pontjában[21] meghatározott korrekciós hatáskörében eljárva utasította az Ügyfelet az adatkezelési gyakorlatának akként való módosítására, hogy „az megfeleljen az általános adatvédelmi rendeletnek, azaz a hangelemzés során az érzelmeket ne elemezze, és az adatkezeléssel kapcsolatban az érintetti jogokat megfelelően biztosítsa, különösen, de nem kizárólag a megfelelő tájékoztatás és tiltakozás jogát. Az Ügyfél munkavállalóival kapcsolatban az adatkezelésnek a velük kapcsolatos célok eléréséhez szükségesre kell korlátozódnia, valamint ennek megfelelő tájékoztatást kell nyújtani részükre az értékelési szempontok és következmények megjelölésével. A munkavállalókkal kapcsolatos – eltérő célú – adatkezeléssel kapcsolatos külön érdekmérlegelés ki kell térjen az ezen függelmi viszonyból adódó kiszolgáltatott helyzetre és megfelelő belső garanciákat kell meghatározzon erre tekintettel.”[22]
- Az ügyfelet 250.000.000,- forint adatvédelmi bírság megfizetésére kötelezte.
A II. pontban meghatározott kötelezettség teljesítése vonatkozásában előírta, hogy a „kötelezettség teljesítését az Ügyfélnek a jelen határozat véglegessé válásától számított 60 napon belül kell írásban – az azt alátámasztó bizonyítékok előterjesztésével együtt – igazolnia a Hatóság felé. Az adatkezelést kizárólag megfelelő adatkör meghatározása mellett, valós hatásvizsgálat, érvényes jogalap, valamint az érintetti jogok maximális biztosításának igazolásával lehet folytatni, ellenkező esetben az Ügyfélnek a vizsgált adatkezelés megszüntetését kell igazolnia a Hatóság felé a fenti határidőn belül.”[23]
A bírság összegének meghatározásakor a NAIH súlyosító körülményként értékelte[24]:
- a jogsértés kirívóan súlyos voltát, az ügy jelentőségét, valamint azt, hogy az általános adatvédelmi rendelet több rendelkezése megsértésre került az Ügyfél által, valamint az ügy elvi jelentőségét;
- azt, hogy a jogsértés az általános adatvédelmi rendelet alkalmazandóvá válását megelőző időtől kezdődően, valamint az általános adatvédelmi rendelet hatálya alatt végig, a döntés meghozataláig fenn ált;
- az ügyfél piaci pozícióját;
- azt, hogy a vizsgált tevékenység során megvalósuló adatkezelés során kockázatos új technológia került alkalmazásra;
- azt, hogy az emóciók mesterséges intelligencia útján történő vizsgálata, mind az Európai Adatvédelmi Biztos, mind az Európai Adatvédelmi Testület, mind a NAIH álláspontja szerint kockázatos és főszabály szerint kerülendő;
- azt, hogy Ügyfél részéről legalább eshetőleges szándék állt fenn a jogsértés megvalósítása során;
- azt, hogy az Ügyfél nem tett lépéseket a tiltakozáshoz való jog és a tájékoztatáshoz való jog érvényesítése érdekében;
- az Ügyfél nem teljesítette az általános adatvédelmi rendelet által előírt kockázat alapú megközelítést az adatkezelése során;
- azt, hogy az álnevesítés garanciális jelnetősége csekély jelentőségű volt, figyelemmel arra, hogy a gyakorlatban hangfelvételt visszahallgató alkalmazott számára minden alkalommal ismert lehetett a hívó fél mivel a rögzített hívás minden esetben személyazonosítással kezdődik;
- azt, hogy az érdekmérlegelés csak papíron létező garancia volt;
- az adatkezelés olyan személyes adatok vonatkozásában nyilvánult meg, amelyek mélyebben érintik az érintett személyek privát szféráját;
- azt, hogy az ügyfél 2020 évi összesített éves nettó árbevétele több mint 81 milliárd forint volt;
- azt, hogy az adatkezelés során az Ügyfelet kifejezetten a profiszerzés, az ügyfelek megtartása, valamint a belső költségcsökkentés motiválta, melynek megvalósítása érdekében, jogellenes mértékben alárendelt minden más szempontot.
Ezzel szemben enyhitő körülményként került értékelésre[25], hogy
- az Ügyféllel szemben adatvédelmi jogsértés korábban nem került megállapításra;
- a mesterséges intelligencia felhasználásával kapott eredményt emberi felülvizsgálattal korrigálják, így nem kerül sor közvetlen döntéshozatalra a Szoftver részéről.
4. NAIH/963-10/2022.
Az ügy tényállásának lényege szerint Siófok Város Önkormányzati Hivatala 39 darab, mesterséges intelligencia funkció segítéségével „arcdetekálásra” képes kamerát szereltetett fel a Petőfi sétányon, a kamera rendszert az Önkormányzat szervezeti egységeként működő Városőrség üzemeltette azzal, hogy a kameraszoba bűnügyi együttműködés keretében a Siófoki Rendőrkapitányság épületében került kiépítésre, ahol a Városőrség tagján kívül a rendőrkapitányság állományába tartozó rendőr is részt vett a megfigyelésben. Az eljárásba ügyfélként bevonásra került a Techno-Tel Távközlési és Informatikai, Kivitelező és Szolgáltató Korlátolt Felelősségű Társaság is. A vizsgálat alapján a NAIH megállapította, hogy a kamerák mesterséges intelligencia funkciója nem került aktiválásra.
Az ügyben a NAIH[26]
- Megállapította, hogy Siófok Város Önkormányzata és a Siófoki Rendőrkapitányság, a közterületi térfigyelő rendszer általi adatkezelése során megsértette az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban: Infotv.) 25/B. § (1) bekezdését[27], 25/F. § (1) bekezdés d) pontját[28], a 25/F. § (4) bekezdését[29] és a 25/I. § (3) bekezdés c) és e) pontját[30]
- elrendelte a végleges határozatának az adatkezelő azonosító adatainak közzétételével történő nyilvánosságra hozatalát.
- megállapította, hogy Techno-Tel Távközlési és Informatikai, Kivitelező és Szolgáltató Korlátolt Felelősségű Társaság megsértette az Infotv. 25/D. § (3) bekezdés a.) pontját[31], mely jogsértésért 500.000,- forint adatvédelmi bírság megfizetésére kötelezte.
A NAIH eljárása során részleteiben nem vizsgálta azt a kérdést, hogy amennyiben Siófok Város Önkormányzata, illetőleg a Siófoki Rendőrkapitányság a rendelkezésükre álló mesterséges intelligenciát alkalmazó szoftvert bekapcsolta és alkalmazta volna, abban az esetben a biometrikus adatok kezelése milyen módon valósult volna meg. A NAIH álláspontja szerint ezen kérdéskör vizsgálatára abban az esetben lett volna lehetősége, ha rekonstruálható körülmények között, bizonyítékokkal alátámaszthatóan sor került volna ilyen jellegű adatkezelésre.
A NAIH döntésében Siófok Város Önkormányzata és a Siófoki Rendőrfőkapitányság vonatkozásában az Infotv. 61. § (1) bekezdés b.) pont ba.) alpontja[32] alapján megállapította a térfigyelő kamerarendszer keretében végzett adatkezelés módjának jogellenességét figyelemmel arra, hogy a közös adatkezelők között hiányzott az adatkezelés vonatkozásában felelősségük megosztását szabályozó megállapodás, valamint az elszámoltathatóság és az adatbiztonság következményeit megsértették.
Techno-Tel Távközlési és Informatikai, Kivitelező és Szolgáltató Korlátolt Felelősségű Társaság vonatkozásában a NAIH a megvalósuló jogsértésre tekintettel nem tartotta elégségesnek, illetőleg azzal arányosnak önmagában a jogellenesség tényének megállapítását figyelemmel a megvalósított cselekményre, valamint az ügyben fennálló enyhítő és súlyosító körülményekre.
A bírság összegének meghatározásakor a NAIH enyhítő körülményként értékelte[33]:
- a sérelmezett szerepkőr törlést, módosítás és létrehozást a Társaság alkalmazottja önhatalmúlag, utasítás nélkül végezte el;
- a Társasággal szemben személyes adat kezelésével kapcsolatos jogsértés megállapítására nem került sor a NAIH részéről;
- illetőleg a jogsértést jellegét, kisebb súlyát.
Ezzel szemben súlyosító körülményként került figyelembevételre[34], hogy
- a jogsértő cselekmény megvalósítására közvetlenül a NAIH helyszíni szemléjének megtörténtét megelőzően került sor, amikor már a Társaság számára is egyértelmű volt a NAIH eljárásának célja, aki már az adatkezelés körülményeiről már részben nyilatkozatot tett és tudomása volt a következő szemle helyszínéről, valamint a szemlén megvalósuló vizsgálat tárgyáról;
- a Társaság megsértette azon törvényi kötelezettségét, mely szerint kizárólag az adatkezelő írásbeli utasítására járhatott volna el.
Mindezen körülményeket értékelve és egybevetve a NAIH a maximálisan kiszabható bírság egynegyvenketted részének megfelelő mértékű adatvédelmi bírság kiszabását tartotta arányosnak és kellő vissza tartó erővel rendelkezőnek a Társaság vonatkozásában.
5. NAIH-1006-3/2022
A határozat tényállásnak lényege szerint a NAIH a bejelentésre hatósági ellenőrzést indított az Ügyfél munkahelyi kamerás megfigyelésével kapcsolatban. Az Ügyfél a NAIH felhívására előadta, hogy térfigyelő kamerákat szerelt fel az ingatlan területén, ahol gépjárműjavítással és karbantartással kapcsolatos munkavégzés is folyik. Előadta, hogy a kamerák felszereléséről szóló döntést az Ügyfél ügyvezetője és egyben 3/4 részben tulajdonosa hozta meg, tekintettel arra, hogy a megfigyelt ingatlan 1/2 tulajdoni hányadban a tulajdona. Nyilatkozata szerint a kamerák telepítésének oka, hogy az ingatlanban található műhely összes bejáratát korábban megrongálhatták, valószínűsíthetően betörési szándékkal, melyek következtébe a műhelybe a zárak tönkremenetele okán nem lehetett bejutni. A rendszer felszerelésének további okaként a műhelyben lévő eszközök és tárgyak védelmét jelölte meg. Az Ügyfél NAIH-nak adott válasza szerint a kamerák az ingatlan belső területét figyelik, közterületre nem látnak rá, a műhelyben csak az ott dolgozó személyek tartózkodhatnak, idegenek – ideértve az ügyfeleket is – nem lehetnek a műhelyben jelen. Az Ügyfél nyilatkozata szerint az általa foglalkoztatott munkavállalók írásban lettek tájékoztatva a kamerarendszer alkalmazásáról, melyet írásban el is fogadtak, továbbá a 2021. május 8. apján a kamerarendszerre figyelmeztető piktogram került kihelyezésre. A kamerákkal élőkép megfigyelésére az Ügyfél nyilatkozata szerint nincs lehetőség. A kamerák által készített felvételek a kamerákban található rögzítő egységen túlmenően felhőben is tárolásra kerültek meghatározott ideig, amely a belső helyiségek raktár-iroda, ügyfélváró-iroda, konyha 3 nap, míg a műhely esetében 7 nap. A felvételekhez az Ügyfélen kívül az Ügyfél 25%-os tulajdonosa férhet hozzá az Ügyfél engedélyével. A NAIH felhívására az Ügyfél akként nyilatkozott, hogy a kamerarendszer tekintetében nem készül érdekmérlegelési teszt. Nyilatkozott továbbá az Ügyfél arról is, hogy a konyha helyiségben étkező és pihenő tevékenység folyik, ott munkavégzés nem történik, valamint ezen helyiségben van a vállalkozás pénzkazettája is.
Az ügyben a NAIH[35]
I. megállapította, hogy
a.) az Ügyfél megsértette az általános adatvédelmi rendelet 5. cikk (1) bekezdés b) és c)[36] pontjaiban szabályozott célhoz kötöttség és adattakarékosság elvét, mivel székhelyének „konyha” és „iroda-ügyfélváró” helyiségeiben felszerelt kamera látószögét úgy állította be, hogy azok nem csak a védendő vagyontárgyakra irányulnak, hanem alkalmasak a munkavállalók indokolatlan megfigyelésére;
b.) Az Ügyfél megsértette az általános adatvédelmi rendelet 6. cikk (1) bekezdésének f) pontját[37], mivel a munkavállalók hozzájárulása képezte a kamrarendszer üzemeltetésének jogalapját az adatkezelői jogos érdekére való hivatkozás helyett;
- Az Ügyfél megsértette az általános adatvédelmi rendelet 13. cikk (1)-(2) bekezdéseit[38], amikor nem tájékoztatta megfelelően a munkavállalóit az ott zajló kamerás adatkezelés körülményeiről.
II. kötelezte Ügyfelet, hogy
1. a székhelyén az „iroda-ügyfélváró” és „konyha” helyiségeiben telepített kamerák látószögeit változtassa meg úgy, hogy azok ne legyenek alkalmasak a munkavállalók indokolatlan megfigyelésére és összhangban legyenek a rendszer telepítésének személy- és vagyonvédelmi céljával.
2. módosítsa a kamerarendszer adatkezelési szabályzatát annak megfelelően, hogy ne a munkavállalók hozzájárulása, hanem az adatkezelő jogos érdeke képezze a rendszer működtetésének jogalapját és ezért végezze el az ehhez szükséges érdekmérlegelési tesztet.
3. módosítsa a kamerarendszer adatvédelmi tájékoztatóját, úgy, hogy az megfeleljen az általános adatvédelmi rendelet 13. cikk (1)-(2) bekezdéseiben és a határozat III./3. pontjában foglaltaknak.
III. ezen jogsértések miatt Ügyfelet a határozat véglegessé válásától számított 500.000,- Ft adatvédelmi bírság megfizetésére kötelezte;
IV. továbbá elrendelte a végleges határozatnak a személyes adatok és Ügyfél azonosító adatainak kitakarásával (anonimizálásával) történő nyilvánosságra hozatalát.
A bírság összegének meghatározásakor a NAIH enyhítő körülményként értékelte[39], hogy:
- csak a személyek szűkebb körét, mindösszesen hat munkavállalót érintett a tájékoztatás hiánya, valamint a jogsértő kamrás megfigyelés;
- azt, hogy a telephelyen elhelyezett kamerák közül mindössze kettő darab kamera (a konyhában és az iroda-ügyfélváró helyiségben elhelyezett) által közvetített kép alkalmas a munkavállalók indokolatlan megfigyelésére;
- a NAIH-nak az eljárása során nem jutott tudomására azzal kapcsolatos információ, amely alapján felmerülne annak a lehetősége, hogy a jogsértés nyomán az érintetteket bármilyen konkretizálható kár vagy hátrány érte volna;
- az Ügyfél részéről csupán gondatlanság állapítható meg a jogsértés tekintetében;
- az Ügyféllel kapcsolatban korábban a személyes adatok kezelése vonatkozásában jogsértés nem került megállapításra.
Fentiek mellett az eljárásban súlyosító körülményként[40] kerültek értékelésre az alábbiak:
- az általános adatvédelmi rendelet 83. cikk (2) bekezdés a) pontjára[41] figyelemmel azt, hogy a jogsértő módon megvalósuló kamerás adatkezelés, valamint az elégséges szintet el nem érő tájékoztatás a NAIH rendelkezésére álló adatok alapján 2021. március 5. napjától a döntés meghozataláig, azaz 2022. március 29. napjáig fennállt;
- az általános adatvédelmi rendelet 83. cikk (2) bekezdés h) pontjára[42] figyelemmel azt, hogy a NAIH-nak az adatkezelés ténye közérdekű bejelentés alapján jutott a tudomására. A közérdekű bejelentést tevő az Ügyfél számára, már a bejelentés megtételét megelőzőn jelzéssel él az adatkezelés jogsértése vonatkozásában, amely jelzés tekintetében az adatkezelő intézkedést nem tett.
- azt, hogy az Ügyfél által elkövetett, alapelvinek tekinthető jogsértések az általános adatvédelmi rendelet 83. cikk (5) bekezdése alapján súlyosabb megítélés alá esnek.
A NAIH által, a döntése meghozatala során figyelembe vette[43], hogy az Ügyfél az eljárás során teljeskörűen együttműködött a NAIH-al, azonban ezt a magatartást az általános adatvédelmi rendelet 83. cikk (2) bekezdés f) pontja[44] alapján nem értékelte kifejezetten enyhítő körülményként.
IV. Megállapítások
Hazánkban a tagállami felügyeleti hatóság szerepét ellátó NAIH fenti határozataiból is jól látszik, hogy a jogalkotó a szankció kiválasztása, illetőleg a kiszabott bírság összegének megállapítása körében jelentős mozgástérrel ruházta fel a felügyeleti hatóságokat. Megállapítható, hogy az adott ügyben alkalmazott szankció kiválasztása során a felügyeleti hatóság a jogalkotói szándéknak messzemenőleg eleget tesz, amikor az ügy összes körülményeit mérlegelve állapítja meg az alkalmazandó szankciót, illetőleg annak mértékét. Jelentős differenciálás figyelhető meg az elkövetett jogsértés általános adatvédelmi rendelet szerinti súlyosága alapján is. Véleményem szerint a NAIH a jogalkotó által meghatározott szerepének eleget tesz és a szankció kiszabása során a generális és speciális prevenció érvényesülésére jelentős hangsúlyt fektet.
V. Felhasznált források
- Jogszabályok:
- személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 rendelet
- az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény
- NAIH határozatok
- NAIH/2019/769. számú határozat
- NAIH/2019/1590. számú határozat
- NAIH/85-3/2022. számú határozat
- NAIH/963-10/2022. számú határozat
- NAIH/1006-3/2022. számú határozat
[1] személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK irányelv hatályon kívül helyezéséről szóló (EU) 2016/679 rendelet (a továbbiakban: általános adatvédelmi rendelet (11) preambulum bekezdés
[2] Általános adatvédelmi rendelet 58. cikk (2) bekezdés szerint a felügyeleti hatóság korrekciós hatáskörében eljárva:
a) figyelmezteti az adatkezelőt vagy az adatfeldolgozót, hogy egyes tervezett adatkezelési tevékenységei valószínűsíthetően sértik e rendelet rendelkezéseit;
b) elmarasztalja az adatkezelőt vagy az adatfeldolgozót, ha adatkezelési tevékenysége megsértette e rendelet rendelkezéseit;
c) utasítja az adatkezelőt vagy az adatfeldolgozót, hogy teljesítse az érintettnek az e rendelet szerinti jogai gyakorlására vonatkozó kérelmét;
d) utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit – adott esetben meghatározott módon és meghatározott időn belül – hozza összhangba e rendelet rendelkezéseivel;
e) utasítja az adatkezelőt, hogy tájékoztassa az érintettet az adatvédelmi incidensről;
f) átmenetileg vagy véglegesen korlátozza az adatkezelést, ideértve az adatkezelés megtiltását is;
g) a 16., 17., illetve a 18. cikkben foglaltaknak megfelelően elrendeli a személyes adatok helyesbítését, vagy törlését, illetve az adatkezelés korlátozását, valamint a 17. cikk (2) bekezdésének és a 19. cikknek megfelelően elrendeli azon címzettek erről való értesítését, akikkel vagy amelyekkel a személyes adatokat közölték;
h) visszavonja a tanúsítványt vagy utasítja a tanúsító szervezetet a 42. és a 43. cikknek megfelelően kiadott tanúsítvány visszavonására, vagy utasítja a tanúsító szervezetet, hogy ne adja ki a tanúsítványt, ha a tanúsítás feltételei nem vagy már nem teljesülnek;
i) a 83. cikknek megfelelően közigazgatási bírságot szab ki, az adott eset körülményeitől függően az e bekezdésben említett intézkedéseken túlmenően vagy azok helyett; és
j) elrendeli a harmadik országbeli címzett vagy nemzetközi szervezet felé irányuló adatáramlás felfüggesztését.
[3] általános adatvédelmi rendelet 83. cikk (2) bekezdés
[4] NAIH/2019/769. számú határozat rendelkező rész
[5] NAIH/2019/769. számú határozat 22. oldal 2. bekezdés „A Hatóság elutasította a Kérelmezőnek a bírság kiszabására vonatkozó kérelmét, mivel e jogkövetkezmény alkalmazása a Kérelmező jogát vagy jogos érdekét közvetlenül nem érinti, számára a Hatóság ilyen döntése jogot vagy kötelezettséget nem keletkeztet, ebből kifolyólag ezen – a közérdek érvényesítésének körébe eső jogkövetkezmény alkalmazása tekintetében a bírságkiszabás vonatkozásában a Kérelmező nem minősül ügyfélnek az Ákr. 10. § (1) bekezdése alapján, illetve – mivel az Ákr. 35. § (1) bekezdésének nem felel meg, e vonatkozásban kérelem benyújtásának nincs helye, a beadvány ezen része kérelemként nem értelmezhető.”
[6] NAIH/2019/769. számú határozat 22. oldal 3. bekezdés
[7] NAIH/2019/769. 22. oldal
[8] NAIH/2019/769. 22-23. oldal
[9] a hatóság által a bírság összegének meghatározása során figyelembe vett releváns tényezők: NAIH/2019/769. számú határozat 22-23. oldal
[10] NAIH/2019/1590. számú határozat 8. oldal 2. bekezdés
[11] [11]NAIH/2019/1590. számú határozat 8. oldal 4-7. bekezdések
[12] : NAIH-85-3/2022. számú határozat rendelkező rész
[13] általános adatvédelmi rendelet 5. cikk (1) bekezdés a). és b.) pont: A személyes adatok: a)
kezelését jogszerűen és tisztességesen, valamint az érintett számára átlátható módon kell végezni („jogszerűség, tisztességes eljárás és átláthatóság”);
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);
[14]általános adatvédelmi redelet: 6. cikk (1) bekezdés: A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül: a) az érintett hozzájárulását adta személyes adatainak egy vagy több konkrét célból történő kezeléséhez;
b) az adatkezelés olyan szerződés teljesítéséhez szükséges, amelyben az érintett az egyik fél, vagy az a szerződés megkötését megelőzően az érintett kérésére történő lépések megtételéhez szükséges;
c) az adatkezelés az adatkezelőre vonatkozó jogi kötelezettség teljesítéséhez szükséges;
d) az adatkezelés az érintett vagy egy másik természetes személy létfontosságú érdekeinek védelme miatt szükséges;
e) az adatkezelés közérdekű vagy az adatkezelőre ruházott közhatalmi jogosítvány gyakorlásának keretében végzett feladat végrehajtásához szükséges;
f) az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
Az első albekezdés f) pontja nem alkalmazható a közhatalmi szervek által feladataik ellátása során végzett adatkezelésre.
[15] általános adatvédelmi redelet: 6. cikk (4) bekezdés: Ha az adatgyűjtés céljától eltérő célból történő adatkezelés nem az érintett hozzájárulásán vagy valamely olyan uniós vagy tagállami jogon alapul, amely szükséges és arányos intézkedésnek minősül egy demokratikus társadalomban a 23. cikk (1) bekezdésében rögzített célok eléréséhez, annak megállapításához, hogy az eltérő célú adatkezelés összeegyeztethető-e azzal a céllal, amelyből a személyes adatokat eredetileg gyűjtötték, az adatkezelő többek között figyelembe veszi:
a) a személyes adatok gyűjtésének céljait és a tervezett további adatkezelés céljai közötti esetleges kapcsolatokat;
b) a személyes adatok gyűjtésének körülményeit, különös tekintettel az érintettek és az adatkezelő közötti kapcsolatokra;
c) a személyes adatok jellegét, különösen pedig azt, hogy a 9. cikk szerinti személyes adatok különleges kategóriáinak kezeléséről van-e szó, illetve, hogy büntetőjogi felelősség megállapítására és bűncselekményekre vonatkozó adatoknak a 10. cikk szerinti kezeléséről van-e szó;
d) azt, hogy az érintettekre nézve milyen esetleges következményekkel járna az adatok tervezett további kezelése;
e) megfelelő garanciák meglétét, ami jelenthet titkosítást vagy álnevesítést is.
[16] általános adatvédelmi redelet: 12. cikk (1) bekezdés: Az adatkezelő megfelelő intézkedéseket hoz annak érdekében, hogy az érintett részére a személyes adatok kezelésére vonatkozó, a 13. és a 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa, különösen a gyermekeknek címzett bármely információ esetében. Az információkat írásban vagy más módon – ideértve adott esetben az elektronikus utat is – kell megadni. Az érintett kérésére szóbeli tájékoztatás is adható, feltéve, hogy más módon igazolták az érintett személyazonosságát.
[17] általános adatvédelmi rendelet: 13. cikk: (1) Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:
a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
c)a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d)a 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;
e) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
f) adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.
(2) Az (1) bekezdésben említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:
a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
c) a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
f) a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
(3) Ha az adatkezelő a személyes adatokon a gyűjtésük céljától eltérő célból további adatkezelést kíván végezni, a további adatkezelést megelőzően tájékoztatnia kell az érintettet erről az eltérő célról és a (2) bekezdésben említett minden releváns kiegészítő információról.
(4) Az (1), (2) és (3) bekezdés nem alkalmazandó, ha és amilyen mértékben az érintett már rendelkezik az információkkal.
[18] általános adatvédelmi rendelet 21. cikk (1) és (2) bekezdés: (1) Az érintett jogosult arra, hogy a saját helyzetével kapcsolatos okokból bármikor tiltakozzon személyes adatainak a 6. cikk (1) bekezdésének e) vagy f) pontján alapuló kezelése ellen, ideértve az említett rendelkezéseken alapuló profilalkotást is. Ebben az esetben az adatkezelő a személyes adatokat nem kezelheti tovább, kivéve, ha az adatkezelő bizonyítja, hogy az adatkezelést olyan kényszerítő erejű jogos okok indokolják, amelyek elsőbbséget élveznek az érintett érdekeivel, jogaival és szabadságaival szemben, vagy amelyek jogi igények előterjesztéséhez, érvényesítéséhez vagy védelméhez kapcsolódnak.
(2) Ha a személyes adatok kezelése közvetlen üzletszerzés érdekében történik, az érintett jogosult arra, hogy bármikor tiltakozzon a rá vonatkozó személyes adatok e célból történő kezelése ellen, ideértve a profilalkotást is, amennyiben az a közvetlen üzletszerzéshez kapcsolódik.
[19] általános adatvédelmi rendelet 24. cikk (1) bekezdés: Az adatkezelő az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi.
[20] általános adatvédelmi rendelet 25. cikk (1) és (2) bekezdés: (1) Az adatkezelő a tudomány és technológia állása és a megvalósítás költségei, továbbá az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével mind az adatkezelés módjának meghatározásakor, mind pedig az adatkezelés során olyan megfelelő technikai és szervezési intézkedéseket – például álnevesítést – hajt végre, amelyek célja egyrészt az adatvédelmi elvek, például az adattakarékosság hatékony megvalósítása, másrészt az e rendeletben foglalt követelmények teljesítéséhez és az érintettek jogainak védelméhez szükséges garanciák beépítése az adatkezelés folyamatába.
(2) Az adatkezelő megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítására, hogy alapértelmezés szerint kizárólag olyan személyes adatok kezelésére kerüljön sor, amelyek az adott konkrét adatkezelési cél szempontjából szükségesek. Ez a kötelezettség vonatkozik a gyűjtött személyes adatok mennyiségére, kezelésük mértékére, tárolásuk időtartamára és hozzáférhetőségükre. Ezek az intézkedések különösen azt kell, hogy biztosítsák, hogy a személyes adatok alapértelmezés szerint a természetes személy beavatkozása nélkül ne válhassanak hozzáférhetővé meghatározatlan számú személy számára.
[21] általános adatvédelmi rendelet 58. cikk (2) bekezdés d) pont: A felügyeleti hatóság korrekciós hatáskörében eljárva utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit – adott esetben meghatározott módon és meghatározott időn belül – hozza összhangba e rendelet rendelkezéseivel;
[22] NAIH-85-3/2022. számú határozat 1. oldal 3. bekezdés
[23] NAIH-85-3/2022. számú határozat 1. oldal 5. bekezdés
[24] NAIH-85-3/2022 határozat 33-35. oldal
[25] NAIH-85-3/2022 határozat 33. oldal
[26] NAIH 963-10/2022. számú határozat rendelkező része
[27] az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (a továbbiakban Infotv.) 25/B. § (1) bekezdés: ha törvény, nemzetközi szerződés vagy az Európai Unió kötelező jogi aktusa a közös adatkezelők által végzett adatkezeléssel összefüggő kötelezettségek teljesítésével, így különösen az érintett jogainak érvényesítésével, valamint ezen kötelezettségek teljesítésének elmulasztásával kapcsolatos felelősségük megoszlását nem, vagy nem teljeskörűen határozza meg, azt – a rájuk irányadó jogi kötelezettségek által nem szabályozott mértékben – a közös adatkezelők a közöttük írásban létrejött és nyilvánosságra hozott megállapodásban határozzák meg.
[28] Infotv. 25/F. § (1) bekezdés d.) pont :a személyes adatokkal elektronikus úton végzett adatkezelési műveletek jogszerűségének ellenőrizhetősége céljából az adatkezelő és az adatfeldolgozó automatizált adatkezelési rendszerben (a továbbiakban: elektronikus napló) rögzíti az adatkezelési műveletet végrehajtó személy megjelölését.
[29] Infotv. 25/F. § (4) bekezdés: az adatkezelői és az adatfeldolgozói nyilvántartásban, valamint az elektronikus naplóban rögzített adatokat a kezelt adat törlését követő tíz évig kell megőrizni.
[30] Infotv. 25/I. § (3) bekezdés c.) és e.) pont: az adatkezelő és tevékenységi körében az adatfeldolgozó az (1) bekezdésben meghatározott intézkedésekkel biztosítja
c.) az adatkezelő rendszerbe a személyes adatok jogosulatlan bevitelének, valamint az abban tárolt személyes adatok jogosulatlan megismerésének, módosításának vagy törlésének megakadályozását;
e.) azt, hogy az adatkezelő rendszer használatára jogosult személyek kizárólag a hozzáférési engedélyben meghatározott személyes adatokhoz férjenek hozzá,
[31] Infotv. 25/D. § (3) bekezdés a.) pont: az (1) bekezdésben meghatározott jogszabályban vagy szerződésben rendelkezni kell különösen az adatfeldolgozó azon kötelezettségéről, hogy tevékenysége során kizárólag az adatkezelő írásbeli utasítása alapján jár el.
[32] Infotv. 61. § (1) bekezdés b.) pont ba.) alpont: az adatvédelmi hatósági eljárásban hozott határozatában a Hatóság a 2. § (3) bekezdésében meghatározott adatkezelési műveletekkel összefüggésben megállapíthatja a személyes adatok jogellenes kezelésének tényét.
[33] NAIH 963-10/2022. számú határozat 22. oldal
[34] NAIH 963-10/2022. számú határozat 22. oldal
[35] NAIH 1006-3/2022. számú határozat rendelkező részre
[36] általános adatvédelmi rendelet 5. cikk (1) bekezdés b) és c) pont: A személyes adatok:
b) gyűjtése csak meghatározott, egyértelmű és jogszerű célból történjen, és azokat ne kezeljék ezekkel a célokkal össze nem egyeztethető módon; a 89. cikk (1) bekezdésének megfelelően nem minősül az eredeti céllal össze nem egyeztethetőnek a közérdekű archiválás céljából, tudományos és történelmi kutatási célból vagy statisztikai célból történő további adatkezelés („célhoz kötöttség”);
c)az adatkezelés céljai szempontjából megfelelőek és relevánsak kell, hogy legyenek, és a szükségesre kell korlátozódniuk („adattakarékosság”);
[37] 6. cikk (1) bekezdésének f) pont: A személyes adatok kezelése kizárólag akkor és annyiban jogszerű, amennyiben legalább az alábbiak egyike teljesül az adatkezelés az adatkezelő vagy egy harmadik fél jogos érdekeinek érvényesítéséhez szükséges, kivéve, ha ezen érdekekkel szemben elsőbbséget élveznek az érintett olyan érdekei vagy alapvető jogai és szabadságai, amelyek személyes adatok védelmét teszik szükségessé, különösen, ha az érintett gyermek.
[38] általános adatvédelmi rendelet 13. cikk (1)-(2) bekezdés:
(1) Ha az érintettre vonatkozó személyes adatokat az érintettől gyűjtik, az adatkezelő a személyes adatok megszerzésének időpontjában az érintett rendelkezésére bocsátja a következő információk mindegyikét:
a) az adatkezelőnek és – ha van ilyen – az adatkezelő képviselőjének a kiléte és elérhetőségei;
b) az adatvédelmi tisztviselő elérhetőségei, ha van ilyen;
c) a személyes adatok tervezett kezelésének célja, valamint az adatkezelés jogalapja;
d) a 6. cikk (1) bekezdésének f) pontján alapuló adatkezelés esetén, az adatkezelő vagy harmadik fél jogos érdekei;
e) adott esetben a személyes adatok címzettjei, illetve a címzettek kategóriái, ha van ilyen;
f) adott esetben annak ténye, hogy az adatkezelő harmadik országba vagy nemzetközi szervezet részére kívánja továbbítani a személyes adatokat, továbbá a Bizottság megfelelőségi határozatának léte vagy annak hiánya, vagy a 46. cikkben, a 47. cikkben vagy a 49. cikk (1) bekezdésének második albekezdésében említett adattovábbítás esetén a megfelelő és alkalmas garanciák megjelölése, valamint az azok másolatának megszerzésére szolgáló módokra vagy az azok elérhetőségére való hivatkozás.
(2) Az (1) bekezdésben említett információk mellett az adatkezelő a személyes adatok megszerzésének időpontjában, annak érdekében, hogy a tisztességes és átlátható adatkezelést biztosítsa, az érintettet a következő kiegészítő információkról tájékoztatja:
a) a személyes adatok tárolásának időtartamáról, vagy ha ez nem lehetséges, ezen időtartam meghatározásának szempontjairól;
b) az érintett azon jogáról, hogy kérelmezheti az adatkezelőtől a rá vonatkozó személyes adatokhoz való hozzáférést, azok helyesbítését, törlését vagy kezelésének korlátozását, és tiltakozhat az ilyen személyes adatok kezelése ellen, valamint az érintett adathordozhatósághoz való jogáról;
c) a 6. cikk (1) bekezdésének a) pontján vagy a 9. cikk (2) bekezdésének a) pontján alapuló adatkezelés esetén a hozzájárulás bármely időpontban történő visszavonásához való jog, amely nem érinti a visszavonás előtt a hozzájárulás alapján végrehajtott adatkezelés jogszerűségét;
d) a felügyeleti hatósághoz címzett panasz benyújtásának jogáról;
e) arról, hogy a személyes adat szolgáltatása jogszabályon vagy szerződéses kötelezettségen alapul vagy szerződés kötésének előfeltétele-e, valamint hogy az érintett köteles-e a személyes adatokat megadni, továbbá hogy milyen lehetséges következményeikkel járhat az adatszolgáltatás elmaradása;
f) a 22. cikk (1) és (4) bekezdésében említett automatizált döntéshozatal ténye, ideértve a profilalkotást is, valamint legalább ezekben az esetekben az alkalmazott logikára és arra vonatkozóan érthető információk, hogy az ilyen adatkezelés milyen jelentőséggel, és az érintettre nézve milyen várható következményekkel bír.
[39] NAIH 1006-3/2022. számú határozat 18. oldal
[40] NAIH 1006-3/2022. számú határozat 18. oldal
[41] általános adatvédelmi rendelet 83. cikk (2) bekezdés a) pont: A közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket: a) a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke
[42] általános adatvédelmi rendelet 83. cikk (2) bekezdés h) pont: A közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket: h) az, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette-e be a jogsértést, és ha igen, milyen részletességgel;
[43] NAIH 1006-3/2022. számú határozat 18. oldal
[44] általános adatvédelmi rendelet 83. cikk (2) bekezdés f) pont: A közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket: f) a felügyeleti hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;