Adatvédelmi bírság – Európai kitekintés

2020. 01. 14., 17:01

Másfél évvel a GDPR hatálybalépése után már sor került az első rekordösszegű bírságok kivetésére, amelynek értéke akár a több millió eurót is eléri. Az act legal | Bán és Karika Ügyvédi Társulás összefoglalta, hogy más európai országokban, illetve hazánkban milyen összegű bírságok kiszabására került eddig sor és mely adatkezelési gyakorlatokat szankcionálták a hatóságok.

Mire kell leginkább figyelni a személyes adatok kezelése során

A GDPR számos új követelményt támaszt a vállalkozásokkal szemben a személyes adatok kezelése terén. Különösen a személyes adatok feldolgozása és tárolása területén kell különös biztonsági óvintézkedéseket tenni. Első és legfontosabb a személyes adatok feldolgozásának törvényes és érthető módja, amelyet csak meghatározott célokra lehet gyűjteni. Az adatokat olyan formában lehet tárolni, amely csak az érintettek azonosítását teszi lehetővé, mindaddig amig a felhasználásukhoz szükséges. Az adatokat olyan módon kell feldolgozni, amely biztosítja a személyes adatok biztonságát és védelmet nyújt a jogosulatlan vagy jogellenes feldolgozással szemben. Ezen követelmények biztosításához pedig szükség van a megfelelő technikai és szervezetési intézkedések kialakítására és fenntartására.

Az új rendelet megsértése esetén a társaságok akár 20 millió euró vagy a társaság globális összforgalmának éves árbevétele 4 százalékának megjelelő mértékű bírságot is fizethetnek.

Nézzük meg konkrét példákon keresztül, hogy mit is jelent ez a gyakorlatban.

Mit büntetnek a hatóságok és mekkora összegű bírságra számíthatnak az adatkezelők

2019 júliusában az Egyesült Királyság Adatfelügyeleti Hatósága (ICO) bejelentette, hogy 204 millió euró összegű bírságot szabott ki a British Airways-re (az éves árbevétel körülbelül 1,5 százaléka). Ez a legmagasabb bírság, amelyet a GDPR hatálybalépése óta kivetettek, amely meghaladja a francia hatóságok által a Google-re 2018-ban kiszabott 50 millió eurós bírságot is. A British Airwaysnél az adat- és informatikai biztonsággal kapcsolatos gondatlanság eredményezte a kiszabott rekordbírságot. Egy úgynevezett hackertámadás által számítástechnikai bűnözők 2018-ban hozzáférést kaptak személyes adatokhoz és hitelkártya-információkhoz, köztük biztonsági kódokhoz (CVC-számok) olyan British Airways ügyfelektől, akik hitelkártyával fizették a repülőjegyet. Az adatvédelmi incidens körülbelül 500 000 ügyfelet érintett.

Németországban 2019. év végéig 80-nál is több bírságot szabtak ki, a büntetések összege eléri összesen kb. a 485 000 eurót (átlagosan 6000 euró ügyenként). A Baden-Württembergi tartomány szabta ki a mai napig a legmagasabb bírságot 80.000 euró összegben. A jelen esetben egy digitális publikáción keresztül személyes egészségügyi adatok kerültek az internetre a nem megfelelő belső ellenőrzési mechanizmusok miatt. További 50 000 eurós bírságot szabtak ki Berlinben a berlini Bank (N26) ügyében a volt ügyfelek személyes adatainak jogosulatlan feldolgozása miatt. A bank bizonyos korábbi ügyfeleknek a személyes adatait jogellenesen, egy úgynevezett „feketelistán” tárolta. Ez azonban csak akkor lehetséges, ha az ügyféllel kapcsolatban pénzmosás gyanúja merül fel.

„Magyar viszonylatban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)-hoz 2018. július 26-a után több mint 1.000 konzultációs beadvány érkezett, amelyekben több mint 600 esetben indított vizsgálati eljárást a hatóság” – ismertetik az act legal szakértői.  57 ügyben indult adatvédelmi hatósági eljárás, ami több mint 48.000 eurós bírságot eredményezett. A legjelentősebb bírságot a Sziget Kft. esetében szabta ki a NAIH. A cég által szervezett rendezvényeken alkalmazott beléptetés során megvalósított adatkezelés jogellenessége abban állt, hogy a kötelezett által, a vizsgált időszakban folytatott adatkezelés nem megfelelő jogalapon történt, nem felelt meg a célnak és az érintettek nem kaptak megfelelő előzetes tájékoztatást. A panaszt azért nyújtották be, hogy a belépésnél a résztvevők igazolványai be lettek szkennelve anélkül, hogy meghatározták volna az adatkezelés célját és az idejét. A Sziget Kft. a figyelmeztetést követően sem javította ki az észlelt hibákat, ezért adatvédelmi bírságot szabott ki rá a NAIH 30 millió forint összegben.

Következtetés és kilátások a GDPR területén

A bemutatott hatósági gyakorlat eddigi álláspontja szerint a cégek szempontjából látható, hogy az adatvédelemre és az informatikai biztonságra fordított beruházások pénzügyi szempontból is megtérülhetnek. Azok a cégek ellenben, amelyek eddig nem vették figyelembe a GDPR szabályait és az adatkezelési gyakorlatukat nem igazították a GDPR követelményeihez magas bírságokra is számíthatnak.

Ha tetszett a cikk, kövesse az ÜZLETEMET
a Facebookon!

Még több friss hír

2021. 10. 12., 16:00
A kaució a szerződéses kötelezettségvállalások biztosítására használt eszköz. Leginkább a bérleti szerződések körében találkozhatunk a kaucióval, de számos más szerződéshez kapcsolódó biztosítékként is szerepelhet.
2021. 10. 14., 10:00
Stratégiai tervemet a következő 3-5 évre készítettem el. Célom a projekt alapon dolgozó freelancerek, projektmunkatársakból álló pool fejlesztése – mondta az Üzletemnek Bordás Beáta, a Rubicon Business Solution ügyvezető igazgatója.
2021-10-16 14:15:00
A vártnál is jobb eredményeket hozott a szeptember, ugyanis a vendégéjszakák száma 65 százalékkal meghaladta a tavalyi adatot, ráadásul 4 százalékkal túlszárnyalta a 2019-es, a koronavírus-járvány előtt mért számokat is – mondta a Magyar Turisztikai Ügynökség vezérigazgatója.
2021-10-15 19:45:24
A nagyvállalatok közül már Magyarországon is sokan áthelyezték üzleti kommunikációjukat a felhőbe, de most a hazai kis- és középvállalkozásokat is versenyhelyzetbe hozhatja a világ egyik legnépszerűbb ügyfélkommunikációs felhője.
2021-10-15 18:15:40
A kisméretű részecske szennyezés mintegy 78 százalékát a lakossági fűtés okozza, amit szemléletformálással lehet hosszú távon csökkenteni – jelentette ki Rácz András, az Agrárminisztérium környezetügyért felelős államtitkára.

  Rovathírek: GUSTO

  Rovathírek: ATOMBUSINESS