GDPR: az első év

Tisztul a kép a GDPR gyakorlati alkalmazása terén

Nem eszik olyan forrón

Emlékezetes, hogy tavaly az új adatvédelmi rendelet hatályba lépését nagy érdeklődés, készülődés, bizonytalanság és számos félreértés övezte. Sokan attól tartottak, hogy a hatóságok rögtön az első napokban súlyos büntetéseket fognak kiszabni, ez azonban elmaradt, aminek több oka is volt.

Például egyértelművé vált, hogy Magyarországon legszigorúbban a sok adatot kezelő nagyvállalatokkal szemben fognak fellépni, a kis- és középvállalatoknál pedig figyelembe veszik az arányosság elvét, továbbá első körben csak figyelmeztetést küldenek a hatóságok.

Ezen kívül szükség volt még törvénymódosításra is. A 2011. évi CXII. törvény az információs önrendelkezési jogról és az információszabadságról, vagyis az Infotörvény GDPR-ral összefüggő módosításai 2018. július 26-án léptek hatályba.

Mindez együtt azt eredményezte, hogy bár panaszok, adatvédelmi incidensekről szóló bejelentések kezdettől fogva érkeztek a hatósághoz, látványos bírságok egy ideig még nem születtek. Ez így volt Európa-szerte, mintha mindenki egy precedensre várna.

Az első fecskék

Éppen ezért az első esetek nagy nemzetközi visszhangot kaptak. Ilyen volt például egy osztrák ügy, melyben egy céget azért büntettek meg 4800 euróra (kb másfél millió forint), mert a saját telephelyét figyelő kamera a közterületnek számító járda egy részét is befogta. Ráadásul a felvételek készítésének tényét nem táblázták ki megfelelően.

Sokkal súlyosabb volt a portugál Centro Hospitalar Barreiro Montijo esete. ahol nem megfelelően tárolták a betegek adatait, és a hozzáféréseket is rosszul menedzselték. A kórház rendszerében 985 olyan felhasználót találtak, akinek orvosi szintű jogosultsága volt, miközben csak 296 orvos dolgozott az intézményben.  Sőt, az egyes szakterületek sem voltak elválasztva, így például akár egy belgyógyász is hozzáfért a pszichiátriai adatokhoz. A hatóság 400 ezer eurós, azaz 13 millió forintos büntetést ítélt meg.

A magyar helyzet

Magyarországon az első bírságot 2019 februárjában szabták ki, egy 2018. augusztusában történt ügyben. A panaszos azt nehezményezte, hogy megtagadták a számára olyan kamerafelvételek kiadását, illetve további zárolását, amelyeken ő maga szerepelt, és amelyekre egy jogi eljárás lefolytatása miatt lett volna szüksége. A felvételt készítő vállalkozás azt kérte az érintettől, hogy igazolja a jogos igényét, ellenkező esetben a felvételeket a szokásos eljárási rendje szerint 3 napon belül megsemmisíti – amit végül meg is tett. Csakhogy a GDPR szerint a hozzáférési jog, illetve az adatkezelés zárolására vonatkozó jog nem korlátozható, és nem köthető feltételekhez, ezért a hatóság 1 millió forintos bírsággal sújtotta az adatkezelőt.

Márciusban 500 ezer forintos bírságot kapott egy pénzintézet, amiért többször, visszajelzés ellenére is hitelkártya tartozásról szóló mobil üzenetet küldött olyan valakinek, aki nem is volt az ügyfele.

Egy másik pénzintézetre szintén 500 ezer forintos büntetést szabott ki a hatóság, egy összetett ügyben, ami az adatkezelés számos aspektusát érintette. A pénzintézet egy 2011-ben lejárt követelést akart 2018-ban érvényesíteni, amit az érintett vitatott, ezért kérte az adatkezelőtől a vonatkozó dokumentumokat, továbbá tájékoztatást a pénzintézet által kezelt személyes adatairól. Ennek teljesítéséhez viszont a pénzintézet kért személyes adatokat az érintettől, amit pedig ő megtagadott, és mindez további adatkezelési kérdésekhez vezetett. A hatóság úgy fogalmazott, hogy a személyazonosság igazolása és az azonosítás nem egyező fogalmak, és az adatkezelő nem kérhet be az azonosításhoz olyan további személyes adatokat, amelyekkel már nem rendelkezik. Az adatkezelőt azért is elmarasztalták, mert kommunikációja során nem tájékoztatott megfelelően a panasz intézésének lehetséges csatornáiról.

Szintén márciusban 11 millió forintos büntetést kapott egy hazai párt, mely honlapjának sérülékenységét kihasználva egy támadó ki tudta nyerni és nyilvánosságra tudta hozni a honlaphoz köthető személyes adatokat, neveket és email címeket. A hatóság súlyosbító körülménynek ítélte meg, hogy politikai véleményre vonatkozó különleges adatokról volt szó, hogy a párt elavult titkosítási technológiát használt, a politikai szervezet nem tett bejelentést az incidensről, továbbá nem értesítette a hatezer érintettet. Ugyanakkor enyhítő körülményként kezelték, hogy a párt azonnali intézkedéseket tett a kiváltó okok kezelésére.

Oszlik a köd

Mindez összességében jól mutatja, hogy tisztul a kép a GDPR gyakorlati alkalmazása és a büntetési szempontok terén, és a kezdeti bizonytalanságok után már egyre több az olyan konkrét eset, amiből mindenképpen érdemes tanulni.

"A vállalkozások többségének kihívást jelentett az európai általános adatvédelmi rendelet egy évvel ezelőtti bevezetése" – nyilatkozta a Nemzeti Adatvédelmi és Információszabadság Hatóság, a NAIH osztályvezetője. Az interjút a Trend FM honlapján lehet meghallgatni.

"Sokat javult Magyarországon az adatvédelmi tudatosság az elmúlt évben" – mondta az Invitech jogi és szabályozási igazgatója a Trend FM és az Invitech közös konferenciáján. Lakatos László a konferencia szünetében kérdezte Fazekas Balázst. Hallgassa meg az interjút!

Még nem késő most sem javítani, korrigálni saját megfelelőségünket. Mi az Invitechnél ebben több módon is tudunk segíteni. Elsősorban kis és közepes vállalatok számára ajánljuk a GDPR felkészítést támogató csomagunkat, továbbá minden érintettnek a teljeskörű átvilágítás lehetőségét.