Súlyos adatkezelői jogsértések

Súlyos adatkezelői jogsértések

Az adatvédelmi rendeletnek való megfelelés nem olyan bonyolult, mint amilyennek elsőre tűnik. A szabályok egyértelműek, bárki számára hozzáférhetőek és használhatóak. A Nemzeti Adatvédelmi és Információszabadság Hatóság ennek ellenére mégis 100 millió forint feletti bírságot osztogat? Milyen adatvédelmi jogsértés vezethet idáig? Ennek jártunk utána az Amplifon valamint a Magyar Éremkibocsátó-ügyben. S ha tüzetesen végigolvassuk a Hatóság indoklását, azt is láthatjuk, hogy ezek a mulasztások az Adatkezelési Tájékoztató megfelelő szakértői összeállítása alapján is kiküszübülhetőek lehettek volna.

A Nemzeti Adatvédelmi és Információszabadság Hatóság az Amplifon-ügyben, illetve a direkt marketing tevékenységet folytató adatkezelők jogellenes adatkezelése kapcsán hozott határozatában megállapított magas összegű – a két ügyebn mindösszesen: 110 millió Ft – adatvédelmi bírság kiszabását határozta meg.

A Hatóság indoklása alapján:

Az Amplifon-ügy, valamint a Magyar Éremkibocsátó-ügy egymáshoz való relevanciáját az adatkezelők jogellenes működése tekintetében fellépő súlyos hiányosságok, valamint a GDPR rendelet rendelkezései megsértésének a hasonló, néhol pontosan megegyező jellege adja. E körben elsőként kiemelendő az adatkezelők tájékoztatási kötelezettségének nem megfelelő teljesítéseAz általános adatvédelmi rendelet 12. cikk (1) bekezdése értelmében az adatkezelő kötelezettsége megfelelő intézkedéseket hozni annak érdekében, hogy az érintettek részére a személyes adatok kezelésére vonatkozó, a 13. és 14. cikkben említett valamennyi információt és a 15–22. és 34. cikk szerinti minden egyes tájékoztatást tömör, átlátható, érthető és könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva nyújtsa. A tájékoztató tartalmi elemeit az általános adatvédelmi rendelet 14. cikke tartalmazza. A tartalmi elemek az adatkezelésre vonatkozó lényeges információk körét képviselik, azaz többek között az érintetti jogokat és azok érvényesíthetőségének módját és lehetőségét, adatkezelő megnevezését, az adatkezelés céljának és jogalapjának az ismertetését, az adatok forrását.

A felsorolt kritériumoknak megfelelő tájékoztatás nyújtása rendkívüli jelentőséggel bír, mivel elengedhetetlen ahhoz, hogy az érintett tudatában lehessen annak, hogy mely személyes adatait, mely adatkezelő milyen célból és hogyan fogja kezelni.

A Hatóság kifejezésre juttatta, hogy az elszámoltathatóság elvéből eredően az adatkezelőnek képesnek kell lennie annak igazolására, hogy az érintett személyes adatai kezeléséhez hozzájárult. Az elv érvényesülésének biztosítását az is megalapozza, hogy az adatkezelő a későbbiekben bizonyítani tudja a hozzájárulás érvényességéhez szükséges kritériumok meglétét. Az általános adatvédelmi rendelet 4. cikkének 11. pontja kimondja, hogy az érintett hozzájárulása az érintett akaratának önkéntes, konkrét és megfelelő tájékoztatáson alapuló és egyértelmű kinyilvánítása, amellyel az érintett nyilatkozat vagy a megerősítést félreérthetetlenül kifejező cselekedet útján jelzi, hogy beleegyezését adja az őt érintő személyes adatok kezeléséhez. Ennek megfelelően az érintett hallgatása nem értékelhető megerősítő cselekedetként.

Az általános adatvédelmi rendelet 5. cikk (1) bekezdésének b) pontja foglalja magába a célhoz kötött adatkezelés elvét. A célhoz kötött adatkezelés elvének értelmében a személyes adatok gyűjtése csak meghatározott, egyértelmű és jogszerű célból történhet, és azokat nem kezelhetik ezekkel a célokkal össze nem egyeztethető módon.

Adatvédelmi kérdések kapcsán az alábbi elérhetőségeken állok szíves rendelkezésre!

Nemes Claudia Adatbiztonsági és adatvédelmi jogi szakokleveles szakember

Email-cím: info@gdproffice.hu

Telefon: 06 70 33 44 575

Elérhetőség: Hétfő—Péntek: 09:00–16:00