Biztonsági kamera felvételei miatt történt az első GDPR büntetés
- Közérdekű
- /
- 2019-02-18
A Nemzeti Adatvédelmi és Információszabadság Hatóság nyilvánosságra hozta az első magyarországi, már a GDPR alapján kiszabott adatvédelmi bírsággal járó határozatát - adta hírül blogján a GDPR tanácsadással és üzleti döntéseket támogató szoftverek fejlesztésével foglalkozó Crosssec Solutions. A határozatból nem derül ki a felek neve, így az sem, melyik cég kapta a bírságot vagy épp az, hogy mivel foglalkozik. Az viszont kiderül, hogy bejelentés alapján kezdett vizsgálódni a hatóság. A kamerafelvételek kellettek volna egy jogi eljáráshoz, de nem adták ki őket
Az érintett személy azt kifogásolta, hogy a cég megtagadta, hogy számára azon kamerafelvételeket kiadja és a továbbiakban zárolja, amelyeken azonosítható módon ő maga szerepel. Pedig ezeket a felvételeket szerette volna felhasználni egy jogi eljáráshoz. A cég nem teljesítette a kérését, arra hivatkozva, hogy a kamerafelvétel csak azt igazolja, hogy a kérelmező a megadott időpontokban jelen volt a recepción, hangot viszont nem rögzít - ezért a kamerafelvétel nem alkalmas annak igazolására, hogy a kérelmező milyen ügyben jelent meg a cég székhelyén. A személy- és vagyonvédelmi törvény előírja, hogy akinek a jogát vagy jogos érdekét a képfelvétel érinti, a képfelvétel rögzítésétől számított három munkanapon belül jogának vagy jogos érdekének igazolásával kérheti, hogy az adatot annak kezelője ne semmisítse meg, illetve ne törölje. A cég azonban ennek a kérésnek nem tett eleget, mivel a kérelmező magánszemély szerintük nem adott konkrét indoklást, pedig a GDPR megkövetelte volna. Ezért 3 nap után törölték a felvételeket, hiába kérte az érintett, hogy őrizzék meg a jogi eljáráshoz. 3 helyen is megsértették a GDPR-t
A hatóság szerint viszont ezzel hibáztak: a hozzáférési jog gyakorlására irányuló érintetti kérelem teljesítése kizárólag akkor tagadható meg, ha a kérelem egyértelműen megalapozatlan vagy túlzó, azonban ezen körülményekre a cég nem hivatkozott sem a kérelmezőnek, sem a Hatóságnak adott válaszában. Ebből kifolyólag megsértette a GDPR 15. cikkét, amikor nem biztosított a kérelmező számára betekintést a kamerafelvételekbe, továbbá nem bocsátotta rendelkezésére a kamerafelvételekről készült másolatot. Hibázott a cég akkor is, amikor nem őrizte meg a felvételeket - miután az érintett személy jelezte, hogy jogi eljáráshoz van szüksége a felvételekre, a felvételeket készítő cég nem mérlegelhette volna, hogy valóban hasznos lesz-e egy eljárásban az elkészült felvétel vagy nem. Emellett a határozat szerint egy harmadik ponton is megsértették a GDPR-t, mert a kérelem elutasítása során nem tájékoztatták a kérelmezőt a jogorvoslati lehetőségekről. Jelképes lett a bírság - 1 millió forint
A céget 1 millió forint adatvédelmi bírság megfizetésére kötelezte a hatóság. A bírság kiszabásának során az alábbi tényezőket vette figyelembe a Hatóság:
Bár a NAIH határozatából a nyilvánosságra hozás előtt törlik a felek nevét, a Privátbankár.hu megtudta: az ELMŰ Nyrt. a határozat kötelezettje, magyarán ők kapták a bírságot. A társaság megkeresésünkre elmondta: álláspontjuk szerint egy jogértelmezési probléma vezetett a határozathoz, mivel "egy bizonyos, a Társaság működését illető adatcsomag kiadását a kérelem beadásának pillanatában a hazai jogszabályok nem, az Uniós szabályok pedig lehetővé tették. Mivel időközben a hazai jogszabályokat az Uniós szabályoknak megfelelően aktualizálták, így értelemszerűen nem fellebbezünk" - közölte az ELMŰ.