Ha van időm, szeretek Ügyfelekkel beszélgetni. Név nélküli jogesetek, a padlóról felszedett és megfordított ügyek, jóhiszemű, de pórul járt cégvezetők. Az ilyen beszélgetések során ismétlődően előjön, hogy a céges döntéshozó Ügyfelek bár tudatában vannak annak, hogy cégük adatvédelmi működése esetleges, a tájékoztató elavult, vagy éppen új a dokumentum, de olcsó, sablonból „fejlesztett”, mégsem tesznek semmiféle óvintézkedést. „Minek költsek erre, úgysem fognak megbüntetni...” – szokták mondogatni indokolatlan magabiztossággal.
Természetesen én tisztában vagyok a Nemzeti Adatvédelmi és Információszabadság Hatóság bírságolási gyakorlatával, ugyanakkor, amíg a hírekben ezek az ügyek háttérben vannak a sok „nagyon fontos” ügy mögött, addig a gazdasági döntéshozókhoz ezzel kapcsolatos információ csak ritkán jut el.
Hogy konkrétumokról beszélhessünk, vettem tehát a fáradtságot, és megnéztem az adatvédelmi hatóság honlapján, mi történt az utóbbi hónapokban adatvédelmi hatósági ellenőrzési fronton. Határozatok kivonatát fogjátok látni, megjelölve az ellenőrzés tárgyát, a bírságösszeget és egy rövid leírást. Tanulságos. Aki adatvédelmi kérdésben ügyvéden vagy szakjogászon spórol, az előbb-utóbb a többszörösét fogja kifizetni bírságokra, sérelemdíjas perekre, rosszabb esetben még egy nagyon csúnya számmal is találkozik: Btk. 219. §.
Ha fodrász vagy, és lefotózod a vendéged haját, ha kozmetikus vagy és beírod a füzetedbe a vendéged bőrének státuszát vagy éppen orvosként belenézel egy másik orvos által kezelt beteg adataiba, ne hidd azt, hogy mindezt „csak úgy” megteheted.
Ha cégtulajdonos vagy cégvezető vagy, és azt gondolod, hogy a honlapod láblécében található innen-onnan összeollózott Adatkezelési Tájékoztató garancia a biztonságodra, tévedsz!
Íme néhány példa a rengetegből.
1. Legyen részletes és naprakész az Adatkezelési Tájékoztatód!
5.000.000 Ft
A megbírságolt cég egy csomagküldő vállalkozás, amely kisebb-nagyobb csomagok kézbesítésével foglalkozik. Gyakorlata szerint egy olyan kéretlen levelet küldött a küldemények sikeres kézbesítését követően a küldemény címzettjének, amelyre nem volt joga. Nem a sikeres kézbesítést lezáró levélről van szó, hanem ezt követően küldött reklámot tartalmazó e-mailt. A panaszos állítása szerint ő tájékoztatást e-DM célú levelek küldéséről nem kapott, illetve mivel e-mail címét nem ilyen célra adta meg, ezért ez a gyakorlat jogellenes. Hivatkozását a NAIH elfogadta. A társaság alapvetően abban hibázott, hogy a honlapján található adatkezelési tájékoztató még évekkel korábban készült, és amely szerint az adatkezelés jogalapja az akkor hatályos jogszabályok szerint volt feltüntetve, és ennek felülvizsgálata az idők folyamán elmaradt.
2. Ismerd fel, hogy mi számít Adatvédelmi Incidensnek és ha felmerül a gyanúja a cégednél, azonnal fordulj szakjogászhoz!
110.000.000 Ft
A megbírságolt cég egy informatikai fejlesztő társaság. Két adatvédelmi jogsértést követett el. Egyfelől nem volt profi az adatvédelmi rendszere, azaz nem biztosított kellő, egy informatikai cégtől elvárható védelmet az általa kezelt személyes adatoknak, másrészt a nála, mint adatfeldolgozónál történt adatvédelmi incidenst nem jelentette be „indokolatlan késedelem nélkül” az adatkezelőknek. Az incidens jelen esetben egy adathalász támadás volt, azaz egy olyan adathalász e-mail, amire a társaság egy munkatársa rákattintott, és bár ezt cégen belül jelezte, és megtárgyalták, de a cég az esetről sem az érintetteket, sem a hatóságot nem tájékoztatta időben.
3. Ha az érintett hozzáférési jogát kívánja gyakorolni, vedd komolyan!
2.000.000 Ft
A panaszos egy pénzügyi szolgáltató irodájában személyesen megjelent ügyintézési céllal, azonban nem járt sikerrel, ezért még aznap panaszt tett a szolgáltató telefonos ügyfélszolgálatán, ahol a beszélgetésről készült hangfelvétel és a látogatását mutató kamerafelvétel rendelkezésére bocsátását kérte. Ezt a szolgáltató megtette, de nem teljeskörűen, mert az anyagokat megvágta és bizonyos kamerák felvételeit nem adta át. A panaszos erre rájött, és feljelentést tett. Az adatvédelmi hatóság álláspontja szerint az érintett az általa végzett cselekményeket bemutató felvételekhez jogosult hozzáférni. Amennyiben az adatkezelő olyan terjedelemben bocsátja az érintett rendelkezésére a kamerafelvételeket, amelyen az általa a kamerák látószögében végzett cselekvések a megérkezéstől a távozásig követhetőek, úgy lehet csak a hozzáférési kérelmet teljesítettnek tekinteni. Ezen túlmenően a szolgáltató a biztonságos adatkezelés elvét is megsértette, amikor a panaszos részére tértivevényes küldeményként feladott levele mellékletét képező, hangfelvétel, illetve kamerafelvétel másolatokat tartalmazó adathordozót nem látta el titkosítással, így kitette azt annak a veszélynek, hogy az harmadik személyekhez jut és felhasználhatóvá válik.
4. Szépségszalonban kamera = elefánt a porcelánboltban!
30.000.000 Ft
Egy budapesti szépségszalon kapott hatósági ellenőrzést, mivel néhány vendégtől bejelentést kapott a NAIH, hogy a szalon több helyiségében is kamerákat üzemeltet. A vállalkozás a kamerás megfigyelésen túl jelentős mennyiségű személyes adatot is gyűjtött, illetve kezelt, beleértve különleges személyes adatokat, azaz egészségügyi adatokat is. Mindkét esetben hiányoztak, vagy nem voltak a jogszabályoknak megfelelőek a tájékoztatások. A társaság nem adta meg a kamerák különböző helyeken való használatához a jogalapot, sőt a kihelyezett kamerák egy része alkalmas volt arra is, hogy a munkavállalókat munkavégzés közben megfigyelje.
5. Ha Facebook-kampányt indítasz, bízd profira!
3.000.000 Ft
A panaszos egy mozgalom Facebook oldalán kommentelt. Ennek hatására a Facebook Messengeren üzenetet kapott, amelyben a mozgalom azt kérte tőle, hogy iratkozzon fel további hírekre a Facebook Messenger-en. A panaszos erre nemmel válaszolt, amelyre azt a visszaigazoló automata üzenetet kapta, hogy akkor nem keresik többet. A panaszos ezt követően ugyanazon a napon ismételten kommentelt az adott Facebook oldalon, amelyre ismét az első komment után kapott automata kérdés érkezett Messengerére a feliratkozás-kérésről. A mozgalom Facebook oldalát kezelő személy tudta ugyan, hogy van lehetőség úgynevezett „silence period” beállítására, amely alatt nem kap újabb megkeresést a kommentelő a Facebook Messengeren, de úgy döntött, hogy senkinek sem kötelező kommentelni, emiatt nem kapcsolta be ezt a funkciót, amely nemleges válasz esetén az ismételt üzenetküldést elkerülné. A NAIH tehát megállapította a jogsérelmet, miszerint az első feliratkozást kérő üzenetet követően az érintett tiltakozási joga figyelmen kívül hagyásra került, másrészt a második üzenet érvényes jogalap nélkül küldött adatkezelésnek minősült.
6. Hiába van szállodád, attól még nem lehet mindent bekamerázni!
3.000.000 Ft
Egy szálloda rengeteg kamerát szerelt fel teljes üzemi területére, beltéren és kültéren egyaránt. Ezen túlmenően a felvételeket túlzóan hosszú ideig tárolta. A kamerás adatkezelésre vonatkozóan tájékoztatója volt ugyan, de az nem volt megfelelő, és a szálloda honlapján azt olyan nehezen felfedezhető helyen tárolta, hogy kitartó kutatás kellett a megtalálásához. A NAIH vizsgálatot záró döntésének értelmében a szálloda jogalap nélküli adatkezelést folytatott azzal, hogy kamerarendszere a jakuzzit, az éttermet és a belső udvart is megfigyelte. A hatóság megállapította, hogy a szálloda megsértette a korlátozott adattárolhatóság elvét, valamint azt is megállapította, hogy a szálloda megsértette a GDPR 12. cikk (1) bekezdését, mivel a kamerás adatkezelésre vonatkozó tájékoztatóját nem tette az érintettek számára könnyen hozzáférhetővé.
szerző:
Dr. Varga M. Péter - LL.M.
irodavezető ügyvéd
munkajogi és adatvédelmi szakjogász