Az első GDPR büntetések
Az általános adatvédelmi rendelet 2018 május 25-i alkalmazása sok változást hozott a cégek adatkezelési módszertanába, azonban sajnos még mindig vannak olyan vállalkozások, akik csak részben, vagy egyáltalán nem készültek fel a GDPR elvárásainak megfelelő módon.
A GDPR-ral kapcsolatban a média és a vállalkozói közösség is leginkább a magas bírságok miatt foglalkozott.
Cikkünkben a folyamatban lévő eljárások mellett arról a két esetről is beszámolunk, ahol már konkrét ítélet és bírság is született a GDPR előírásainak megszegéséért.
Giovanni Buttarelli, az Európai Unió európai adatvédelmi biztosa októberi exkluzív interjúban nyilatkozott a Reuters újságírójának, Foo Yun Chee-nek a jelenlegi helyzetről.
"Arra számítok, hogy az első GDPR büntetések az év végéig kiszabásra kerülnek."
Miért nem olvashatunk GDPR bírságokról nap mint nap?
Az adatvédelmi hatóságok egyszerű válasza a fenti kérdésre az, hogy egész egyszerűen még túl korai, hogy az ügyek kivizsgálása és bírósági tárgyalása megtörténjen olyan módon, hogy ítélet is születhessen. Jelentősen megnövekedett a nemzeti hatóságokhoz beérkező panaszok száma, Magyarországon is több mint 600 bejelentés érkezett, melyeket egyenként ki kell vizsgálni, és meg kell állapítani, hogy elég megalapozottak-e az eljárás megindításához.
Hasonló a helyzet az EU többi tagországában is. A Brit hatósághoz hetente több mint 500 bejelentés érkezik, május 25. és július 3. között az előző év adataihoz képest 2417 panasz helyett már 6281 ügyben fordultak az ICO-hoz.
Fontos megjegyezni, hogy ez nem azt jelenti, hogy a hatóságok nem vizsgálódnak. A francia hatóság (CNIL) tájékoztatása szerint a GDPR-t érintő panaszok jelenleg tárgyalási fázisban vannak, még nem lehet előre látni, hogy ítélethozatalra mikor kerül sor. Az azonban jelzés értékű, hogy ők is 37%-os növekedést tapasztaltak a 2017-es panaszok számosságához képest.
Különösen érdekes Írország helyzete, hiszen az olyan technológiai óriások, mint például a Google és a Facebook írországi leányvállalaton keresztül működnek az EU-s piacokon. Nem csoda tehát, hogy ebben az esetben is drasztikus növekedést tapasztal a hatóság, az előző évi 230 bejelentéshez képest 1713 történt május 25. óta.
Ahol már ítélet is született
Bár Buttarelli év végére számított az első ítéletekre, két olyan esetről már tudunk, ahol konkrét bírságösszeg meghatározására is sor került.
Az osztrák adatvédelmi hatóság (DSB) eljárása különösen érdekes, hiszen a magyar sajtóban is elterjedt, sajnos a félreérthető kommunikáció miatt hibásan is értelmezett ausztriai álláspont az, hogy a DSB először figyelmeztet, és nem szab ki bírságot az első vétség esetében.
Ahogy az osztrák sajtó beszámolt róla, az első, ítélethozással végződő GDPR vizsgálat egy, a kamerarendszer nem megfelelő alkalmazásával kapcsolatos ügyben történt még szeptember közepén. A megbírságolt vállalkozás olyan zártláncú (CCTV) kamerarendszert használt az ingatlan előtt, amely a járda – így közterület – nagy részét is rögzítette. A DSB ezt a GDPR megszegésének ítélte, hiszen a közterületek ilyen célú, nagy mértékű megfigyelése nem megengedett. A vizsgálat során kiderült, hogy a kamerarendszer használatáról szóló megfelelő tájékoztatás sem történt meg.
A kiszabott bírság összege ebben az esetben € 4.800 volt. A cikkben is olvasható, hogy a hatóság álláspontja szerint a bírság meghatározása a jogsértés mértékének és a cég méretének figyelembevételével történt. Ahogy egyik adatvédelmi hatóságnak, úgy a DSB-nek sem célja csődbe juttatni a vállalkozásokat, azonban a GDPR-t minden olyan cégnek be kell tartania, amely európai személyes adatokat kezel.
A második olyan esetről, ahol már konkrét bírságösszeget is ismerünk, a magyar sajtó is beszámolt.
A publico.pt cikke szerint egy portugál kórház, a Centro Hospitalar Barreiro Montijo esetében állapított meg komoly bírságot a helyi adatvédelmi hatóság (CNPD). A több jogsértést is feltáró vizsgálat során kiderült, hogy a kórház nem megfelelően tárolta a betegek adatait, valamint a betegadatokhoz való hozzáférés szabályozása sem volt megfelelő.
A kórházi rendszerben 985 olyan felhasználót találtak a vizsgálat során, amely orvosi hozzáféréssel rendelkezett, holott az intézményben összesen csak 296 orvos dolgozik. Külön probléma, hogy a kórházi személyzet korlátozás nélkül hozzáfért az összes beteg összes adatához, így előfordulhatott hogy például a dietetikusok hozzáfértek a pszichiátriai adatokhoz, vagy a nem orvosként dolgozó kórházi személyek hozzáfértek a vizsgálatok adataihoz is. A betegadatbázis nem megfelelő kezelése mellett az előbb bemutatott adatkezelési folyamat egyáltalán nem tudja garantálni az adatok integritását, bizalmasságát és elérhetőségét.
A € 400.000-s bírság a portugál adatvédelmi hatóság által valaha kiszabott legnagyobb büntetés. A kórház elismerte a problémákat, azonban megkérdőjelezi, hogy a CNPD eljárhat-e, és szabhat-e ki bírságot velük szemben, így várhatóan bírósági felülvizsgálatot kér a bírság kifizetése előtt.
Mire számíthatunk a közeljövőben?
A fentebb bemutatott két esetben gyorsan el tudtak járni az illetékes szervek. A panaszok és bejelentések számából azonban világosan látszik, hogy számos újabb eljárás és bírság várható.
A közelmúlt olyan nagy adatszivárgásai, mint a British Airways szeptemberi, több mint 380.000 ügyfelet érintő adatszivárgása, a Facebook több mint 50.000.000 felhasználóját és a Google több mint 500.000 regisztrálóját érintő esete, vagy a Ticketmaster 40.000 ügyfelének adatait veszélybe sodró incidense várhatóan soha nem tapasztalt bírságösszegek megállapításával fog járni.
Nem szabad megfeledkezni arról sem, hogy a GDPR nem kizárólag a nagyvállalatok számára létrehozott rendelet, a KKV szektor szereplőinek is ugyanúgy be kell tartaniuk az általános adatvédelmi rendelet szabályozásait. A már lezárt, bírsággal végződött osztrák ügy is azt mutatja, hogy bár a büntetések nagyságának meghatározásakor a hatóság figyelembe veszi az adott incidens súlyosságát, és a vállalkozás méretét, a súlyos mulasztásokért a kisebb cégek is komoly büntetési tételekre számíthatnak.
Frissítés: Cikkünk megjelenése óta a francia adatvédelmi hatóság 50 millió euróra büntette a Google-t a GDPR megszegése miatt, valamint a NAIH is kiszabta az első magyarországi GDPR bírságot.