Csekély értéket érintő panaszra százezerszeres adatvédelmi bírság

Megosztás Tetszik

Egy vásárló egy nem különösebben nagy összegű terméket vásárolt, majd a számlán azt észlelte, hogy azon egy 600 forintnyi összegnek megfelelő energiahozzájárulási tétel is található. Miután ezen összeg megtérítését sikertelenül követelte a cégtől, az adatvédelmi hatósághoz fordult. Ennek eredményeképpen a néhány száz forintos tételnek nagyságrendileg nagyobb következményei lettek. Az ügy tanulságait az alábbiakban foglaljuk össze.

Az ügyfél (érintett) a fenti ügyben azt követelte, hogy a vállalkozás egyrészt térítse vissza az energiahozzájárulás miatt felszámolt összeget, másrészt pedig törölje a személyes adatait. A vállalkozás a visszatérítést elutasította, a törlési kérelem tekintetében ugyanakkor türelmet kért. Ezt követte az, hogy az érintett vásárló a belga adatvédelmi hatósághoz fordult. Az eljárás során a vállalkozás arra hivatkozott, hogy az adatvédelemmel foglalkozó részlegen létszámhiány van, illetve a korábbi, részmunkaidőben munkát végző adatvédelmi tisztviselő a cégtől távozott. Sajnálatos módon azonban az adatkezelőnek az új munkavállalót nem sikerült még megfelelően betanítania, illetve nem tudott az új ügyintéző még mindennel képbe kerülni. Az adatvédelmi hatóság ezt az érvelést természetesen nem fogadta el.

Az adatkezelő kötelezettsége a körülmények biztosítása

Az adatvédelmi hatóság rámutatott arra, hogy a személyes adatok védelmét szabályozó 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) 5. cikk (2) bekezdése alapján az adatkezelő felelős az adatkezelései megfeleléséért, továbbá képesnek kell lennie e megfelelés igazolására („elszámoltathatóság”). A megfelelési kötelezettségek a jogszerűség, tisztességesség és átláthatóság, a célhoz kötöttség, a korlátozott tárolhatóság, az adattakarékosság, a pontosság, valamint az integritás, bizalmi jelleg elveinek érvényesítését és a megfelelő jogalap fennállását jelentik.

Emellett utalt arra is a hatóság, hogy a GDPR 24. cikke további kötelezettségeket is ró az adatkezelőre. Az adatkezelő – a 24. cikk szerint – ugyanis az adatkezelés jellege, hatóköre, körülményei és céljai, valamint a természetes személyek jogaira és szabadságaira jelentett, változó valószínűségű és súlyosságú kockázat figyelembevételével megfelelő technikai és szervezési intézkedéseket hajt végre annak biztosítása és bizonyítása céljából, hogy a személyes adatok kezelése e rendelettel összhangban történik. Ezeket az intézkedéseket az adatkezelő felülvizsgálja és szükség esetén naprakésszé teszi. Ha pedig az az adatkezelési tevékenység vonatkozásában arányos, az előbbiekben említett intézkedések részeként az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz. A hatóság ehhez kapcsolódóan megállapította, hogy a létszámhiány, illetve a részmunkaidős foglalkoztatás a GDPR 24. cikkében foglalt intézkedési szükségletet is sértik (nem került sor a megfelelő intézkedések meghozatalára), hiszen ennek következtében a megfelelés nem biztosítható.

OLVASSA TOVÁBB CIKKÜNKET, amelyből megtudjal hogy mit kifogásolt még az adatvédelmi hatóság, továbbá szerzőnk mit ajánl a jogsértő esetek elkerülésére!