EU Bírósága: Nem kötelező bírságot kiszabni adatvédelmi incidens esetén

dr. Kéri Ádám ügyvéd, compliance szakértő

2024.11.18., 12:33 Frissítve: ma, 10:56

Tetszik

A 149/24. számú ügyben az Európai Unió Bírósága (EUB) azt vizsgálta, hogy adatvédelmi incidens kapcsán a tagállami adatvédelmi hatóságoknak kötelezettsége-e adatvédelmi bírság kiszabása vagy más lehetőség is nyitva áll előttük. Az érdekes ügy részleteit az alábbiakban mutatjuk be.

Túl kíváncsi volt a takarékbanki ügyintéző

Egy németországi takarékbank azt észlelte, hogy az egyik ügyintézője több alkalommal is megtekintette az egyik ügyfél személyes adatait anélkül, hogy erre fel lett volna jogosítva. Ezt követően a takarékbank úgy döntött, hogy az ügyfelet az adatvédelmi incidensről nem értesíti, mivel úgy értékelte, hogy nem történt olyan, úgynevezett magas kockázatú adatvédelmi incidens, amelyre tekintettel a személyes adatok védelmét szabályozó 2016/679. számú Általános Adatvédelmi Rendelet (GDPR) alapján ezt meg kellene tenni. A munkavállaló ugyanis írásban azt nyilatkozta, hogy sem nem másolt, sem más módon nem tárolt adatokat az ügyben, illetve a személyes adatokat harmadik személynek sem továbbította. Az ügyre tekintettel a pénzintézet egyebekben fegyelmi eljárást indított a munkavállalóval szemben. Az adatvédelmi incidenst akként értékelte, hogy az kockázattal jár az ügyfélre, így azt a Hesseni Adatvédelmi Hatóságnak bejelentette.

Az adatvédelemhez kapcsolódó további cikkeinket itt olvashatja el!

Az ügyfél az ügykezeléssel nem volt elégedett

Miután az ügyfél megtudta, hogy olyan adatvédelmi incidens történt, mely az ő személyes adatait érintette, az adatvédelmi hatósághoz fordult. Az adatvédelmi hatóság a takarékbank érveit meghallgatva arról tájékoztatta az érintett ügyfelet, hogy nem tartja szükségesnek adatvédelmi bírság kiszabását, sőt egyáltalán nem alkalmaz szankciót. Ezt követően az ügyfél bírósághoz fordult és azt követelte, hogy az ügyben szabjanak ki adatvédelmi bírságot.

A bírósági eljárásban a német bíróság előzetes döntéshozatali eljárás keretében megkereste az EUB-t azzal a kérdéssel, hogy a GDPR szabályai tükrében kötelező-e adatvédelmi incidens esetében adatvédelmi bírságot kiszabni. Az EUB döntésében kimondta, hogy amennyiben az adatvédelmi hatóság úgy látja, hogy a GDPR szabályainak érvényre juttatásához nem szükséges az adott ügyben adatvédelmi bírság kiszabása, akkor erre nem is köteles. Ilyen eset lehet az is, amikor az adatkezelő az adatvédelmi incidens észlelését követően haladéktalanul megteszi a szükséges lépéseket az incidens megszüntetése érdekében és ezzel a helyzetet véglegesen orvosolja. Rámutatott arra is az EUB, hogy az adatvédelmi hatóságoknak a GDPR kellő mozgásteret biztosít annak megítélése kapcsán, hogy mikor szükséges az adatkezelőt szankcionálni.

OLVASSA TOVÁBB CIKKÜNKET, amelyből megtudja, hogy mit kell tenni adatvédelmi incidens esetén?

A folytatáshoz előfizetés szükséges.
A teljes cikket előfizetőink és 14 napos próba-előfizetőink olvashatják el! Emellett többek között elérik a Kérdések és Válaszok archívum valamennyi válaszát, és kérdezhetnek szakértőinktől is.

Hozzászólások (0)

Új hozzászólás

Kérjük, hogy szakértőinknek szóló kérdését ne kommentben tegye fel! Használja helyette a kérdés-válasz funkciót, kérdésében hivatkozzon az érintett írásra, lehetőleg annak URL-jét is megadva. A választ csak így tudjuk garantálni. Köszönjük!
Az Adózóna moderálási alapelveit ITT találja.