Milyen tevékenységeket figyel kiemelten a NAIH?
A magyar Adatvédelmi Hivatal (NAIH) eddigi gyakorlat alapján megállapítható, hogy az alábbi tevékenységeket folytató cégek kiemelt figyelmet kaptak az Adatvédelmi Hivataltól. Ez várhatóan a jövőben sem fog változni:
- kamerás megfigyelő rendszer
- webáruház és online szolgáltatás nyújtás
- biztosító cég adatkezelése
- hírlevél küldése és e-mail adatbázis használata
- közvetlen üzletszerzési célú adatkezelés
- termékbemutatók adatkezelése
- munkavállaló személyes adatainak kezelése
- társkereső honlapok adatkezelése
- adatbázis-kereskedelem
- munkaerő-közvetítéssel kapcsolatos adatkezelés
A leggyakoribb adatkezelési hibák
Az Adatvédelmi Hivatal (NAIH) adatvédelmi ellenőrzései kapcsán az alábbiakat állapította meg leggyakrabban:
- jogalap nélküli adatkezelés
- előzetes tájékoztatási kötelezettség megszegése, az előzetes tájékoztatás hiánya vagy az előzetes tájékoztatás hiányossága,
- célhoz kötött adatkezelés alapelvének megsértése
Az Adatvédelmi Hivatal (NAIH) adatvédelmi ellenőrzései kapcsán gyakran az alábbi hibákat is megállapította:
- az adatkezelő vállalkozás adatkezelési szabályzataiban leírtak és a tényleges adatkezelési gyakorlat összhangjának hiánya,
- az adatkezeléshez való hozzájárulást nem megfelelően kérte el az adatkezelő vállalkozás az érintettől,
- nem volt tisztázott a munkahelyi vagy munkavállalói számítástechnikai eszközök magánhasználatának engedélyezése vagy tiltása
- kiskorúak adatainak kezeléséhez való szülői hozzájárulás hiánya
- adatkezelés lényeges körülményeiben beállt változások bejelentése
- munkavállalók nem megfelelő tájékoztatása az adataik kezeléséről
- tanulók személyes adatainak nyilvánosságra hozatala jogalap hiányában
A NAIH által kiszabott bírságok gyakorlata
(Az Infotv. alapján 2018. május 25-ig a maximális adatkezelési bírság összege 20.000.000,- Ft.)
- A nagyobb összegű bírságokat azokban az esetekben szabta ki a NAIH, ahol egy vizsgált ügyön belül többfajta jogsértés is megvalósult (pl.: tájékoztatási kötelezettség megszegése és jogalap hiánya), valamint az adatkezelés köre szélesebb volt, illetve a kezelt adatok száma magas.
- A két legnagyobb bírság 10 és 15 millió forintot is elért. De a pénzbírságok többsége 1 millió forint alattiak volt.
- Az 1 millió forint alatti bírságokat jellemzően akkor szabták ki, amikor 1-1 kisebb jogsértés állt fenn, enyhítő körülmény volt, ha a jogellenes helyzetet még az eljárás alatt, minél rövidebb időn belül megszüntették.
- Néhány esetben a hatóság (NAIH) nem szabott ki bírságot tekintettel arra, hogy az adatkezelő KKV-nak számított, és korábban nem állapítottak meg náluk jogsértést.
A kiszabható bírásogok a GDPR alapján
A GDPR alapján 2018. május 25-től sdatkezelési hiányosságokkal összefüggésben a maximális kiszabható bírság 20 000 000 euro, vagy a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összege azzal, hogy a kettő közül a magasabb összeget kell kiszabni.
Egységes büntetési gyakorlatot
Az Adatvédelmi Hivatal (NAIH, http://naih.hu) arra törekszik, hogy adatvédelmi hiányosságok vagy jogszabálysértések esetén egységes büntetési gyakorlatot folytasson. Az új EU-s Adatvédelmi Rendelet (GDPR) 2018. május 25-ét követő kötelező alkalmazása után az egységes büntetési elvet mind a magyar, mind a többi EU-s tagállam adatvédelmi hivatal követni fogja, mivel ezt az Európai Unió adatvédelmi szakbizottsága (az ún. 29-es Munkacsoport) által kiadott ajánlás is kötelezően előírja.
Ez azt jelenti, hogy ugyanolyan hibáért bármely EU-s tagállamban ugyanolyan mértékű szankciót vagy bírságot kell kiszabni. Az azonban fontos, hogy egy hiba vagy hiányosság nem csak a hiba típusa kapcsán kerül összehasonlításra, hanem olyan egyéb körülmények alapján is, mint pl.:
- a hibával érintettek száma,
- az adatkezelő tudatos vagy nem tudatos magatartása,
- incidens esetén a megtett kárenyhítési cselekmények típusa, gyorsasága,
- az okozott kár hatása az érintettekre, stb.