Repkednek a milliós adatvédelmi bírságok

Megosztás Tetszik

Ahogyan távolodunk időben a GDPR alkalmazhatóvá válásától, úgy jelennek meg növekvő számban a tagállami hatóságok bírság szankciót is tartalmazó döntései. Ezeknek a döntéseknek az ismerete nem csupán a bírság mértéke szempontjából fontos iránymutatás, arra is figyelni kell, hogy a hatóságok mely szempontrendszer alapján vizsgálták az adatkezelők nemmegfelelését. Az alábbiakban egy marketingcélú adatkezeléssel összefüggő bírsághatározat kerül bemutatásra, amely az adott vállalkozásnak milliárdjaiba került.

Célkeresztben a hozzájárulás nélküli telemarketing

A tagállami hatóságok kevés jogsértéstípusra ugranak annyira, mint a jogalap nélküli, marketing célú megkeresésekre. A hatóságok felháborodása jogos, sok esetben az érintettek nem csupán előzetes hozzájárulásuk nélkül kapnak marketingcélú üzeneteket, de az üzenetküldést még „tiltakozásuk” ellenére sem állítják le. Ez vezetett egy telekommunikációs társaság milliárdos nagyságrendű bírságához Olaszországban. Az eljárás keretében a társaságnak az adatkezelés jogalapját kellett bizonyítania. Ez ügyfélkapcsolat fennállása esetén lehet az adatkezelő jogos érdeke, feltéve, hogy ez a szerződéskötéskor az adatkezelési tájékoztatójában feltűntetésre került, és rendelkezésre áll az adatkezelés úgynevezett érdekmérlegelési tesztje. A másik lehetőség hozzájárulás kérése. Természetesen a vizsgált esetben egyikre sem került sor.

Megfelelő kontroll nélkül működő adatfeldolgozók

Nem csupán a jogalap hiánya vezethet kiemelkedően nagy bírsághoz. Gyakori probléma – ahogyan jelen esetben is – hogy az adatkezelő nem köt vagy nem megfelelő tartalommal köt adatfeldolgozási szerződést az adatkezelési folyamatba bevont adatfeldolgozókkal. Az adatfeldolgozó a GDPR értelmezésében az adatkezelő nevében és utasítása mellett működő adatkezelő, akinek a tevékenységéért az adatkezelő teljes felelősséggel tartozik. Szigorú adatfeldolgozási szerződést kell tehát az adatfeldolgozókkal kötni, ahogyan annak részleteit a 28. cikk meghatározza. Rögzíteni kell benne többek között az adatfeldolgozás konkrét részleteit, az adatfeldolgozó utasításhoz kötöttségét, titoktartási kötelezettségét, az adatbiztonság szavatolását, további adatfeldolgozó bevonhatóságát, illetve együttműködési kötelezettségét. Ezeknek elmaradása önmagában is súlyos jogsértésnek tekinthető.

Korlátlan ideig történő adattárolás

Hasonlóképpen gyakori jogsértés a személyes adatok (ügyféladatok) túltárolása, melyet a gyakorlat készletező adatkezelésnek nevez. A GDPR 5. cikke egyértelműen kimondja, hogy az adatkezelő köteles követni a korlátozott tárolhatóság elvét, mely alapján a személyes adatokat az adatkezelés céljának szem előtt tartásával a lehető legrövidebb ideig kezelheti. Ezt az adatkezelési időtartamot ráadásul az adatkezelési tájékoztatójában is rögzítenie szükséges. Jellemző hiba, hogy az adatkezelő nem különíti el a munkavállalói és az ügyféladatokat, utóbbi vonatkozásában pedig nem tesz különbséget az aktív, illetve az igényérvényesítés céljából kezelt személyes adatok között.

Olvassa tovább cikkünket, hogy megtudja milyen szempontokat mérlegel a hatóság a szankció megállapításánál, illetve a NAIH milyen adatvédelmi hiányosság miatt szabott ki bírságot Magyarországon!