Dr. Kádár Dóra előadása az adatvédelem témakörében rendkívül hasznos volt és érdekfeszítő. Először a prezentációt pötyögtem le, utána következik a hölgy előadása. Az “Adatkezelési tájékoztató készítése 6 lépésben” a cikk végén megnézhető / letölthető PDF-ben.
Nemzeti Adatvédelmi és Információszabadság Hatóság, azaz: NAIH
- Az Információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (infotv.)
- Joghatóság
- Eljárások:
- adatvédelmi hatósági eljárás
- titokfelügyeleti hatósági eljárás
- nyilvántartásba vétel
- audit
- BCR jóváhagyása
Adatvédelmi hatósági eljárás
- hivatalból
- a bejelentőt értesíti kell
- a NAIH megindítja, ha a bejelentésen alapuló vizsgálat alapján vagy egyébként valószínűsíthető a személyes adatok jogellenes kezelése, és az:
- személyek széles körét érinti
- nagy érdeksérelmet idézhet elő
- kárveszélyt idézhet elő.
Szankciók
- a NAIH elrendelheti:
- adat helyesbítést
- adat zárolását, törlését, megsemmisítését
- az érintett tájékoztatását
- a határozat nyilvánosságra hozatalát.
- megtilthatja:
- jogellenes adatkezelést
- jogellenes adatfeldolgozást
- külföldre való adattovábbítást
- megállapíthatja: a jogellenes adatkezelést / adatfeldolgozást
- bírságot szabhat ki
Bírságkiszabás – Kfv.II.37.886/2015/7. Kúria ítélet
- a kis és középvállalkozásokról, fejlődésük támogatásáról szóló 2004. évi XXXIV. törvény (Kktv.) 12/A. § (2) bek.:
- a jogsértés emberi életet, testi épséget vagy egészséget sért vagy veszélyeztet,
- a bírság kiszabásának alapjául szolgáló tényállás megvalósulásával környezetkárosodás következett be.
- a tizennyolcadik életévüket be nem töltött személyek védelmét célzó jogszabályi rendelkezés megsértésére került sor, vagy
- a jogsértésre a személyeknek koruk, hiszékenységük, szellemi vagy fizikai fogyatkozásuk miatt különösen kiszolgáltatott, egyértelműen azonosítható csoportjához tartozó személlyel szemben került sor,
- a vállalkozás megsérti a békéltető testületi eljárásban fennálló, a fogyasztóvédelemről szóló 1997. évi CLV. törvény 29. § (11) bekezdésében meghatározott együttműködési kötelezettségét.
Bírságkiszabás
- minimum 100.000 forint – maximum 20 millió forint
- bírságcsökkentő tényezők:
- huzamosabb ideje jogszerűen végzett tevékenység
- felróhatóság kérdése
- jogsértés következményeinek elhárítása és együttműködő magatartás tanúsítása
- idő múlása
- érintettek csekély száma
- gazdasági súlya csekély.
- bírságnövelő tényezők:
- jogellenességgel elért vagyoni előny mértéke
- jogsértéssel okozott hátrány visszafordíthatósága
- jogsértéssel érintettek korának nagysága
- jogsértő állapot időtartama
- ismételt elkövetés-ismétlődő jelleg
- eljárást segítő, együttműködő magatartás hiánya
- jogsértést elkövető gazdasági súlya jelentős
- jogsértés súlya
- korábbi vizsgálati eljárás hatása
És akkor következzen maga az előadás (letölthető /meghallgatható mp3 formátumban IDE kattintva):
“…mivel már hallottak az Adatvédelmi Hatóságról és már említettem önöknek azt, hogy “vizsgálati eljárás”, egy picit arról beszélnék, hogy abban az esetben indítja meg a hatóság a vizsgálati eljárást, hogyha bejelentés érkezik valamely adatkezeléssel kapcsolatban, merthogy az érintett, a panaszos, az ügyfél úgy ítéli meg, hogy nem megfelelő az adatkezelés. Akkor a hatóság vizsgálatot indít és szankcióként – amennyiben megállapítja a jogellenes adatkezelést – akkor felszólítást alkalmaz.
Ezen kívül a hatóság audit-pci jóváhagyási eljárást folytat le. Ami a webáruházak szempontjából fontos az a nyilvántartásba vétel, ugyanis az adatkezeléseket a nyilvántartásba be kell jegyezni. Webáruházak esetében ez azért fontos, mert általában az ügyfélkapcsolat az egy kivételt jelent a nyilvántartásba bejelentkezés alól, azonban hogyha hírlevet küldenek ki az érintetteknek vagy mondjuk adatokat továbbítanak (akár belföldön akár külföldön) a nyilvántartásunkba be kell jelentkezni még mielőtt az adatkezelést megkezdi. Akkor kapnak egy nyilvántartási számot, egy azonosítót.
Rá is térnék az Adatvédelmi Hatósági eljárásra, amit a Hatóság hivatalból indít meg. Általában az a gyakorlat, hogy a hatóság egy vizsgálati eljárást lefolytat, és úgy ítéli meg, hogy meghatározott tényezők fennállnak, mint a személyek széles körét érinti az adatkezelés vagy nagy érdeksérelmet idézhet elő maga a jogellenes adatkezelés vagy kárveszély, és akkor a hatóság adatvédelmi hatósági eljárást folytat le.
A Hatósági eljárás során a Hatóság hoz egy határozatot, és elsősorban nem a bírságot alkalmazza, mivel a tavalyi év folyamán hozott a Kúria egy ítéletet, hanem a határozatban elrendeli az adatoknak a helyesbítését, törlését, megsemmisítését, vagy ha pont az volt az adatkezelési probléma, hogy az adatkezelő a tájékoztatási kötelezettségének nem tett eleget az érintett kérelmére, akkor a Hatóság elrendelheti az érintettnek a tájékoztatását. Megtiltja a Hatóság a jogellenes adatkezelést, feldolgozást és nyilván megállapítja, hogy jogellenes volt az adatkezelés.
De ami az önök szempontjából fontos, az a bírság. Ugye bírságot is kiszabhatunk, de mint mondtam a tavalyi évben született egy Kúriai ítélet és 2016. tavaszától a Hatóságnak is figyelembe kell venni azt, hogy a vállalkozás, mely az adatkezelést végzi az kis-és középvállalkozásnak minősül-e, mert amennyiben annak minősül akkor a Hatóság első körben nem a bírságot szabja ki, hanem figyelmeztetést alkalmaz. Viszont ha az adatkezelő ennek ellenére a továbbiakban is jogellenes adatkezelést folytat, akkor már nem mentesül a bírság kiszabása alól. Viszont a kis-és középvállalkozás az, amely jogellenes adatkezelést folytatja, megvannak azok a szempontok amit önök is látnak a dián, amik hogyha fennállnak akkor mégis bírságol a Hatóság. Ilyen például az emberi élet és testi épségnek a veszélyeztetése – a közelmúltban a Hatóság egy határozatot bocsájtott ki pont az egészségügyi adatkezelésekkel kapcsolatosan, kis és középvállalkozást is bírságolt a Hatóság -, vagy a Hatóság annak ellenére, hogy kis és középvállalkozásról van szó, ha a 18. életévét be nem töltött személynek az adatait jogellenesen kezeli – és erre volt is korábban példa társkereső oldalakkal kapcsolatban, hogy kiskorúaknak az adatait is kezelték -, ez pont egy olyan eset (hiába kis és középvállalkozás) ha jogellenes az adatkezelés, abban az esetben a hatóság bírságot szab ki.
Hát igen, el is érkeztünk az összeghez. A bírságnak a legkisebb összege 100 ezer forint, a legmagasabb pedig 30 millió forint. És akkor kezdjük a jó hírrel, hogy melyek a bírságcsökkentő tényezők; bírságcsökkentő tényező az, hogyha mondjuk huzamosabb ideje jogszerű tevékenységet végez az adatkezelő. Tehát példa erre az, hogyha volt egy jogellenese adatkezelés, a Hatósághoz a bejelentést beérkezett, megindította a hatósági eljárást és ezt követően eltelt egy hosszabb idő amikor jogszerű volt az adatkezelés, mondjuk korábban nem volt egy adatkezelési szabályzat a honlapon és ez felkerült a honlapra vagy pedig azt módosította, mert korábban az nem megfelelő volt, akkor az bírságcsökkentő tényezőként fogja értékelni a hatóság.
A felróhatóság kérdése az szintén amennyiben nem volt felróható vagy nem bizonyíthatóan volt felróható az adatkezelőnek a jogellenes adatkezelés, akkor szintén az egy bírságcsökkentő tényezőnek minősül. Vagy ha együttműködő magatartást tanúsított az adatkezelő. El kell, hogy mondjam önöknek a Hatóság az Adatvédelmi Hatósági eljárás során elég gyakran jár ki helyszínre. Általában megállapítja a vizsgálati tervben azt, hogy melyek azok a szektorok amelyeknek a vizsgálatát tüzetesen végzi a Hatóság. Egy időben a termékbemutatókat vizsgáltuk és hatósági eljárást indítottunk, kimentünk helyszínre is és ilyen esetben a Hatóság nyilván lefoglal adatbázisokat, számítógépeket és az már egy bírságcsökkentő tényezőnek számít a Hatóság számára, hogyha megadja a hozzáféréshez szükséges jelszót az adatkezelő. Vagy mondjuk az adatkezelő a szükséges dokumentációkat, szerződéseket a Hatóságnak a rendelkezésére bocsájtja, akkor a Hatóság ezt szintén egy bírságcsökkentő tényezőként értékeli ezt a magatartást.
Ugye az idő múlása is tényező, szintén az hogyha egy hosszabb ideje már jogszerű tevékenységet végez az adatkezelő, tehát amennyiben az érintett kérte azt, hogy törölje az adatkezelő az adatait és időközben törölte az adatokat vagy az adatoknak a helyesbítését kérte az adatkezelőtől és azt teljesítette, vagy az adatkezelési szabályzatot módosították vagy újabb adatkezelési szabályzatot, vagy ha korábban nem volt akkor teljesen új adatkezelési szabályzatot tett fel az adatkezelő a honlapjára akkor nyilván ezt is a Hatóság csökkentő, bírságcsökkentő tényezőként fogja értékelni.
Az érintettek csekély száma szerintem ez egyértelmű, abban az esetben, hogyha ilyen 5 fő – az legalábbis előfordult a Hatóság gyakorlatában hogy 5 főt érintett a jogellenes adatkezelés – akkor az bírságcsökkentő tényezőnek minősül. A Hatóság mindig megvizsgálja azt, hogy milyen a gazdasági jelentősége az adott vállalkozásnak. Tehát abban az esetben, ha nem egy piacvezető cégről van szó akkor nyilván a Hatóság ezt is szempontként értékeli a bírság kiszabása során.
És akkor most a rosszabb hírre szeretnék áttérni, hogy miért, és melyek is a bírságnövelő tényezők. Bírságnövelő tényező a jogellenesen elért vagyoni előny mértéke. A Hatóság mindig az eljárás során meghatároz egy időszakot amit vizsgál, és ha ez idő alatt jelentősen gazdagodott az adott vállalkozás (mondjuk több száz milliós bevétele volt) akkor azt a Hatóság bírságnövelő tényezőként értékelte. Az is növelő tényező, ha a jogsértéssel okozott hátrány az visszafordíthatatlan, itt egy olyan példát tudnék önöknek felhozni, hogyha mondjuk van egy követelésbehajtó cég amely az adósokat egyenként kellene hogy értesítse vagy felszólítsa arra, hogy a szükséges tartozást rendezze de ezt mondjuk egy kör e-mail-ben teszi meg ahol egymásnak az adatait, nevét, e-mail címét ne adj’ Isten tartozását is megismerik az érintettek, az már visszafordíthatatlan, és ez nyilván egy bírságnövelő tényezőnek fog minősülni.
Az is növelő tényező, ha egy nagyobb kört érint a jogsértés. Ezek az adatbázisoknál jelentős, vagyis ott szokott inkább jellemző lenni, hogy több tízezer érintettnek az adatait kezelik jogellenesen, ezért is fontos, hogy az adatbázisuk is jogszerű legyen, az adatkezelési szabályoknak megfelelő. Az “ismételt elkövetés” itt azt értem alatta, hogyha mondjuk a Hatóság már az adatkezelést egy vizsgálati eljárásban vizsgálta (ugye felszólította, hogy szüntesse meg a jogellenességet) viszont újabb panaszok érkeznek a Hatósághoz, akkor a Hatóság (hogyha ugye ez ismétlődő jellegű, ugyanarra a jogellenes adatkezelésre vonatkozik) bírságnövelő tényezőként értékeli. Azt is, hogyha az együttműködő magatartás hiányzik, – tehát amit már korábban említettem – hogy az adathordozóhoz, számítógéphez szükséges jelszót nem bocsájtják a Hatóságnak a rendelkezésére az is bírságnövelő tényező.
A gazdasági súlyt is a Hatóság mindenképpen figyelembe veszi – mint mondtam – ha piacvezető cégről van szó akkor az bírságnövelő tényezőként fogjuk értékelni, nyilván a jogsértés súlyát is a Hatóság mindig növelő tényezőként és ahogyan már említettem önöknek az a korábbi vizsgálati eljárás hatása azt bírságnövelő tényezőként értékeli a Hatóság.
…
Ami rendkívül fontos, az a Hatóságnak a honlapja ahol határozatainkat is megtalálják, azt átböngészik és annak megfelelően a saját adatkezelésüket tudják alakítani, ezenkívül ajánlások találhatók a honlapunkon, mégpedig az előzetes tájékoztatás követelményével kapcsolatos ajánlás is, ami nagyon fontos hiszen gyakori panasz szokott lenni az Adatvédelmi Hatóságnál az, hogy nem tettek eleget az adatkezelők a tájékoztatásnak, és a standunknál megtalálják az adatkezelési tájékoztatás készítésének 6 lépését (lent megtalálod – a Szerk.) ami szerintem nagyon hasznos lehet, ha átpörgetik amikor adatkezelési szabályzatot készítenek.
Ha ezeket a lépéseket figyelembe veszik, akkor egy nagyon klassz tájékoztatót tudnak összeállítani, mert nagyon gyakori probléma az, hogy az adatkezelési szabályzatoknál átveszik a jogszabályi szöveget,, pedig azt a saját adatkezelésükre kellene alakítani illetve feltüntetni nyilván, hogy ki az adatkezelő, az érintettnek melyik adatait kezelik, milyen célból. Célonként mennyi ideig kezelik azt – mert az is egy gyakori probléma szokott lenni, hogy azt írják le, hogy az adatkezelési cél megvalósulásáig kezelik az adatokat, de mi is az a cél? Erről az érintetteket – az ügyfeleinket – mindenképp tájékoztatni kell. Továbbá az is nagyon fontos, hogyha továbbítják az adatokat akkor egy kinek továbbítják, ehhez külön kell kérni az érintettek hozzájárulását, de erről bővebben a Hatóság honlapján található előzetes tájékoztatást követelményéről szóló ajánlásban bővebb információt tudnak találni.”