Hogyan büntetett a NAIH 2021-ben? – 1. rész
Négy éve már Magyarországon is kötelezően alkalmazandó az általános adatvédelmi rendelet vagy közismert nevén a GDPR (2016/679 EU rendelet). Tekintettel arra, hogy a Récsényi Ügyvédi Iroda fő profilja az adatvédelem, ezért folyamatosan figyelemmel kísérjük a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) tevékenységét, és rendszeresen vizsgáljuk, elemezzük határozatait, amelynek során évente közzéteszünk egy rövid összefoglalót a hatóság előző évi döntési és bírságolási gyakorlatáról.
Az idei évben február helyett májusban zártuk le az anyaggyűjtést tekintettel arra, hogy a NAIH még néhány hete is közzétett honlapján 2021-ben hozott határozatot. Erre figyelemmel jelen írásunk keretében a NAIH 2021-ben hozott, a honlapján 2022. május 11-ig közzétett határozatai alapján adunk rövid áttekintést az adatvédelmi hatóság 2021-es tevékenységéről.
Cikkünk első részében a hatóság döntéseit és az alkalmazott jogkövetkezmények relációját vizsgáljuk, valamint a kérelemre indult eljárások adatait elemezzük.
Az ügyek száma, a döntések és jogkövetkezmények viszonya
A 2021-es évből a NAIH honlapján a korábbiaknál kevesebb, összesen 32 db határozat érhető el az elemzés írásakor, így ezek vizsgálata alapján állítottuk össze az adatsorokat, amelyekből az itt látható grafikonok is készültek. Az adatvédelmi hatóság 28 határozatban, így hétszer annyi esetben állapított meg jogsértést, mint amennyiben annak hiányát.
A NAIH a határozatok felében nem alkalmazott szankciót, a másik felében pedig közel 90%-os arányban bírságot szabott ki, 2 ügyben pedig figyelmeztetést alkalmazott. 2020-hoz képest az arányok jelentősen eltolódtak, 2020-ban még az összes határozat közel 3/4-ében került szankció megállapításra.
A jogsértést megállapító határozatokat vizsgálva azt tapasztaljuk, hogy a fenti arány a bírság és a figyelmeztetés esetében csak kis mértékben emelkedett, az ügyek 57%-ban került szankció alkalmazásra, ezen belül adatvédelmi bírság kiszabására hétszer több esetben került sor, mint figyelmeztetés alkalmazására. A NAIH 12 esetben megállapított ugyan jogsértést, azonban szükségtelennek ítélte a bírságolást vagy figyelmeztetés alkalmazását.
A közzétett határozatok alapján egyértelműen látszik, hogy az eljárások 5/6-a kérelemre, 1/6-e pedig hivatalból került megindításra. A 2020-as évhez képest az arány eltolódott, 10%-kal nőtt a kérelemre induló eljárások száma, ugyanennyivel csökkent a hivatalból indított eljárások száma.
Az összes határozat közül a jogsértést megállapító határozatok közel 5/6-a kérelemre indult, több mint 1/6-a pedig hivatalból, jogsértés hiányát csak kérelemre indult eljárás esetében állapította meg a NAIH. A 2020-as évhez képest fele arányban indult hivatalból eljárás.
Az összes határozatot vizsgálva az is kitűnik, hogy a hivatalból indult eljárások mindegyikében megállapították a GDPR valamely rendelkezésének megsértését, ugyanakkor a kérelemre indult eljárások hatodában, 4 esetben a NAIH nem talált jogsértésre utaló körülményt. A kérelemre indult eljárásokon belül az arány nem változott érdemben 2020-hoz képest.
Jogsértést megállapító határozatok
A jogsértést megállapító határozatok mélyebb elemzése azt mutatja, hogy a kérelemre indult eljárások esetében ötször nagyobb arányban szabtak ki adatvédelmi bírságot, mint alkalmaztak figyelmeztetést; ugyanakkor a hivatalból indult eljárások esetében 2021-ben nem került sor figyelmeztetésre. Jelentős változás, hogy a kérelemre indult eljárásokban majdnem ugyanannyi ügyben mellőzték a szankció alkalmazását, mint a bírságolással és figyelmeztetéssel zárult ügyek száma, ugyanakkor a hivatalból indult eljárások esetében csak tizedannyi esetben nem került szankció alkalmazására sor. 2020-hoz képest jelentős mértékben nőtt a szankcióval nem érintett ügyek száma.
Szembetűnő az adatvédelmi bírság figyelmeztetéshez képest hétszeres aránya, valamint, hogy szankció alkalmazásától a hivatalból indult eljárások esetében csak tizedannyi esetben tekintett el a NAIH, mint kérelemre indult eljárásoknál. 2020-hoz képest újdonság, hogy figyelmeztetésre hivatalból indult eljárások esetében nem került sor, ugyanakkor egy esetben lehetőséget látott a NAIH eltekinteni a szankció alkalmazásától.
Kérelemre indult eljárások
A kérelemre induló eljárásokat elemezve azt látjuk, hogy az ügyek 70%-ban az adatvédelmi hatóság részben vagy egészben helyt adott a kérelemnek, egyharmadában viszont kérelmet elutasító döntést hozott. A NAIH 5 esetben osztotta teljes mértékben a kérelmező álláspontját, közel háromszor annyi esetben viszont csak részben adott helyt a kérelemben foglaltaknak. Ezen arányok 2020-hoz képest nem mutatnak szignifikáns eltérést.
Tovább vizsgálva a kérelemre indult eljárásokat azt látjuk, hogy a kérelem elutasítása esetén is állapított meg jogsértést a hatóság. E négy esetben is kérelem alapján került sor az eljárás megindítására, ugyanakkor az eljárás során hivatalból észlelt egyéb jogellenes magatartás miatt került sor jogsértés megállapításra. 2020-hoz képest a kérelemnek helyt adó határozatok száma 6%-kal emelkedett, az elutasított kérelmek száma a duplájára nőtt, ennek eredményeképpen a kérelemnek helyt adó határozatok száma a korábbi 77%-ról 61%-ra csökkent.
A kérelemre indult és jogsértés megállapításával végződött ügyek közt adatvédelmi bírság kiszabására, illetve a szankció mellőzésére a legtöbb esetben a kérelemnek részben helyt adó határozatokban került sor. A kérelem alapján jogsértést megállapító határozatok esetében közel hatszor annyi esetben tekintett el az adatvédelmi hatóság a szankció alkalmazásától és ötször annyi esetben szabott ki bírságot, mint ahány esetben figyelmeztetést alkalmazott.
A kérelemre indult és jogsértést megállapító határozatok közül a kérelemnek részben hely adó határozatok harmadában bírságot szabott ki, több mint felében nem állapított meg szankciót, 1 esetben figyelmeztetést alkalmazott. Ez jelentős átrendeződés 2020-hoz képest, hiszen több esetben került szankció mellőzésére sor, mint bírság kiszabására vagy figyelmeztetés alkalmazására. A NAIH 5 esetben teljes mértékben osztotta a kérelmezők álláspontját, itt az ügyek 2/5-ében bírságolásra, 1/5-1/5 arányban pedig figyelmeztetésre és szankció mellőzésére került sor. A hatóság négy esetben utasította el a kérelmet egyéb jogsértés megállapítása mellett, két ilyen esetben sor került bírságolásra is.
A következő részből
Blogbejegyzésünk második részében az általános adatvédelmi rendelet megsértett rendelkezéseit, a kiszabott adatvédelmi bírságok összegét és a kettő közötti összefüggéseket tárjuk fel.
A blogbejegyzésben leírtakkal összefüggő kérdések esetén a kapcsolatok menüpont alatti elérhetőségeken állunk szíves rendelkezésükre.
A jelen blogbejegyzés kizárólag a tájékoztatás célját szolgálja, az nem minősül jogi tanácsadásnak; annak egyedi ügyben történő felhasználásáért a Récsényi Ügyvédi Iroda a jogi felelősségét kizárja.