Hogyan büntetett a NAIH 2021-ben? – 2. rész
Négy éve már Magyarországon is kötelezően alkalmazandó az általános adatvédelmi rendelet vagy közismert nevén a GDPR (2016/679 EU rendelet). Tekintettel arra, hogy a Récsényi Ügyvédi Iroda fő profilja az adatvédelem, ezért folyamatosan figyelemmel kísérjük a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) tevékenységét, és rendszeresen vizsgáljuk, elemezzük határozatait, amelynek során évente közzéteszünk egy rövid összefoglalót a hatóság előző évi döntési és bírságolási gyakorlatáról.
Az idei évben február helyett májusban zártuk le az anyaggyűjtést tekintettel arra, hogy a NAIH még néhány hete is közzétett honlapján 2021-ben hozott határozatot. Erre figyelemmel jelen írásunk keretében a NAIH 2021-ben hozott, a honlapján 2022. május 11-ig közzétett határozatai alapján adunk rövid áttekintést az adatvédelmi hatóság 2021-es tevékenységéről.
Cikkünk első részében a hatóság döntéseit és az alkalmazott jogkövetkezmények relációját vizsgáltuk, valamint a kérelemre indult eljárások adatait elemeztük.
A második részben a GDPR megsértett rendelkezéseit, a kiszabott adatvédelmi bírságok összegét és a kettő közötti összefüggéseket tárjuk fel. A 2021-es évből a NAIH honlapján 28 db jogsértést megállapító, ezen belül 14 db bírság jogkövetkezményt alkalmazó határozat érhető el az elemzés írásakor, így ezek vizsgálata alapján állítottuk össze az adatsorokat, amelyekből az itt látható grafikonok is készültek.
A megsértett GDPR rendelkezések megoszlása
A határozatok alapján látható, hogy az adatvédelmi rendelet számos különféle rendelkezésének megsértése vezetett jogsértés megállapításához. Az előző évhez hasonlóan, a jogsértések legnagyobb része négy kiemelt területre vezethető vissza, az ezek közti arány azonban megváltozott mellett. A legtöbb esetben a nem megfelelő jogalapon, vagy annak hiányában történő adatkezelés, az alapelvek, az átlátható tájékoztatáshoz és kommunikációhoz, valamint az érintetti tájékoztatáshoz való jog megsértése miatt került sor a határozatokban jogsértés megállapítására. A GDPR egyéb rendelkezéseivel kapcsolatos jogsértéseket nagyságrendekkel kisebb arányban rögzítettek a határozatokban, három GDPR rendelkezéssel kapcsolatban pedig 2021-ben nem került jogsértés megállapításra.
Az egyes megsértett GDPR rendelkezések vizsgálata alapján látható, hogy a jogsértések több mint negyedét az alapelvi rendelkezések és az elszámoltathatóság (kék színárnyalatok), közel negyedét a tájékoztatással kapcsolatos különféle előírások (zöld színárnyalatok), ötödét az adatkezelés jogalapjával kapcsolatos szabályok (világosszürke szín) megszegése miatt állapították meg. Az e négy területen megállapított jogsértések az összes megsértett GDPR cikk közel háromnegyedét tették ki, a maradékon osztozik a 10 egyéb, alacsony számban megsértett rendelkezés. 5%-ot meghaladó arányban a hozzáférési jog és a törléshez való jog megsértése került megállapításra, a többi jogsértés aránya nem érte el az 5%-ot.
Bírság összegek
A bejegyzés írásáig nyilvánosan elérhető 2021. évi határozatok alapján 48.000.000 Ft összegben szabott ki adatvédelmi bírságot a NAIH, ami nagyságrendekkel elmarad az előző évi közel 280 millió forinttól. A legnagyobb összegű bírság összege 10.000.000 Ft volt (ez az előző évi tizede), amelyet két esetben szabtak ki, ezt követte egy 8.000.000 Ft és három 5.000.000 Ft összegű bírság. A legalacsonyabb összegű bírság 300.000 Ft volt. 2021-ben fele annyi, kettő olyan határozat is született, amelyben mindkét kérelmezett esetében is bírsággal szankcionálták a jogsértést.
Az adatvédelmi bírságok megoszlását elemezve azt látjuk, hogy az első öt legmagasabb összegű (sötét- és világoszöld színnel jelzett) adatvédelmi bírság a teljes kiszabott bírságösszeg közel 90%-át teszi ki, a maradék 10% (5 millió forint) nyolc alacsonyabb összegű bírságot kiszabó határozat eredménye (szürke háttér). Az említett hat magasabb összegű bírságot leszámítva a legtöbb esetben néhány százezres vagy milliós nagyságrendben állapította meg a hatóság az adatvédelmi bírság összegét: két esetben milliós, hat esetben pedig 1 millió forint alatti adatvédelmi bírságot róttak ki.
Ha megvizsgáljuk azt, hogy milyen arányban áll az egy határozatban megállapított különböző megsértett GDPR rendelkezések száma és az alkalmazott szankciók fajtája (bírság/figyelmeztetés/szankció hiánya), illetve bírság esetén a mértéke, a következőket láthatjuk: a NAIH 14 esetben szabott ki bírságot, a legnagyobb összegű bírság kiszabására két esetben, a GDPR három (adatbiztonság, incidensbejelentés, incidenssel kapcsolatos tájékoztatás), illetve öt pontjának (alapelvi rendelkezések, jogalapok, átlátható tájékoztatás, törléshez való jog, beépített adatvédelem) megszegése következtében került sor. A legtöbb GDPR szakasz (7 db) megsértését megállapító határozatban csupán 500.000 Ft összegű bírságot szabtak ki. A grafikon a 2021-es év vonatkozásában is egyértelműen azt mutatja, hogy nincs egyenes arányosság a bírság összege és a megsértett GDPR rendelkezések száma között. Az is látható, hogy a hatóság 13 esetben eltekintett adatvédelmi bírság kiszabásától, 2 esetben pedig elegendőnek tartotta figyelmeztetés alkalmazását is.
A blogbejegyzésben leírtakkal összefüggő kérdések esetén a kapcsolatok menüpont alatti elérhetőségeken állunk szíves rendelkezésükre. A jelen blogbejegyzés kizárólag a tájékoztatás célját szolgálja, az nem minősül jogi tanácsadásnak; annak egyedi ügyben történő felhasználásáért a Récsényi Ügyvédi Iroda a jogi felelősségét kizárja.