Hogyan büntetett a NAIH 2020-ban? – 1. rész

Közel három éve már, hogy kötelezően alkalmazandó Magyarországon is az általános adatvédelmi rendelet vagy közismert nevén a GDPR (2016/679 EU rendelet). Tekintettel arra, hogy a Récsényi Ügyvédi Iroda egyik fő profilja az adatvédelem, ezért folyamatosan figyelemmel kísérjük a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) tevékenységét, és rendszeresen vizsgáljuk, elemezzük határozatait. Jelen írásunk keretében a NAIH 2020-ban hozott, a honlapján 2021. február 6-ig közzétett határozatai alapján rövid áttekintést adunk az adatvédelmi hatóság döntési és bírságolási gyakorlatáról. Cikkünk első részében a hatóság döntéseit és az alkalmazott jogkövetkezmények viszonyát vizsgáljuk, valamint a kérelemre indult eljárásokat elemezzük. A második részben a GDPR megsértett rendelkezéseit, a kiszabott adatvédelmi bírságok összegét és a kettő közötti összefüggéseket tárjuk fel.

Az ügyek száma, a döntések és jogkövetkezmények viszonya

A 2020-as évből a NAIH honlapján 44 db határozat érhető el az elemzés írásakor, így ezek vizsgálata alapján állítottuk össze az adatsorokat, amelyekből az itt látható grafikonok is készültek. Az adatvédelmi hatóság 38 határozatban, így több mint hatszor annyi esetben állapított meg jogsértést, mint amennyiben annak hiányát.

A NAIH az összes határozat közel 3/4-ében alkalmazott szankciót, közel 2/3-ában bírságot szabott ki, 5 ügyben pedig figyelmeztetést alkalmazott.

A jogsértést megállapító határozatokat vizsgálva azt tapasztaljuk, hogy a fenti arány a bírság és a figyelmeztetés esetében emelkedett, az ügyek közel 85%-ban került szankció alkalmazásra, ezen belül adatvédelmi bírság kiszabására ötször több esetben került sor, mint figyelmeztetés alkalmazására. A NAIH 6 esetben megállapított ugyan jogsértést, azonban szükségtelennek ítélte a bírságolást vagy figyelmeztetés alkalmazását.

A hatóság honlapján eddig közzétett határozatok alapján egyértelműen látszik, hogy az eljárások közel 3/4-e kérelemre, több mint 1/4-e pedig hivatalból került megindításra.

Az összes határozat közül a jogsértést megállapító határozatok több mint 2/3-a kérelemre indult, kevesebb mint 1/3-a pedig hivatalból, jogsértés hiányát csak kérelemre indult eljárás esetében állapította meg a NAIH.

Az összes határozatot vizsgálva az is kitűnik, hogy a hivatalból indult eljárások mindegyikében megállapították a GDPR valamely rendelkezésének megsértését, ugyanakkor a kérelemre indult eljárások közel 20%-ában, 6 esetben a NAIH nem talált jogsértésre utaló körülményt.

A jogsértést megállapító határozatok mélyebb elemzése azt mutatja, hogy mind a kérelemre, mind a hivatalból indult eljárások esetében ötször nagyobb arányban szabtak ki adatvédelmi bírságot, mint alkalmaztak figyelmeztetést; a kérelemre indult ügyekben több mint másfélszer annyi esetben került bírság kiszabására sor, mint a hivatalból indult eljárások esetében; továbbá az is látható, hogy a hivatalból indult eljárások esetében nem fordult elő olyan eset, amelyben a jogsértést nem szankcionálták.

A jogsértést megállapító határozatok esetében szankció kiszabásától eggyel több esetben tekintettek el, mint ahány esetben szükségesnek ítélték legalább figyelmeztetés alkalmazását. Szembetűnő az adatvédelmi bírság figyelmeztetéshez képest ötszörös aránya, valamint, hogy szankció alkalmazásától csak kérelemre induló eljárás esetében tekintett el a NAIH.

Kérelemre indult eljárások

A kérelemre induló eljárásokat elemezve azt látjuk, hogy az ügyek háromnegyedében az adatvédelmi hatóság részben vagy egészben helyt adott a kérelemnek, egynegyedében viszont kérelmet elutasító döntést hozott. A NAIH 4 esetben osztotta teljes mértékben a kérelmező álláspontját, ötször annyi esetben viszont csak részben adott helyt a kérelemben foglaltaknak.

Tovább vizsgálva a kérelemre indult eljárásokat azt látjuk, hogy a kérelem elutasítása esetén is állapított meg jogsértést a hatóság. E két esetben is kérelem alapján került sor az eljárás megindítására, ugyanakkor az eljárás során észlelt egyéb jogsértés alapján került sor jogsértés megállapításra.

A kérelemre indult és jogsértés megállapításával végződött ügyek közt adatvédelmi bírság kiszabására a legtöbb esetben a kérelemnek részben helyt adó határozatokban került sor, míg figyelmeztetés alkalmazására kivétel nélkül azokban az esetekben, amikor a NAIH a kérelemben foglaltakat teljes egészében elfogadta. A kérelem alapján jogsértést megállapító határozatok esetében kétszer annyi esetben tekintett el az adatvédelmi hatóság a szankció alkalmazásától és majd hatszor annyiszor szabott ki bírságot, mint ahány esetben figyelmeztetést alkalmazott.

A kérelemre indult és jogsértést megállapító határozatok közül a kérelemnek részben hely adó határozatok 3/4-ében bírságot szabott ki, negyedében nem állapított meg szankciót, figyelmeztetést sem alkalmazott. A NAIH 4 esetben teljes mértékben osztotta a kérelmezők álláspontját, itt viszont az ügyek 3/4-ében pusztán figyelmeztetést volt a szankció, adatvédelmi bírság csak 1 ügyben került kiszabásra. A hatóság mindössze két esetben utasította el a kérelmet egyéb jogsértés megállapítása mellett, az egyik ilyen esetben sor került bírságolásra is.