Hogyan büntetett a NAIH 2020-ban? – 2. rész
Közel három éve már, hogy kötelezően alkalmazandó Magyarországon is az általános adatvédelmi rendelet vagy közismert nevén a GDPR (2016/679 EU rendelet). Tekintettel arra, hogy a Récsényi Ügyvédi Iroda egyik fő profilja az adatvédelem, ezért folyamatosan figyelemmel kísérjük a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) tevékenységét, és rendszeresen vizsgáljuk, elemezzük határozatait. Jelen írásunk keretében a NAIH 2020-ban hozott, a honlapján 2021. február 6-ig közzétett határozatai alapján rövid áttekintést adunk az adatvédelmi hatóság döntési és bírságolási gyakorlatáról. Cikkünk első részében a hatóság döntéseit és az alkalmazott jogkövetkezmények viszonyát vizsgáltuk, valamint a kérelemre indult eljárásokat elemeztük. A második részben a GDPR megsértett rendelkezéseit, a kiszabott adatvédelmi bírságok összegét és a kettő közötti összefüggéseket tárjuk fel. A 2020-as évből a NAIH honlapján 38 db jogsértést megállapító, ezen belül 27 db bírság jogkövetkezményt alkalmazó határozat érhető el az elemzés írásakor, így ezek vizsgálata alapján állítottuk össze az adatsorokat, amelyekből az itt látható grafikonok is készültek.
A megsértett GDPR rendelkezések megoszlása
A határozatok alapján látható, hogy az adatvédelmi rendelet számos különféle rendelkezésének megsértése vezetett jogsértés megállapításához. A jogsértések legnagyobb része négy kiemelt területre vezethető vissza. A legtöbb esetben az alapelvek, a tájékoztatáshoz és a hozzáféréshez való jog megsértése, valamint a nem megfelelő jogalapon, vagy annak hiányában történő adatkezelés miatt került sor a határozatokban jogsértés megállapítására. A GDPR egyéb rendelkezéseivel kapcsolatos jogsértéseket nagyságrendekkel kisebb arányban rögzítettek a határozatokban.
Az egyes megsértett GDPR rendelkezések vizsgálata alapján látható, hogy a jogsértések negyedét az alapelvi rendelkezések és az elszámoltathatóság (kék színárnyalatok), szintén negyedét a tájékoztatással kapcsolatos különféle előírások (zöld színárnyalatok), hetedét az adatkezelés jogalapjával kapcsolatos szabályok (világosszürke szín), szintén majdnem hetedét pedig a hozzáférési jog gyakorlására vonatkozó rendelkezések (barna szín) megszegése miatt állapították meg. Az e négy területen megállapított jogsértések az összes megsértett GDPR cikk több mint háromnegyedét tették ki, a maradékon osztozik a 12 egyéb, alacsony számban megsértett rendelkezés.
Bírság összegek
A bejegyzés írásáig nyilvánosan elérhető 2020. évi határozatok alapján 279.500.000 Ft összegben szabott ki adatvédelmi bírságot a NAIH. A legnagyobb összegű bírság 100.000.000 Ft volt, ezt követte egy 60.000.000 Ft és egy 35.000.000 Ft, majd két 20.000.000 Ft összegű bírság. A legalacsonyabb összegű bírság 100.000 Ft volt. Négy olyan határozat is született, amelyben mindkét kérelmezett esetében is bírsággal szankcionálták a jogsértést.
Az adatvédelmi bírságok megoszlását elemezve azt látjuk, hogy a legnagyobb 100 millió forint összegű bírság önmagában a teljes kiszabott bírságösszeg egyharmadát, az első 5 legmagasabb összegű (sötétzöld színnel jelzett) adatvédelmi bírság pedig a teljes kiszabott bírságösszeg közel 85%-át teszi ki, a maradék 15% (44,5 millió forint) 22 db alacsonyabb összegű bírságot kiszabó határozat eredménye (világoszöld és szürke háttér). Az említett 5 kimagasló összegű bírságot leszámítva a legtöbb esetben néhány százezres vagy milliós nagyságrendben állapította meg a hatóság az adatvédelmi bírság összegét: 9 esetben 1 millió forint alatti, 13 esetben pedig 1 és 10 millió forint közti adatvédelmi bírságot róttak ki.
Ha megvizsgáljuk azt, hogy milyen arányban áll az egy határozatban megállapított különböző megsértett GDPR rendelkezések száma és az alkalmazott szankciók fajtája (bírság/figyelmeztetés/szankció hiánya), illetve bírság esetén a mértéke, a következőket láthatjuk: a legnagyobb összegű bírság kiszabására a GDPR két pontjának (adatbiztonság, alapelvi rendelkezés) megszegése következtében került sor, míg a legtöbb GDPR szakasz (7 db) megsértését megállapító határozatban „mindösszesen” 2.000.000 Ft összegű bírságot szabtak ki. A grafikon egyértelműen azt mutatja, hogy nincs egyenes arányosság a bírság összege és a megsértett GDPR rendelkezések száma között. Az is látható, hogy a hatóság 12 esetben eltekintett adatvédelmi bírság kiszabásától, 5 esetben pedig elegendőnek tartotta figyelmeztetés alkalmazását is.