Nem könnyű a személyes adatok védelme – Beszélgetés Vigh Beáta ügyvéddel az első romániai GDPR-bírság apropóján

Vigh Beáta: a büntetés rámutat a személyi adatok biztonságos kezelésének fontosságára

Vigh Beáta: a büntetés rámutat a személyi adatok biztonságos kezelésének fontosságára

Az adatvédelmi hatóság 613 912 lejre, vagyis mintegy 130 000 euróra bírságolta az Unicredit Bankot az Európai Unió általános adatvédelmi rendelete (GDPR) alapján – ez az első bírság a témában Romániában. A bírság okáról, illetve az adatvédelmi szabályokról Vigh Beáta szellemitulajdon-jogi ügyvéddel beszélgettünk.

Bálint Eszter

2019. július 09., 14:382019. július 09., 14:38

– Hatalmas összegre, mintegy 130 000 euróra bírságolta az adatvédelmi hatóság az Unicredit Bankot a GDPR (az Európai Unió általános adatvédelmi rendelete) alapján. A laikus polgár számára ezen a tényen túl még annyi hámozható ki a cikkelyektől és bekezdésektől hemzsegő hírben, hogy a pénzintézet visszaélt ügyfelei adataival, és olyanokhoz is eljutott egyebek mellett a kliensek személyi száma, akikhez nem kellett volna, vagy nem feltétlenül lett volna szükség. Miről is szól tulajdonképpen ez a büntetés?

– A GDPR 25. cikkelyének első bekezdése, amelyre a döntés hivatkozik, átfogó előírás arról, hogy bármely adatkezelőnek, amikor eldönti, hogy milyen adatokat és hogyan fog kezelni, akkor alkalmaznia kell azt az elvet, miszerint csak a cél megvalósításához szükséges legkevesebb adatot kezelje, a lehető legrövidebb ideig tárolja az adatokat, technikai és szervezeti intézkedéseivel biztosítva ennek a biztonságos módját, és garantálja a személyi adatok biztonságát.

Idézet
Ezt a követelményt nevezzük „beépített és alapértelmezett adatvédelemnek”. 

A hatóság döntése szerint a bank megsértette a GDPR 5. cikkelye első bekezdésének c pontját is, amely arról szól, hogy csak azok az adatok kezelhetők, amelyek feltétlenül szükségesek az adott cél megvalósításához. A konkrét cselekvés, amellyel a bank megsértette a jogszabályt pedig az, hogy online fizetések esetén a fizetés kedvezményezettje láthatta a fizető fél címére és személyi azonosító számára vonatkozó adatokat is a fizetési kivonaton, ha a fizető fél más pénzügyi intézetnél rendelkezett számlával, illetve a kedvezményezett láthatta a fizető fél címére vonatkozó adatokat belső rendszerű fizetések esetén.

Idézet
Ez a büntetés tehát két fontos dologra is felhívja a figyelmet: az egyik, hogy a bankok is csak célzottan és adott célhoz rendelt limitált adatokat kezelhetnek, a másik, hogy a személyi azonosító szám, amelyet országunkban eddig gyakran kértek mindenfajta ügyintézésnél, sok esetben éppen az állami intézetek, hivatalok, hatóságok, egy különleges személyi adat, kezelésénél szigorú adatbiztonsági intézkedéseket kell betartani, és csak indokolt esetben kérhető az érintett személyektől.

Azt is figyelembe kell ugyanakkor venni, hogy a bankok, pénzintézetek, egészségügyi intézetek, büntetőeljárásokért és büntetésalkalmazásért felelős hatóságok kezelik a legérzékenyebb személyes adatokat, ezért különösen fontos az, hogy ezek a társadalmi szereplők betartsák az adatbiztonságra vonatkozó előírásokat és a törvény betűjének való megfelelésen túl valóban garantálni tudják a polgárok személyi adatainak védelmét. Ide lehet  sorolni még azokat a civil szervezeteket, pártokat, intézeteket amelyek az etnikai, politikai, vallási, stb. hovatartozásra vonatkozó adatokat kezelik. Ilyen értelemben példaértékű is lehet egy ilyen jellegű büntetés.
 
– 130 000 euró. Egy kicsit soknak tűnik, még egy bank esetében is. Nem beszélve arról, hogy kisebb cégek is véthetnek – akarva vagy akaratlanul – a vonatkozó adatvédelmi előírások ellen.

– Ekkora mértékű összeg valóban ijesztő lehet mindazok számára, akik tudják, hogy adatkezelőként vagy adatfeldolgozóként kötelességük a GDPR előírásainak betartására, illetve a jövőben bármikor maguk is lehetnek hasonló ellenőrzések jogalanyai. Ugyanakkor, ha az összképet nézzük, önmagában egy ilyen büntetés kiszabása még semmi rémisztőt nem tartalmaz, inkább arra jó, hogy felhívja a figyelmet a személyi adatok biztonságos kezelésének fontosságára.

Idézet
Ez a büntetés nem derült égből jött villámcsapás, hanem egy folyamat része, de azt jó tudatosítani, hogy valóban mérföldkő az általános adatvédelmi rendelet alkalmazásában, amely azt jelezheti, hogy az adatvédelmi hatóság szerint az adatkezelőknek és adatfeldolgozóknak eddig már volt elegendő ideje a rendelet alkalmazásának bevezetésére, a joggyakorlat tanulmányozására, és most már következhetnek akár büntetések is.

Az európai általános adatvédelmi rendeletet tavalyi év május 25-től kötelező alkalmazni, de tulajdonképpen ezt a dátumot megelőzte egy kétéves felkészülési időszak, mivel a rendelet már 2016 óta érvényben van. A gyakorlat azonban azt mutatja, hogy az alkalmazásra való felkészülés nemcsak Romániában, hanem más európai országokban is nagyon elmaradt a várt szinttől, és valójában csak 2018. május 25. után növekedett a tudatosítás szintje a személyi adatvédelem terén. Éppen ezért, ha a statisztikákat nézzük, látható, hogy az elmúlt egy évben az adatvédelmi hatóság körülbelül ezer kivizsgálást folytatott személyi adatvédelmi ügyekben, amelyek közül 496 kivizsgálás az érintett személyek panasza nyomán indult, pénzbírságot eddig nem szabtak ki, csak 57 esetben rendeltek el javító intézkedéseket, illetve 23 esetben adtak ki figyelmeztetést. Kijelenthető tehát, hogy mindeddig az adatvédelmi hatóság türelmes volt a GDPR alkalmazását illetően.

•  Fotó: Pixabay.com Galéria

Fotó: Pixabay.com


 
– GDPR-ügyekkel foglalkozó ügyvédként milyen tapasztalatokat szerzett az elmúlt valamivel több, mint egy évben?

– Fontos látni az érem másik oldalát is. A legtöbb esetben a vállalkozók egyáltalán nem úgy járnak el, mint ahogyan azt a hétköznapi emberek a Facebookra vonatkozó botrányokról olvashatták. Céljuk nem a személyes adatokkal való kufárkodás, hanem azért kérik és kezelik a személyes adatokat, hogy biztosak lehessenek benne, hogy termékük, szolgáltatásuk célba ér, ők pedig a megrendelés teljesítése után megkapják a megfelelő fizetséget, és tudják teljesíteni adókötelezettségeiket és más törvényes kötelezettségekeit. Nagyon sokan kérnek szaksegítséget, és fontosnak tartják, hogy rend legyen a vállalkozásukban, az általuk kezelt adatok biztonságban legyenek, csak a megfelelő személyek férhessenek hozzá az adatokhoz.

Idézet
Az a gondolat, amely életre hívta a GDPR-t, miszerint a személyes adatok kezelése legyen átlátható, az érintett személyek által ellenőrizhető, ők pedig szabadságjogokkal rendelkezzenek az adatkezeléseik felett, helyénvaló gondolat, amelyre már nagy szükség volt, főként a digitális világban.

Viszont az általános adatvédelmi rendelet előírásait a gyakorlatban alkalmazni sokszor nagyon nehéz, rendkívül költséges és megterhelő, főként a legkisebbek, az online felületet működtető kis- és közepes vállalkozások számára. Emiatt még több tudatosító kampányra, még több szakemberre, eszközökre és képzésekre lenne szükség. Továbbá arra is szükség lenne, hogy a fogyasztók is tudatosan igénybe vegyék a rendelkezésükre álló információs eszközöket az adatvédelemről, az adatvédelmi tájékoztatókat el is olvassák, ismerjék, és megtanuljanak hatékonyan élni a személyi adataikat illető szabadságjogokkal, és ne csak fegyverként használják azokat, ha dühösek lesznek például egy-egy szolgáltatóra. Az, ahogyan a hatóság eddig is eljárt, vagyis mindeddig az előírások tudatosításában és alkalmazásában segített, és nem bírságolt, a bírságot pedig jól indokolt esetben szabta ki, utal arra is, hogy a nyugati országok mintájára el kell sajátítanunk a szabadságjogokkal való élés kultúráját is, és a jogszabályok nem kizárólag arra jók, hogy büntetni lehessen, vagy panaszt tenni azok alapján.

GDPR – alapelvek és jogok

Az általános adatvédelmi rendelet, hivatalosan az Európai Parlament és az Európai Tanács 2016/679-es rendelete a magánszemélyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról (angolul: General Data Protection Regulation, röviden: GDPR). A rendelet az európai gazdasági térség területén tartózkodó magánszemélyek személyes adatait védi és rendelkezik a tagállamok közötti szabad információáramlásról. A rendelet 2016. május 24-én lépett hatályba, és kétéves türelmi időszak után, 2018. május 25-től kell alkalmazni.
 
A rendelet 5. cikkében a személyes adatok kezelésére vonatkozóan 7 alapelvet fogalmaz meg, melyek a következők:
•jogszerűség, tisztességes eljárás és átláthatóság;
• célhoz kötöttség;
• adattakarékosság;
• pontosság;
• korlátozott tárolhatóság;
• integritás és bizalmas jelleg;
• elszámoltathatóság;
• bizalom.
 
Az érintettek jogait a rendelet 12–22. cikkei tartalmazzák. Ezek a következők:
• átlátható tájékoztatáshoz való jog;
• hozzáféréshez való jog;
• helyesbítéshez való jog;
• törléshez és elfeledtetéshez való jog;
• korlátozáshoz való jog;
• adathordozhatósághoz való jog;
• tiltakozáshoz való jog;
• automatikus döntéshozatal elutasításához való jog.

szóljon hozzá! Hozzászólások

Hírlevél

Iratkozzon fel hírlevelünkre, hogy elsőként értesüljön a hírekről!

Ezek is érdekelhetik

A rovat további cikkei

2025. július 03., csütörtök

Új gázmezőre bukkant az OMV Petrom

Az OMV Petrom új gázlelőhelyre bukkant Dél-Romániában, a Craiovától 70 kilométerre fekvő Spineni-ben.

Új gázmezőre bukkant az OMV Petrom
Új gázmezőre bukkant az OMV Petrom
2025. július 03., csütörtök

Új gázmezőre bukkant az OMV Petrom

2025. július 03., csütörtök

A legszegényebbeknek fog a legjobban fájni: elemző a Krónikának a deficitcsökkentő intézkedéscsomagról

Mindenki megkapja a keserű pirulát, de nem egyformán fog fájni – fogalmazta meg Rácz Béla Gergely közgazdász, amikor csütörtökön a Bolojan-kormány által közvitára bocsátott deficitcsökkentő intézkedéscsomagról kérdeztük.

A legszegényebbeknek fog a legjobban fájni: elemző a Krónikának a deficitcsökkentő intézkedéscsomagról
2025. július 03., csütörtök

Tánczosék magyarázzák a deficitcsökkentő „bizonyítványt”

Táncos Barna miniszterelnök-helyettes csütörtöki sajtótájékoztatóján kijelentette, hogy a kormány által javasolt deficitcsökkentő intézkedések nélkül fenntarthatatlanná vált volna a költségvetési hiány.

Tánczosék magyarázzák a deficitcsökkentő „bizonyítványt”
2025. július 03., csütörtök

Még semmi nincs kőbe vésve? Folytatódnak az egyeztetések a deficitcsökkentő intézkedéscsomagról

Ilie Bolojan kormányfő csütörtökön a szakszervezeti szövetségek képviselőivel egyeztetett a Victoria-palotában a deficitcsökkentő intézkedésekről.

Még semmi nincs kőbe vésve? Folytatódnak az egyeztetések a deficitcsökkentő intézkedéscsomagról
2025. július 03., csütörtök

Ahelyett, hogy javulna, romlik az életszínvonal a romániai lakosság csaknem fele szerint

A romániai lakosság háromnegyede úgy véli, hogy az elmúlt évben romlott az ország gazdasági helyzete, és csaknem fele szerint romlott az életszínvonaluk. Ezek az INSCOP legfrissebb közvélemény-kutatásának következtetései.

Ahelyett, hogy javulna, romlik az életszínvonal a romániai lakosság csaknem fele szerint
2025. július 03., csütörtök

Hevesen bírálják a vállalkozók a Bolojan-kormány megszorító intézkedéseit

Alighogy Ilie Bolojan miniszterelnök szerdán délután ismertette a tavalyi 9,3 százalékos költségvetési hiány lefaragására kidolgozott gazdasági megszorító intézkedéseket, azok máris bírálatok kereszttüzébe kerültek.

Hevesen bírálják a vállalkozók a Bolojan-kormány megszorító intézkedéseit
2025. július 02., szerda

Felmérés: a polgárok nagy része szerint a saját anyagi helyzete jobb, mint az országé

A romániai polgárok közel háromnegyede szerint az ország gazdasági helyzete rosszabb, mint egy éve – derül ki egy friss közvélemény-kutatásból.

Felmérés: a polgárok nagy része szerint a saját anyagi helyzete jobb, mint az országé
2025. július 02., szerda

Brüsszel 2040-re 90 százalékkal csökkentené az üvegházhatást okozó gázok nettó kibocsátását

Az Európai Bizottság az üvegházhatást okozó gázok nettó kibocsátásának 90 százalékos csökkentését javasolja 2040-ig – jelentette be a versenypolitikáért felelős biztos.

Brüsszel 2040-re 90 százalékkal csökkentené az üvegházhatást okozó gázok nettó kibocsátását
2025. július 02., szerda

Rengeteg pénzt költ el szuper- és hipermarketekben a romániai lakosság

A romániaiak tavaly mintegy 40 milliárd eurót költöttek el a nagy kiskereskedelmi üzletláncokban, 7,1 százalékkal többet, mint 2023-ban – derül ki a Cushman & Wakefield Echinox szerdán közzétett tanulmányából.

Rengeteg pénzt költ el szuper- és hipermarketekben a romániai lakosság
2025. július 02., szerda

Nem kérnek a megszorításokból: több ezer közalkalmazott tiltakozott munkabeszüntetéssel szerdán is

A pénzügyminisztérium és az adóhatóság (ANAF) több mint 9 ezer alkalmazottja tiltakozik szerdán spontán munkabeszüntetéssel az ártalmas munkakörülményekért járó bérpótlék csökkentése ellen – közölte Vasile Marica, a Sed Lex elnöke.

Nem kérnek a megszorításokból: több ezer közalkalmazott tiltakozott munkabeszüntetéssel szerdán is