Nem könnyű a személyes adatok védelme – Beszélgetés Vigh Beáta ügyvéddel az első romániai GDPR-bírság apropóján

A hatóság döntése szerint a bank megsértette a GDPR 5. cikkelye első bekezdésének c pontját is, amely arról szól, hogy csak azok az adatok kezelhetők, amelyek feltétlenül szükségesek az adott cél megvalósításához. A konkrét cselekvés, amellyel a bank megsértette a jogszabályt pedig az, hogy online fizetések esetén a fizetés kedvezményezettje láthatta a fizető fél címére és személyi azonosító számára vonatkozó adatokat is a fizetési kivonaton, ha a fizető fél más pénzügyi intézetnél rendelkezett számlával, illetve a kedvezményezett láthatta a fizető fél címére vonatkozó adatokat belső rendszerű fizetések esetén.

Azt is figyelembe kell ugyanakkor venni, hogy a bankok, pénzintézetek, egészségügyi intézetek, büntetőeljárásokért és büntetésalkalmazásért felelős hatóságok kezelik a legérzékenyebb személyes adatokat, ezért különösen fontos az, hogy ezek a társadalmi szereplők betartsák az adatbiztonságra vonatkozó előírásokat és a törvény betűjének való megfelelésen túl valóban garantálni tudják a polgárok személyi adatainak védelmét. Ide lehet  sorolni még azokat a civil szervezeteket, pártokat, intézeteket amelyek az etnikai, politikai, vallási, stb. hovatartozásra vonatkozó adatokat kezelik. Ilyen értelemben példaértékű is lehet egy ilyen jellegű büntetés.
 
– 130 000 euró. Egy kicsit soknak tűnik, még egy bank esetében is. Nem beszélve arról, hogy kisebb cégek is véthetnek – akarva vagy akaratlanul – a vonatkozó adatvédelmi előírások ellen.

– Ekkora mértékű összeg valóban ijesztő lehet mindazok számára, akik tudják, hogy adatkezelőként vagy adatfeldolgozóként kötelességük a GDPR előírásainak betartására, illetve a jövőben bármikor maguk is lehetnek hasonló ellenőrzések jogalanyai. Ugyanakkor, ha az összképet nézzük, önmagában egy ilyen büntetés kiszabása még semmi rémisztőt nem tartalmaz, inkább arra jó, hogy felhívja a figyelmet a személyi adatok biztonságos kezelésének fontosságára.

Az európai általános adatvédelmi rendeletet tavalyi év május 25-től kötelező alkalmazni, de tulajdonképpen ezt a dátumot megelőzte egy kétéves felkészülési időszak, mivel a rendelet már 2016 óta érvényben van. A gyakorlat azonban azt mutatja, hogy az alkalmazásra való felkészülés nemcsak Romániában, hanem más európai országokban is nagyon elmaradt a várt szinttől, és valójában csak 2018. május 25. után növekedett a tudatosítás szintje a személyi adatvédelem terén. Éppen ezért, ha a statisztikákat nézzük, látható, hogy az elmúlt egy évben az adatvédelmi hatóság körülbelül ezer kivizsgálást folytatott személyi adatvédelmi ügyekben, amelyek közül 496 kivizsgálás az érintett személyek panasza nyomán indult, pénzbírságot eddig nem szabtak ki, csak 57 esetben rendeltek el javító intézkedéseket, illetve 23 esetben adtak ki figyelmeztetést. Kijelenthető tehát, hogy mindeddig az adatvédelmi hatóság türelmes volt a GDPR alkalmazását illetően.

Viszont az általános adatvédelmi rendelet előírásait a gyakorlatban alkalmazni sokszor nagyon nehéz, rendkívül költséges és megterhelő, főként a legkisebbek, az online felületet működtető kis- és közepes vállalkozások számára. Emiatt még több tudatosító kampányra, még több szakemberre, eszközökre és képzésekre lenne szükség. Továbbá arra is szükség lenne, hogy a fogyasztók is tudatosan igénybe vegyék a rendelkezésükre álló információs eszközöket az adatvédelemről, az adatvédelmi tájékoztatókat el is olvassák, ismerjék, és megtanuljanak hatékonyan élni a személyi adataikat illető szabadságjogokkal, és ne csak fegyverként használják azokat, ha dühösek lesznek például egy-egy szolgáltatóra. Az, ahogyan a hatóság eddig is eljárt, vagyis mindeddig az előírások tudatosításában és alkalmazásában segített, és nem bírságolt, a bírságot pedig jól indokolt esetben szabta ki, utal arra is, hogy a nyugati országok mintájára el kell sajátítanunk a szabadságjogokkal való élés kultúráját is, és a jogszabályok nem kizárólag arra jók, hogy büntetni lehessen, vagy panaszt tenni azok alapján.