A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) első alkalommal szabott ki bírságot egy cégre a GDPR megsértése miatt. Ódor Dániel, a Taylor Wessing Budapest adatvédelmi csapatának vezetője szerint a döntés előrevetítheti, hogy milyen hozzáállásra számíthatunk a NAIH-tól az ilyen ügyekben.
Az első eset
Az 1 millió forintos bírságot azt követően szabta ki a NAIH, hogy a kérelmező panaszt tett a hatóságnál miután egy cég nem biztosította számára a személyes adataihoz való hozzáférés jogának gyakorlását. A kérelmező azt kérte a megbírságolt cégtől, hogy megtekinthesse a cég recepcióján saját magáról készült biztonsági kamerás felvétel másolatát, valamint, hogy az eredeti felvételt öt éven keresztül ne töröljék, mivel arra egy jogvitában szüksége van.
A cég arra hivatkozva utasította el a kérést, hogy a kérelmező nem igazolta a felvétel megőrzéséhez fűződő jogos érdekét, amelyre a magyar jogszabályok alapján egyébként köteles lett volna.
A kérelmező ezt követően tett panaszt a NAIH-nál, aki idén februárban közzétett döntésében a bírság kiszabása mellett döntött. A Taylor Wessing Budapest adatvédelmi csapatának szakértői szerint ez a döntés nem csak azért jelentős, mert ez az első alkalom a GDPR hatályba lépése óta, hogy egy céget adatvédelmi bírsággal sújtottak, hanem azért is, mert előrevetítheti, hogy a jövőben milyen hozzáállásra számíthatunk a NAIH-tól az ilyen ügyekben.
Mit jelent a döntés?
A döntésében a NAIH elismerte, hogy bár a vonatkozó magyar jogszabály szerint az adatalanynak hasonló (tehát biztonsági kamerás felvételek megőrzésére vonatkozó) kérelmek esetében igazolnia kell jogos érdekének fennállását, a jelen ügyben közvetlenül alkalmazandó GDPR nem ró ilyen terhet az adatalanyokra, így a vonatkozó magyar jogszabályra hivatkozással nem lehet elutasítani a kérést.
A GDPR felülírja a nemzeti jogszabályokat
A NAIH döntése alapjául szolgáló jogi érv helyességét nehéz tagadni. A GDPR jelentősége részben pont abban áll, hogy közvetlenül alkalmazandó és – hacsak maga a rendelet nem teszi ezt lehetővé – a nemzeti jogszabályok nem írhatják felül az EU-ban a rendelet által mindenkinek biztosított adatvédelmi jogokat. El kell ismerni ugyanakkor, hogy a magyar cégek sokszor nehéz helyzetben vannak, amikor meg akarnak felelni a GDPR elvárásainak, hiszen a hazai jogszabályok sok esetben nincsenek teljes összhangban az uniós szabályozás minden kikötésével.
„A NAIH döntése azért is fontos, mert határozottan megerősíti a GDPR elsőbbségét a nemzeti jogszabályok felett, ezáltal régóta várt iránymutatást ad az adatalanyoknak, adatkezelőknek és adatfeldolgozóknak egyaránt arra vonatkozóan, hogy mi a teendő akkor, amikor a GDPR és a nemzeti jogszabályok ellent mondanak egymásnak. Bár egy, a parlament elé nemrég benyújtott javaslat csökkenteni hivatott az ellentmondások számát, néhány közülük biztosan megmarad. Mivel úgy tűnik, hogy a NAIH nem habozik betartatni a GDPR adott esetben szigorúbb szabályait ilyen esetekben sem, azoknak a cégeknek, akik eddig nem módosítottak adatkezelési szokásaikon abban reménykedve, hogy a magyar jogszabályok valamekkora fedezetet biztosítanak nekik, ideje mielőbb cselekedniük, mielőtt még túl késő lesz” – figyelmeztet Ódor Dániel, a Taylor Wessing Budapest adatvédelmi csapatának vezetője.