Az adatvédelmi hatóság gyakorlata kialakulóban van, egyre több vizsgálatot folytatnak és több határozat született. Februárban két újabb Nemzeti Adatvédelmi és Információ Hatóság (NAIH) határozat látott napvilágot a GDPR megsértésére hivatkozva. Ezek keretében a Hatóság egyenként 500.000 Ft értékű, kisebb adatvédelmi bírságot szabott ki. Bár a bírságok nem magasak, az egyértelműen elmondható, hogy a NAIH figyelme minden részletre kiterjedt a vizsgálat során. Az egyik ügyben nem megfelelő ügyfél-adatkezelés, a másik ügyben pedig nem jogszabályszerű panaszkezelés miatt vizsgálta és bírságolta meg az adatkezelőket.
NAIH/2019/363/2 határozat (2019. február 8.)
A Hatóság 500.000 Ft bírságot szabott ki egy meg nem nevezett bankra. Az ügy rávilágít arra, hogy az ügyfelek adatait pontosan kell kezelni. Ebben az esetben egy magánszemély sms-ben kapott értesítéseket hitelkártya tartozással kapcsolatban, annak ellenére, hogy az adott banknak nem volt ügyfele. Emiatt panaszt tett, a bank pedig – állítása szerint – a szükséges lépéseket megtette. Ehhez képest az érintett személy később ismételten kapott szöveges üzeneteket. A bank hibázott, mert intézkednie kellett volna az adat kezelésének korlátozásáról, aza gondoskodnia kellett volna, hogy a panaszos több üzenetet ne kapjon a helyzet tisztázásáig, az adatpontosság ellenőrzéséig.
További aggályokat vet fel, hogy a bank küldött egy felhívást is az érintett személynek azzal, hogy csatolja az előfizetői szerződés másolatát és így igazolja, hogy a szóban forgó telefonszám az ő száma. Ez részben megtévesztő volt, ugyanis az előfizetői szerződés másolatának bekérésére a bank nem volt jogosult. Ennek okán a NAIH a bírságot kiszabó határozatában megállapította a GDPR megsértését, mivel sérült a pontosság elve és az érintetti joggyakorlás.
NAIH/2019/1841 határozat (2019. február 20.)
A Hatóság jogellenes adatkezelés miatt 500.000 Ft adatvédelmi bírságot szabott ki egy meg nem nevezett szervezetre. A döntést tanulmányozva láthatjuk, hogy kiemelt jelentősége van annak, hogy az adatkezelők megfelelő tájékoztatást nyújtsanak.
Ebben az esetben egy e-mailben előterjesztett panasszal találkozhatunk, melyet az eljárás alá vont szervezet elutasított, mivel szerinte így a panaszos nem beazonosítható.
Itt fontos megjegyezni, hogy egy email általában nem tartalmaz elegendő személyes adatot ahhoz, hogy az azonosítás megtörténjen. Ezzel szemben a postai úton küldött levél többlet adattartalommal rendelkezik, mivel tartalmazza a küldő fél aláírását és lakcímét vagy levelezési címét. Amennyiben egy adott szervezetnél bizonyos adatokat szükséges megadni egy panasz benyújtásához akkor az adatvédelmi tájékoztatóban ezt világosan meg kell jelölni.
Továbbá, amikor az eljárás alá vont szervezet további személyes adatokat kért (az azonosításhoz), akkor tájékoztatnia kellett volna az ügyfelet arról, hogy a panasza kivizsgálását postai levélben is kérheti, és az ilyen formán benyújtott kérelmét további természetes személyazonosító adatok megadásának hiányában is elbírálja.
Másik lényeges pontja az ügynek, mely szintén a panasz tárgyát képezte, az érintettek adatairól szóló e-mailek, dokumentumok stb. biztonsági mentése. Fontos tanulság, hogy megfelelő tájékoztatást kell adni az ügyfeleknek, hogy ilyen mentések mikor készültek, milyen esetekben lehet felhasználni, mikor törli az adatkezelő.
A NAIH tehát megállapította, hogy az eljárás alá vont szervezet az érintetti joggyakorlást nem segítette elő és sérült az átláthatóság elve is.