Elkerülhetetlen az adatvédelmi jogalkalmazás bizonyos fokú szigorodása az információs önrendelkezési jog biztosítása és a személyes adatok megfelelő védelme érdekében a digitalizált világban – állapította meg a Schönherr Hetényi Ügyvédi Iroda az infotörvény jogalkalmazási gyakorlatának tapasztalatai alapján.
Az információs önrendelkezési jogról és az információszabadságról szóló törvény, az „infotörvény” 2012 januári hatályba lépése óta a hatósági jogalkalmazás szigorodása figyelhető meg a Nemzeti Adatvédelmi és Információs Hatóság (NAIH) bírságolási gyakorlata alapján – mutatott rá Gera Dániel, az ügyvédi iroda szakértője.
Emlékeztetett arra, hogy az adatvédelmi bírság jogintézményét az infotörvény vezette be azzal a céllal, hogy növelje a hatóság eszköztárát a jogérvényesítés területén. A kiszabott bírság mértéke a hatóság mérlegelésétől függ.
Az eddigi tapasztalatok alapján a jogsértés megállapítása esetén a hatóság szinte minden esetben bírságot vetett ki – hívta fel a figyelmet Gera Dániel. Jelezte, hogy az adatbázisok kiépítésével és kezelésével hivatásszerűen foglalkozó, kiemelt jelentőségű adatkezelők, például bankok, pénzügyi vállalkozások, illetve a pusztán méretüknél fogva nagy számú adatot kezelő szervezetek már akár kisebb súlyú jogsértés esetén is viszonylag súlyos bírságra számíthatnak.
Példaként egy olyan, korábban nagyobb publicitást nyert esetet hozott fel az ügyvédi iroda szakértője, amelyben a hatóság nem is csupán az adatkezelőnek, hanem az általa igénybe vett adatfeldolgozónak felróható gondatlanságból eredő jogsértés miatt szabott ki bírságot.
A szóban forgó esetben egy hacker-támadás miatt több mint 50 ezer ügyfél adata vált hozzáférhetővé. Jóllehet a behatolásért sem az adatkezelő, sem az adatfeldolgozó nem volt közvetlenül felelőssé tehető, a hatóság mégis megállapította, hogy gondatlanság terheli őket az általuk alkalmazott biztonsági intézkedések, illetve a felelősség megoszlása szerződéses rendezésének a hiányosságai miatt.
Egy másik esetben a NAIH a kivethető legnagyobb bírságot szabta ki az adatkezelőre az információs önrendelkezési jogot sértő magatartása miatt. Az adatbázis-építéssel és -kezeléssel foglalkozó cég ugyanis nem tájékoztatta részletesen ügyfeleit az adatkezelés céljáról, arról, hogy az adatokat értékesíthetik is, és harmadik személy számára is hozzáférhetővé válhatnak.
A jelenlegi digitalizált világban az adatvédelmi jogalkalmazás szigorítása bizonyos fokig elkerülhetetlen – hangsúlyozta a Schönherr Hetényi Ügyvédi Iroda szakértője, ugyanis a személyes adatok kezelésére vonatkozó biztonsági szabályok betartatása mind nagyobb kihívás elé állítja a hatóságokat. Hozzátette: maguk a felhasználók sem gondolnak bele sok esetben abba, hogy személyes adataikat egy klikkeléssel a legkülönfélébb szervezetek láncolata számára tehetik hozzáférhetővé.