Két romániai GDPR-bírság is született pár nap alatt: 145 ezer eurós szankciót szabtak ki

Eddig mindössze két büntetést adott a Személyes Adatok Feldolgozását Felügyelő Országos Hatóság a személyes adatok védelméről és szabad áramlásáról szóló uniós rendelet tavalyi bevezetése óta. Egy hét leforgása alatt két pénzbírságot is kiróttak, míg azelőtt egy évig csak figyelmeztettek. Úgy tűnik, lassan vége a türelmi időszaknak: még több büntetésre lehet számítani.

Egy évvel ezelőtt még mindenki azon pánikolt, hogyan tud megfelelni az adatvédelmi rendeletnek és mekkora pénz-idő-személyzeti ráfordítással is jár, hogy gyakorlatba ültesse azt. Azóta mintha háttérbe került volna a GDPR. Voltak cégek és közintézmények, amelyek már első hullámban eleget tettek az adatvédelmi rendeletnek, mások halogatták a megfelelést, és a hatóság jóindulatát kihasználva mai napig lazán kezelik az adatok felhasználását, tárolását. Ráadásul – mivel nálunk az adattudatosság nemcsak az adatkezelők, hanem a felhasználók szintjén is gyerekcipőben jár –, attól sem igazán kell tartaniuk, hogy panaszt tesznek ellenük. 10-ből 3 romániai ugyanis még mindig nem hallott a GDPR-ról – derül ki egy idei Eurobarométer felmérésből.

De azért érződik némi változás: egyre több panasz érkezik a Személyes Adatok Feldolgozását Felügyelő Országos Hatósághoz (ANSPDCP-hez) a GDPR bevezetése óta. Online is lehet panaszt tenni ezen az oldalon.

A hatóság májusi jelentése szerint több mint 5 ezer panaszt és hatósági értesítést kaptak és 981 kivizsgálást indítottak, ebből több mint felét panasz nyomán. Eddig mindössze figyelmeztettek és korrekciós intézkedéseket sürgettek, de a napokban két jelentős büntetést is kiszabtak. Június 27-én született meg az első pénzbírság: 130 ezer euróra büntették az UniCredit Bankot, mert 337 ezer ügyfél személyi számát (CNP-jét) és lakcímét továbbította jogellenesen. Tavaly novemberben érkezett be a panasz a hatósághoz, egy online átutalás után tűnt fel a panasztevőnek, hogy a személyi száma és lakcíme megjelent az átutalás kedvezményezettjének.

Ez egyébként a kilencedik legnagyobb GDPR bírság az Európai Unióban.

Július 2-án újabb büntetést rótt ki a hatóság: 15 ezer euróra büntette a World Trade Center Bucharest üzemeltetőjét, mert a hozzá tartozó szállodában reggelizők adatai illetéktelen kezekbe kerültek. 46 személy adatait tartalmazó – az ügyfelek azonosítását segítő – iratot fényképeztek le és később publikáltak is.

Székely Barnabás minősített adatvédelmi szakértő, a Cluj Privacy Hub társalapítója úgy véli, az UniCredit Bank büntetése arányos a kihágás súlyosságával. Az Adatvédelmi Szakértők Nemzetközi Szövetségének tagját kérdeztük, melyek a leggyakoribb adatvédelmi szabálysértések, és mennyire sikerült Romániában gyakorlatba ültetni az uniós rendeletet, a hatósági fellépést ugyanis eddig mélységes jóindulat jellemezte. Egy évig tulajdonképpen egyszer sem büntettek, így az, hogy kevesebb mint egy hét leforgása alatt már két pénzbírságot is kiszabtak, azt jelzi, hogy az „elnéző” időszakot felváltja egy sokkal szigorúbb hozzáállás.

Több felmérés is készült arról, hogy milyen mértékben sikerült a GDPR-t gyakorlatba ültetni itthon és az Európai Unióban.

Székely Barnabás: – Igen, beszélhetünk egy Európai Bizottság jelentésről, melyet az Európai Adatvédelmi Testület készített el. Ez a testület fogja össze a tagállamok adatvédelmi hatóságainak a munkáját, éppen azért, hogy legyen a GDPR-nak egy egységes alkalmazása. Született még egy Eurobarométer felmérés, amely főként a felhasználóknak az adatvédelmi- és GDPR tudatosságára vonatkozik. Harmadrészt pedig a román adatvédelmi hatóság, az ANSPDCP tett közzé egy rövid jelentést a hazai adatokkal, ebben látható, hogy mi történt Romániában.

A kis- és középvállalkozások egyharmadának sikerült megfelelnie a GDPR előírásainak, és ezt egy negyedik felmérésből tudjuk, melyet a KKV-k országos patronátusa készített. Elképzelhető egyébként, hogy a valóságban jóval kisebb ez az arány, hisz amikor megkérdeznek egy vállalkozót, hogy megfelelt-e vagy sem, akkor valószínűleg igennel válaszol, de lehet, egy szakember másként gondolná.

Ha jól tudom, nemcsak a hazai hatósági jelentésből, hanem az Európai Bizottság statisztikáiból is az derül ki, hogy Románia ismét sereghajtó, ezúttal az adatvédelmi rendelet gyakorlatba ültetése és az adattudatosság terén. Mit mutatnak konkrétan a számok?

– Az Eurobarométer felmérés igen árulkodó. Tényleg sereghajtó Románia, Spanyolországgal együtt abban a tekintetben, hogy az állampolgárok hány százaléka tudja, ismeri, hogy melyik a nemzeti adatvédelmi hatóság. Ez 14 százalék nálunk, az európai átlag 20 százalék, Litvániában viszont 28 százalék. Ami még problematikusabb, hogy az állampolgárok hány százaléka hallott egyáltalán a GDPR-ról, Romániában ez 32 százalék, az uniós átlag 40 százalék. Tehát ahhoz képest is kevesen tudnak róla, hogy nagy volt a médiavisszhangja, volt egy pánikhullám is tavaly március-május környékén.

Így nincs is, ahonnan tudják, hogy milyen jogaik vannak, hogy ha pedig nem tudják a jogaikat, nem tudják ezeket gyakorolni, és hogyha nem gyakorolják a jogaikat, az adatkezelők igazából nincsenek arra rákényszerítve, hogy felkészüljenek a GDPR-ra, és megfeleljenek az előírásainak. Ha a hatóság hivatalból nem indít ellenük kivizsgálást, akkor gyakorlatilag kicsi az esélye, hogy kiderüljön, hogy megsértik a GDPR-t, azáltal ahogy kezelik az adatokat.

A román adatvédelmi hatóság éves jelentéséből pedig az derül ki, hogy 9 439 adatvédelmi tisztviselőt (DPO) jelentettek be az elmúlt egy évben. Ez roppant kevésnek tűnik a hazai adottságokhoz képest, hisz Romániában 1,2 millió aktív gazdasági szervezet van, körülbelül 40 ezer állami intézmény és nagyon sok civil szervezet. Tehát csak töredékének van DPO-ja. Németországban 180 ezer bejelentett adatvédelmi tisztviselő van, Nagy-Britanniában 90 ezer, Franciaországban 51 ezer, de még Magyarországon is több van, mint nálunk. Itt is látszik az adatkezelőknek a tudatossága, vagy annak hiánya. Ha nem tudom, hogy adatvédelmi tisztviselőt kell kijelölni, vagy nem találok megfelelő szakembert erre a pozícióra, akkor nem tudok megfelelni az előírásoknak.

Ezt nem ellenőrzik? Az adatvédelmi hatóság nem ellenőrzi azokat a vállalkozásokat, közintézményeket például, amelyeknek kell legyen DPO-ja, hisz akkor hamar kiderülne, hogy ki kell jelöljenek adatvédelmi tisztviselőt?

– Látszik, hogy habár minden állami intézménynek kötelező kijelölnie DPO-t, nem neveztek ki mindenhol, hisz több állami intézmény van, mint amennyi bejelentett adatvédelmi tisztviselő. A magánszférát nézve, egy magánkórház esetén egyértelmű, hogy kell tisztviselő, de például egy olyan kis-és középvállalkozás esetén, amely online forgalmaz termékeket, már nem olyan egyértelmű, hogy kötelező vagy sem. Ez pedig csak úgy derülhet ki, ha vagy panaszra vagy hivatalból kivizsgálást indít a hatóság.

A hatóság hozzáállásából arra lehet következtetni, hogy még mindig egy ilyen felkészülési időszak zajlik Romániában, még mindig csak folyamatban vannak a GDPR projektek és nem ezeknek a továbbfejlesztésén, fenntartásán gondolkodunk. A kivizsgálások eredményeképp 23 alkalommal figyelmeztetésben részesítette az adatkezelőket, 57 alkalommal pedig korrekciós intézkedéseket rendelt el, vagyis azt például, hogy az adatkezelő törölje azokat az adatokat, amelyeket jogsértően kezel vagy korlátozza az adatkezelést.

Idén szeptembertől számítunk több büntetésre. Magyarországon közel 700 kivizsgálás volt, több mint 150 ezer euró összértékben szabtak ki büntetéseket. Az eddigi legnagyobb bírságot Magyarországon másfél hónapja a Sziget Zrt. kapta, 92 ezer euróra büntették őket, mert a nagyobb fesztiváljaira történő beléptetés során nem volt jogszerű az adatkezelés.Németországban több mint 500 ezer euró értékben adtak bírságot, Franciaországban a Google kapott egy 50 millió eurós büntetést, Portugáliában egy kórházra 400 ezer eurós büntetést szabtak ki. Nyilván a hatóságok mindenhol barátságosabban állnak az adatkezelőkhöz, viszont látszik az a nyugat-európai országokban, hogy ahogy telnek a hónapok, egyre sűrűbben szabnak ki büntetéseket.

Szerk. megj.: Hétfőn az eddigi legnagyobb GDPR bírságot is kiszabták. A brit adatvédelmi hatóság, az ICO 183 millió fontos (körülbelül 200 millió eurós) pénzbüntetést adott a British Airways légitársaságnak, mert tavaly fél millió utas adatai szivárogtak ki: bankkártya-adatok, nevek, címek, foglalás információk többek közt. Azért kaphattak ekkora bírságot, mert a GDPR lehetővé teszi, hogy vagy 20 millió eurót vagy az előző pénzügyi év teljes üzleti forgalmának legfeljebb a 4 százalékát szabják ki maximális büntetésként, attól függően, hogy melyik a magasabb összeg.A brit légitársaság esetében pedig a mostani összeg a 2017-es pénzügyi eredmény szerint 1,5 százaléka a teljes bevételnek. A légitársaság 28 napig fellebbezhet a döntés ellen.

Melyek a leggyakoribb szabálysértések itthon és Európában, van különbség, ahogy az adattudatosság terén is?

– Az Európai Adatvédelmi Testület jelentése azt mutatja, hogy főként a direkt marketinggel kapcsolatos adatkezelések, telefonos hívások, e-mailen küldött hírlevelek, illetve a videókamerás megfigyelések miatt érkezett a legtöbb panasz. Nálunk pedig, ami sajátosság, hogy nem tartják be az érintettek jogait, például nincsenek tájékoztatva az adatkezelésről. Ez persze összefügg az adatvédelmi tudatossággal, noha nem a GDPR által behozott újdonságról van szó, a tájékoztatáshoz való jogot már a 95-ös adatvédelmi irányelv is biztosította. Az is sajátos, hogy nagyon sok adatvédelmi incidens van, amit nem jelentenek be az adatkezelők. Elsősorban persze meg kellene előzni az incidenseket, illetve, ha az nem sikerül, akkor kellene tudnunk azonosítani, kezelni, és esetenként bejelenteni a hatóságnak, illetve tájékoztatni az érintetteket. A legtöbb adatkezelő, ha azonosít is egy ilyen incidenst, nem jelenti be, mert attól fél, hogy ezt egy hatósági kivizsgálás fogja követni. De ez önmagában is egy adatvédelmi jogsértés. Gyakori az is, hogy az adatokat anélkül továbbítják harmadik félnek, hogy ehhez meglenne a megfelelő jogalapjuk, esetenként az érintetteknek a hozzájárulása.

A türelmi időszakkal magyarázható, hogy nem volt sokkal több hivatalból elindított hatósági kivizsgálás az egy év során?

– Ezt egyrészt humánerőforrás hiánnyal is lehet magyarázni. Megnövelték ugyan a felügyeleti hatóság állománylétszámát 50-ről 85 főre, de jelenleg is csak 35-40 körüli az alkalmazottak száma. Kevés adatvédelmi szakember van és az is valószínűsíthető, hogy ha valaki olyan tudásra, tapasztalatra tesz szert, akkor inkább a versenyszférában dolgozik, semmint a hatóságnál. Ha azt nézzük, hogy ennyi alkalmazottal közel ezer kivizsgálást folytattak, akkor az egyáltalán nem kis teljesítmény. Nyilván lehetne több, és az ország méretéhez képest is több kellene, viszont valószínűleg kapacitáshiány miatt nem tudtak több vizsgálatot indítani. Egy kivizsgálás egy hónaptól akár fél évig is elhúzódhat, de tudunk olyan kivizsgálásról is, ami közel egy évig tartott. Helyszíni vizsgálatok is szükségesek, ezek még több időt vesznek igénybe. Sok minden függ attól is, hogy mennyire együttműködő az adatkezelő. Az mindenképp enyhítő körülmény, ha az adatkezelő együttműködik. Ugyanakkor a hatóság vezetői azt is világossá tették, hogy körülbelül kétszer ekkora költségvetésre lenne szükségük, hogy hatékonyabb legyen a fellépésük.

Vannak visszaélések a GDPR nevében? Kirúgott alkalmazott például adatvédelmi panaszt tesz munkaadója ellen, noha nem az adatainak felhasználása érdekli, inkább csak „bosszantaná” egykori munkáltatóját.

– Jó hír az adatkezelőknek, hogyha valaki olyan panaszt nyújt be, ami nem megalapozott adatvédelmi szempontból, akkor azt nem vizsgálja ki a hatóság. Vannak olyan fogyasztók, akik fogyasztóvédelmi okokból vagy egyéb okok miatt úgy érzik, hogy revansot kell venni az adatkezelőkön és akkor megpróbálják adatvédelmi szempontból megragadni ezt a problémát. Lehet ennek tehát egy rosszhiszemű felhasználása, ezt láttuk a mi ügyfeleinknél is, hogy vannak olyan érintettek általi megkeresések, amelyek rosszindulatúak és nem azzal a céllal vannak benyújtva, hogy többet megtudjanak az adataikról vagy épp érvényesítsék a jogaikat, hanem egyfajta bosszúállásként.

Ennek lehet az az oka, hogy sokan kártérítést szeretnének? Pénzbeli kártérítést meg tud ítélni az adatvédelmi hatóság, ha bebizonyosodik a jogsértés?

– Maga a GDPR lehetőséget ad arra, hogy sérelmi díjat követeljünk, amennyiben kárt szenvedtünk, viszont ennek a megállapítására csak a bíróságok illetékesek. Így ahhoz, hogy sérelmi díjat kapjon valaki, mindenképpen bírósági jogorvoslathoz kell fordulnia. A hatóság megállapíthatja a jogsértés tényét, de sérelmi díjat nem határozhat meg.

A GDPR számokban. A teljes képméretért kattintsatok a képre vagy ide.

Hogyan lehetne az adattudatosságot növelni?

– Tényleg alacsony az adattudatosság, ezt látjuk mi is az ügyfeleinknél, például az alapján, hogy az alkalmazottaik hogyan használják a munkahelyi eszközöket, az internetet, személyes adatokat tartalmazó dokumentumokat egyszerűen csak összegyűrve dobnak el. Kérdés az is, mennyire vigyáznak azokra az iratokra, amelyeket hazavisznek, hogyan működik a mindennapokban az iratkezelés. Vannak hiányosságok, nyilván ennek kulturális háttere van, a 90-es évek előtt volt egy olyan rendszer, amelyben a személyes adatok védelme egyáltalán nem élvezett prioritást, az utóbbi 30 évben sem kapott túl nagy fókuszt, most is csak az EU adatvédelmi rendeletének, a GDPR-nak köszönhetően figyelünk rá jobban.

A másik dolog pedig az, hogy akár az általános iskolákban, középiskolákban, de az egyetemeken is kevés szó esik adatvédelemről, még olyan tantárgy sincs, amibe ez be lenne építve. Sőt a jogi képzés során is alig esik szó a személyes adatok védelméről, ha szó is esik, akkor inkább a személyiségi jogok részeként. Nincs tehát egy ilyenfajta nevelés. Már az is jó lenne, ha vendégelőadók félévente egyszer tartanának előadást az adatvédelem fontosságáról. Hisz gondoljunk bele, sokáig milyen elfogadott volt, hogy mindenki tudja mennyit keres a kollégája, noha ez egy személyes adat és csak akkor kéne nyilvános legyen, ha az illető beleegyezik ebbe. Szükség van tehát arra, hogy mi magunk alakítsuk ki a tudatosságot, hisz a személyes adatok rólunk árulnak el információkat, akár érzékeny dolgokat is, és életünket meghatározó döntéseket is befolyásolhatnak. Például egy előnytelen Facebook kép az áhított állásba is kerülhet, még ha szakmai szempontból meg is felelnénk. Egyre nagyobb tétje van annak, hogy kinek adjuk meg az adatainkat és milyen típusú adatokat osztunk meg. Ezért kezdeményeztük, hogy 2017-től díjmentes workshopokat tartsunk, majd KKV-ra szabott GDPR tréningsorozatot indítsunk Kolozsváron a Kreatív Kolozsvárral, illetve Székelyudvarhelyen a Harghita Business Center-rel, idén pedig Adatvédelmi Minikonferenciát is szerveztünk. Szívügyünknek tartjuk az adatvédelmi tudatosság minél szélesebb körben való növelését, ezért számos rendezvényen – mint a Kolozsvári Magyar Napok, az RMKT Közgazdász Vándorgyűlés, a Digitális Székelyföld Konferencia vagy az Országos Adatvédelmi Konferencia – jelen voltunk és beszéltünk a GDPR megfelelés kihívásairól és adatvédelmi jó gyakorlatokról.

Az adatkezelők szempontjából érdemes sürgetni a GDPR megfelelést, már csak azért is, mert 2021-tól életbe léphet az e-Privacy rendelet, ami az elektronikus kommunikáció során kezelt adatokra vonatkozna, és itt már nemcsak személyes adatokról beszélünk, hanem metaadatokról is például. Ez pedig a hírlevelek küldését is szabályozná. Azok, akik már nagyon sok munkát belefektetve, megfeleltek a GDPR rendeletnek, piaci előnyhöz jutottak, hisz az ügyfelek vagy partnerek is értékelik, ha a személyes adataikat korrektül kezelik, tárolják vagy épp törlik, ha kell. Közvetlen üzleti előnyt jelent, hisz egyre több vállalat követeli beszállítóitól a GDPR megfelelést. Ugyanakkor, egy megfelelő vállalati adatvédelmi kultúra lecsökkenti az adatvédelmi incidensek bekövetkeztének kockázatát.

Hasznos adatvédelmi tanácsok:

1. Frissítsük gyakran a telefon operációs rendszerét, vagy ha vannak automatikus frissítések, hagyjuk ezeket lefutni.
2. Csak biztonságos felületekről töltsünk le applikációkat, például Google Play vagy App Store.
3. Olvassuk el az adatkezelési tájékoztatót letöltés előtt.
4. Miután letöltöttük az applikációt, nézzük meg mihez kér engedélyeket. Ha egy képszerkesztőt töltöttünk le, annak nem kell megadni a hozzáférést a kontakt-listánkhoz, vagy a helymeghatározási adatokhoz.
5. Ha túl sok adatot kér az app, inkább válasszunk egy másikat. Ha olyan adatokat kér, amelyek nem lennének szükségesek, akkor valószínűleg értékesítik vagy felhasználják olyan célokra, amelyeket mi nem biztos, hogy engedélyeznénk.
6. Vannak jól működő, ingyenes vírusölő programok, használjuk ezeket. Ha véletlenül kártékony program kerülne telefonunkra, vagy fertőzött file-okat fogadunk, akkor egy jó vírusölő tud segíteni, hogy az egész eszköz ne fertőződjön meg.