Miért büntet a hivatal?
Sokszor leírtam már, hogy az adatvédelem nem csak az adatvédelmi felelősöknek fontos. Ez bizony így van. Az is fontos azonban, hogy olyanokat, akik ezt nem hivatásszerűen gyakorolják, miként érhetnek el az adatvédelem követelményei. Tapasztalataim szerint a címbeli kérdésre adott válasszal tartható fent legkönnyebben az üzleti, funkcionális vezetők, felelősök, munkatársak figyelme a személyes adatok védelme iránt.
A címbeli kérdésre több válasz is adható. Érdemes ezekről néhány sort ejteni.
Mert joga van rá
2012. január 1-eje óta létezik a hazai adatvédelem csúcsszerve, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH). Az Info törvény bírságolási joggal ruházta fel a hivatal elnökét. A bírság 100 ezer és 10 millió forint között szabható ki. Néha hallani olyan cégeknél, melyek ingerküszöbe a jóval magasabb fogyasztóvédelmi, versenyfelügyeleti bírságokhoz igazodott, hogy ilyen összegű büntetést akár be is áraznak egy nehezen teljesíthető adatvédelmi követelménycsomag teljesítése helyett. Nos, a népi bölcsesség az alvó oroszlán bajuszának húzogatásával állítja párhuzamba ezt a gondolkodásmódot. A bírság ismételhető, sőt a NAIH a jogsértésről értesítheti az adatvédelmi szabályokat figyelmen kívül hagyó felügyeleti hatóságát is. Ott pedig már általában vastagabban fog a büntető csekket író (manapság már általában képletes) ceruza.
A büntetéshez való jog tartalmát hiba lenne egyetlen dimenzióval, a büntetés mértékével azonosítani. Legalább ilyen fontos az oda vezető út, tehát a hatóság eljárása is. Ehhez két szakaszt különített el a törvény.
Az első, a vizsgálati eljárás az ombudsmani időket idézően kötetlen. Nem kötik a közigazgatási eljárási törvény (Ket.) szigorú szabályai. Általában egy, vagy néhány panaszos beadványa kelti fel a NAIH érdeklődését az adott adatkezelés iránt. Fontos azonban, hogy szabadon válogathat, mazsolázhat a panaszok között, mert a panasz alapján nem köteles eljárást indítani. Ha a vizsgálati eljárás megindul, a NAIH általában megkeresi a bepanaszolt szervezetet. Ilyenkor a vizsgálati eljárás kötetlenségét nem célszerű félreértelmezni. Bármennyire is kötetlen, a bepanaszolt számára súlyos tétje van: Itt terjesztheti elő védekezését. Ha érvelése meggyőző, külső szemlélő számára is nyilvánvaló, hogy az adatkezelő végiggondolta, tisztességes-e az adatkezelés, akkor nincs mitől tartani. Tapasztalataim szerint a hivatal nyitott az ésszerű érvelésre, azaz nem kíván hatósági támogatást adni az adatvédelmi jogok élettől elrugaszkodott, merev, formális, az adatalanyok és adatkezelők méltányolható érdekeit semmibe vevő érvelésekhez.
Ha a vizsgálati eljárás nem zárul azzal, hogy a NAIH meggyőződött az adatvédelmi törvény szabályainak és szellemének megfelelő adatkezelői gyakorlatról, akkor indul az eljárás második, hatósági szakasza. Ennek külvilágban érzékelhető mozzanata a határozat interneten is közzétett kiadása és ebben a bírság kiszabása. Ez utóbbi nem kötelező, tehát született már bírság kiszabását mellőző határozat is, amely azonban felszólította az adatkezelőt az adatkezelés jogellenességének megszüntetésére, sőt nem egyszer magának az adatkezelésnek a megszüntetésére.
A határozat bíróság előtt megtámadható ugyan, de belátható, itt az adatkezelőnek még szilárdabb érvrendszerrel kell bizonyítania igazát.
Az eljárás részleteinél talán beszédesebb néhány példa. Érdemes egy pillantást vetni a NAIH közel két esztendős, határozatokból felvázolható gyakorlatára.
Határozatok – a jelen és a közelmúlt üzenete
A címbeli kérdésre adható válaszok másik érdemi formája maga a döntések áttekintése.
A legfrissebb határozatok közül az ingatlanközvetítő cégre kiszabott 700 000 forint büntetés azért érdemel figyelmet, mert három pontba foglaltan rendelkezik az adatalanyok megfelelő tájékoztatásáról, az adatkezelési hozzájárulás beszerzéséről és az adattörlések differenciált rendszeréről.
A társkeresők adatkezelésére különös figyelmet fordít idén a NAIH. A legutóbbi határozatok 100 000 és 200 000 forint között kiszabott birságokat tartalmaznak. Ez jóval alacsonyanbb összeg, mint az első hasonló ügyben kiszabott 3 000 000 forintos büntetés. A határozatok lényege, hogy a társkeresők szolgáltatásukat ne mossák össze reklámtevékenységükkel. Talán ennél is fontosabb, hogy ha nem zárták ki kiskorúak regisztrációját, akkor a szülőknek lehetőséget kell biztostani az adatkezelési hozzájárulás megadására. Fontos tanulság ez mindenki számára, aki a kiskorúak problematikájával eddig nem foglalkozott.
A TÁMOP pályázati anyagokhoz szükséges személyes adatok tekintetében tiltották meg a TAJ szám valamint okmánymásolatok kezelését. Az okmánymásolás kapcsán 100 000 Ft bírságot szabott ki a NAIH.
Az MSZP korábbi székházában tárolt dokumentumokkal kapcsolatos adatkezelés ügyében bírság kiszabására nem került sor, mert az értékesített székházban hátrahagyott mikrofilmek még a határozat meghozatala előtt megfelelő helyre kerültek. Az azonban fontos tanulság, hogy személyes adatok őrizetlenül hagyása, megsemmisítés nélküli kidobása az Info tv. adatbiztonsági rendelkezéseibe ütközik. A selejtezési szabályokat tehát jószerivel mindenütt ki kell egészíteni az adatok selejtezését szabályozó rendelkezésekkel.
600 000 és 200 000 Ft büntetést szabott ki a NAIH adatbázis marketing tevékenységet végző cégekre. A cégek közös márkanév alatt dolgoznak, ügyvezetőjük közös. Weblapon gyűjtött személyes adatokat áramoltattak egymás között úgy, hogy az a weblapon regisztrálók számára követhetetlen volt. A határozat nem csupán az ügyfelek, adatalanyok tájékoztatásának elvárt
tartalmát körvonalazza. Azt is üzeni, hogy az adatkezelői, adatfeldolgozói szerepköröknek világosan el kell válniuk egymástól.
A szemelvények számos fontos adatvédelmi kérdésben irányítják a gyakorlatot. Mitagadás, sokszor a gyakorlatba nehezen, sőt következetesen át sem ültethető követelményeket is megfogalmaz a NAIH. Ennek ellenére – vagy talán éppen ezért talán érdemes lesz visszatérni a címbeli kérdésre.
Dr. Dósa Imre
adatvédelmi szakértő