Az elmúlt hónapban egy német (berlini) és az osztrák adatvédelmi hatóság is több millió eurós bírságot szabott adatkezelőkre. Mivel az adatkezelők nem értenek egyet a hatalmas bírságokkal, bírósághoz fordulnak jogorvoslatért. A Szász-Anhalti Adatvédelmi Megbízott magánszemélyre szabott ki bírságot e-mailek címek jogellenes kezelése miatt.
Bírság ingatlanügynökség részére
A Berlini Adatvédelmi Megbízott 2019. október 30-án 14,5 millió eurós bírságot szabott ki egy német ingatlan ügynökség (Deutsche Wohnen SE) részére a GDPR rendelkezéseinek megsértése miatt.
A helyszíni vizsgálatok során 2017 júniusa és 2019 márciusa között a hatóság megállapította, hogy a vállalat a bérlők személyes adatainak tárolására egy olyan archiváló rendszert alkalmazott, amelyben nem gondoskodtak arról a lehetőségről, hogy a már nem szükséges adatokat el lehessen távolítani. A bérlők személyes adatait anélkül kezelték, hogy megvizsgálták volna, hogy a tárolás megengedett vagy egyáltalán szükséges-e. A vizsgált esetekben az érintett bérlőkről évekre visszamenőleg tároltak személyes adatokat, anélkül, hogy azok gyűjtésük eredeti célját szolgálták volna. Ilyenek voltak a bérlők személyes és pénzügyi adatai, mint például a jövedelemigazolás, munka- és képzési szerződés kivonatok, adózási és betegbiztosítási adatok, számlakivonatok.
A vállalat másfél évvel az első vizsgálat után sem az adatállomány megtisztítását nem végezte el, sem megfelelő jogalapot nem szolgáltatott a folytatólagos adattárolásra. Bár szabálytalanságok megszüntetésére előkészületeket tett a vállalat, ezek az intézkedések nem vezettek a személyes adatok jogszerű kezeléséhez. A bírságot a hatóság a GDPR 25. cikke, a beépített és alapértelmezett adatvédelem, és az 5. cikk, a személyes adatok kezelésére vonatkozó alapelvek megsértéséért szabta ki. A hatóság kimondta azt is, hogy a kiszabott bírságnak a GDPR-nak megfelelően nemcsak szükségesnek és arányosnak kell lennie, hanem visszatartó erővel is kell, hogy rendelkezzen. A hatóság a bírság kiszabása során figyelembe vette a társaság előző évi árbevételét, amely meghaladta az 1 milliárd eurót, így a kiszabható bírság maximuma 28 millió euró körül volt.
A hatóság minden enyhítő és súlyosbító körülményt figyelembe vett a bírság kiszabása során. Súlyosbító körülményként értékelte, hogy a társaság a kifogásolt archiválási struktúrát tudatosan, hosszú időn át nem megfelelő módon működtette. Enyhítő tényezőként értékelte a hatóság, hogy a jogellenes állapot helyreállítására az első lépéseket megtette a társaság, és a hatósággal együttműködött. Tekintettel arra, hogy az adatokhoz jogosulatlan hozzáférés nem történt, a bírság mértéke a fent említett kiszabható bírság középmértékéhez igazodik.
Emellett a hatóság a vállalat ellen további 6.000 és 17.000 euró között bírságot szabott ki 15 egyedi esetben a személyes adatok jogellenes kezelése miatt.
A döntés nem jogerős.
A Deutsche Wohnen SE közleményt adott ki, amelyben egyet nem értését fejezi ki a határozattal szemben, és jogorvoslatért bírósághoz fordul.
Bírság az Osztrák Posta részére
Azt Osztrák Adatvédelmi Hatóság 2019 októberében 18 millió eurós bírságot szabott ki az Osztrák Postára, mert azt több millió állampolgár személyes adatát jogellenesen kezelte. Az ügy háttere az Osztrák Posta év elején ismertté vált gyakorlata, amely évek óta tartott. A posta az érintettekről olyan adatokat adott tovább, hogy például szeretnek-e futni, milyen idősek, a családi állapotukat, milyen gyakran kapnak csomagot. 2,2 millió osztrák esetében a vélelmezett politikai szimpátiájukkal kapcsolatos adatokat is értékesítettek. A posta szerint ezek nem tényleges, közvetlen adatok, hanem más adatokból (pl.: nem, kor, bevétel, regionális vásárlóerő, stb.) vezették le őket. A szúrópróbaszerű vizsgálatnál kiderült, hogy a posta kevesebb, mint az esetek felében határozta meg jól az érintettek a politikai szimpátiáját. A posta marketingcélokból értékesítette az adatokat. A hatóság vizsgálatot folytatott le, és az adatkezelés abbahagyására és az adatok nagy részének törlésére kötelezte a postát.
Az adatvédelmi hatóság szóbeli meghallgatás után megállapította, hogy a posta megsértette a GDPR-t azzal, hogy politikai véleménnyel kapcsolatos adatot kezelt. A csomagok érkezésének gyakoriságával és a költözés gyakoriságával kapcsolatos adatok kezelése szintén jogellenes.
A döntés nem jogerős. Az Osztrák Posta a határozat ellen jogorvoslattal él.
(Forrás: //www.heise.de)
Bírság magánszemély részére
A Szász-Anhalti Adatvédelmi Megbízott magánszemély ellen szabott ki 2500 euró bírságot. A megbírságolt személy 2018 júliusa és szeptembere között több olyan e-mailt küldött a címzettek személyes e-mail címére, amelyből a címzettek többi címzettet azonosítani tudták, így 131-153 személyes e-mail cím vált megismerhetővé a hatóság szerint. Az e-mailek panaszokat, becsmérléseket, feljelentéseket tartalmaztak a gazdaság, a sajtó és a politika különböző szereplői ellen. A bírságot a hatóság azonban nem az e-mailek tartalma miatt szabta ki a hatóság, hanem mert harmadik személyek jogait érintette az ügy.
A bírságot már másnap kifizette az e-maileket küldő személy, azonban később ismét megszegte az adatvédelmi rendelkezéseket, így ismét bírságot szabott ki rá a hatóság.
(Forrás: //www.mz-web.de)
A cikk megírásához a Wolters Kluwer Új online Jogtára nyújtott segítséget.
Adatvédelmi tanácsadás szolgáltatásról és az adatvédelmi auditálásról e szövegre kattintva olvashat.
Ha hasznosnak találta írásomat, iratkozzon fel hírlevelemre, hogy első kézből értesüljön az adatvédelem és a közérdekű adatok nyilvánossága témakörével kapcsolatos információkról.
[mailerlite_form form_id=1]