A személyes adatok védelme a digitális kor egyik sarokköve, hiszen a bizalom és a biztonság alapja. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2024. évi beszámolója bemutatja, hogyan óvja a hatóság az érintettek jogait, szigorúan fellépve a jogsértésekkel szemben. Összesen 335,383 millió forint bírságot szabtak ki, ami az adatvédelem fontosságát hangsúlyozza. Ez a cikk a beszámoló legjelentősebb, bírsággal zárult ügyeit elemzi részletesen, tanulságokkal és gyakorlati javaslatokkal vállalkozások, közintézmények és magánszemélyek számára.
1. Mesterséges intelligencia (AI) és adatvédelem: Bankszektori témavizsgálat [NAIH-13860/2024]
Tényállás
A NAIH célzott vizsgálatot végzett a magyar bankszektorban az AI-alapú adatkezelések kapcsán, fókuszálva az ügyféladatok kezelésére és a döntéshozatali algoritmusok átláthatóságára. A vizsgálatot az EU Mesterséges Intelligencia Rendelete (2024/1689) és az Európai Adatvédelmi Testület (EDPB) AI-val kapcsolatos munkája ösztönözte.
NAIH megállapításai
– Több bank AI-rendszere nem biztosította az adatkezelés átláthatóságát, különösen az automatizált döntéshozatal (GDPR 22. cikk) terén.
– Az érintettek nem kaptak megfelelő tájékoztatást az AI-algoritmusok működéséről és a döntések logikájáról.
– A NAIH hangsúlyozta az adatminimalizálás és arányosság elvének fontosságát érzékeny adatok, például pénzügyi adatok kezelése során.
– NAIH bírság: A konkrét ügyben a bírság összege nem részletezett, de a bankszektori vizsgálatok során több tízmillió forintos bírságokat szabtak ki az átláthatóság és tájékoztatási kötelezettség megsértése miatt.
Tanulságok és javaslatok
– Az AI-t alkalmazó szervezeteknek világosan kommunikálniuk kell az algoritmusok működését, és biztosítaniuk kell az emberi felülvizsgálat lehetőségét.
– Magas kockázatú AI-rendszerekhez adatvédelmi hatásvizsgálat (DPIA) szükséges.
– Az átláthatóság hiánya bírságot vonhat maga után, ezért szakértői támogatás igénybevétele ajánlott.
2. Adatvédelmi incidens: Hozzáférésvédelem hiánya
Tényállás
Egy adatkezelő rendszere adatvédelmi incidens áldozata lett, mert nem alkalmazott korszerű hozzáférésvédelmet, például kétfaktoros azonosítást. Érzékeny ügyféladatok kerültek illetéktelen kezekbe, komoly kockázatot jelentve. A NAIH az adatbiztonsági intézkedések megfelelőségét vizsgálta.
NAIH megállapításai
– Az adatkezelő megsértette a GDPR 32. cikkét, mert nem biztosított megfelelő technikai és szervezési intézkedéseket.
– A kétfaktoros azonosítás hiánya növelte az incidens kockázatát, ami elkerülhető lett volna.
– A NAIH kiemelte a rendszerek rendszeres felülvizsgálatának és sérülékenységi vizsgálatok szükségességét.
– NAIH bírság: Az adatkezelőt 20 millió forint bírság megfizetésére kötelezték az adatbiztonsági hiányosságok és a magas kockázatú adatvédelmi incidens miatt.
Tanulságok és javaslatok
– Korszerű biztonsági megoldásokat, például kétfaktoros azonosítást kell alkalmazni.
– Rendszeres sérülékenységi vizsgálatok és naplózás szükséges az incidensek visszakövethetőségéhez.
– Incidenskezelési protokoll kidolgozása ajánlott a gyors reagáláshoz.
3. Munkahelyi kamerás megfigyelések: Jogellenes adatkezelés
Tényállás
Egy munkáltató térfigyelő kamerákat üzemeltetett, de nem tájékoztatta a munkavállalókat, és a kamerák olyan területeket is rögzítettek, ahol ez nem volt indokolt, például öltözőket. A NAIH panasz alapján vizsgálta a megfigyelések jogszerűségét.
NAIH megállapításai
– A munkáltató megsértette a GDPR átláthatóság és jogszerűség elveit (5. cikk), mert nem tájékoztatta a munkavállalókat.
– A kamerák elhelyezkedése nem volt arányos, mert a magánszférát sértő területeket is rögzítettek.
– A munkahelyi kamerás megfigyelés csak jogos érdeken alapulhat (GDPR 6. cikk (1) bekezdés f) pont), szigorú feltételekkel.
– NAIH bírság: A munkáltatót 15 millió forint bírság megfizetésére kötelezték a tájékoztatási kötelezettség elmulasztása és az aránytalan adatkezelés miatt.
Tanulságok és javaslatok
– A munkavállalókat tájékoztatni kell a kamerák használatáról, pontosan megjelölve azok helyét és célját.
– A magánszférát sértő területek megfigyelése kerülendő.
– Adatvédelmi hatásvizsgálat elvégzése ajánlott a kamerarendszerek bevezetése előtt.
4. Egészségügyi adatkezelések: Hozzáférési jog megsértése
Tényállás
Egy magánegészségügyi szolgáltató nem biztosított hozzáférést egy beteg számára az egészségügyi dokumentációjához, arra hivatkozva, hogy az adatok csak az EESZT-ben érhetők el. A beteg nem tudta használni az EESZT-t, és más megoldást nem kapott. A NAIH a hozzáférési jog (GDPR 15. cikk) megsértését vizsgálta.
NAIH megállapításai
– A szolgáltató megsértette a GDPR 15. cikkét, mert nem biztosította az adatokhoz való hozzáférést, és nem nyújtott megfelelő tájékoztatást (GDPR 13-14. cikk).
– Az EESZT-re hivatkozás nem mentesíti a közvetlen hozzáférés kötelezettsége alól.
– A szolgáltató adatkezelési tájékoztatója hiányos volt.
– NAIH bírság: A szolgáltatót 10 millió forint bírság megfizetésére kötelezték a hozzáférési jog megsértése és a tájékoztatási kötelezettség elmulasztása miatt.
Tanulságok és javaslatok
– Átlátható adatkezelési tájékoztatót kell készíteni az érintetti jogokról és az adatokhoz való hozzáférés módjáról.
– Közvetlen hozzáférést kell biztosítani, különösen azok számára, akik nem tudják használni az EESZT-t.
– Rendszeres képzések tartása ajánlott a személyzetnek a jogsértések elkerülésére.
5. Központi Információs Közadat-nyilvántartás adatszolgáltatásának elmulasztása
Tényállás
Egy költségvetési szerv nem teljesítette a Központi Információs Közadat-nyilvántartás adatszolgáltatási kötelezettségét, amely a közpénzek átláthatóságát szolgálja. A NAIH az Infotv. 30. § (2a) bekezdése alapján eljárást indított.
NAIH megállapításai
– A szerv megsértette az Infotv. átláthatósági követelményeit, mert nem tette közzé a gazdálkodási adatokat.
– A közpénzek átláthatósága alapvető társadalmi érdek, a közzétételi kötelezettség elmulasztása súlyos jogsértés.
– A szerv nem igazolta, hogy a közzététel elmaradása jogos indokon alapult.
– NAIH bírság: A NAIH 50 millió forint bírságot szabott ki, a maximálisan kiszabható összeget az átláthatósági jogsértés miatt.
Tanulságok és javaslatok
– A közfeladatot ellátó szerveknek proaktívan kell közzétenniük a gazdálkodási adatokat.
– Felelős személy kijelölése és belső szabályzat készítése szükséges az adatszolgáltatási folyamatok kezelésére.
– Szakértői támogatás igénybevétele segíthet a megfelelőség biztosításában.
6. Személyes adatok jogellenes kezelése fogvatartott iratainak ellenőrzésével
Tényállás
Egy büntetés-végrehajtási intézetben a fogvatartott iratainak ellenőrzése során a személyzet jogellenesen továbbított személyes adatokat harmadik félnek, jogalap nélkül. A NAIH az Infotv. hatálya alá tartozó adatkezelést vizsgálta.
NAIH megállapításai
– Az intézet megsértette az Infotv. és a GDPR 5. cikkében foglalt jogszerűség és célhoz kötöttség elveit, mert az adatok továbbítása nem volt szükséges.
– Nem volt megfelelő belső szabályzat, és a személyzet nem kapott adatvédelmi képzést.
– Az érintett nem kapott tájékoztatást, ami az átláthatóság elvének megsértését jelentette.
– NAIH bírság: Az intézetet 8 millió forint bírság megfizetésére kötelezték a jogellenes adatkezelés és a tájékoztatási kötelezettség elmulasztása miatt.
Tanulságok és javaslatok
– Érzékeny adatok kezeléséhez szigorú szabályzat szükséges.
– A személyzet adatvédelmi képzése kulcsfontosságú.
– Az adatok továbbítása csak törvényi felhatalmazással történhet.
7. Leplezett hangfelvételek jogszerűsége: Köznevelési intézmény esete
Tényállás
Egy köznevelési intézményben egy szülő titokban hangfelvételt készített egy fogadóórán, amelyet bizonyítékként kívánt felhasználni. A NAIH a felvétel GDPR-megfelelőségét vizsgálta.
NAIH megállapításai
– A hang személyes adat, a felvétel készítése adatkezelés (GDPR 4. cikk).
– A „háztartási adatkezelés” kivétel nem alkalmazható, mert a felvételt bizonyítékként használták fel.
– A felvétel készítése nem felelt meg az átláthatóság és jogszerűség elvének (GDPR 5. cikk).
– NAIH bírság: Ebben az ügyben nem szabtak ki bírságot, de hasonló esetekben, ahol a felvételt jogellenesen hozták nyilvánosságra, 5-10 millió forint bírságot alkalmaztak.
Tanulságok és javaslatok
– A leplezett hangfelvételek készítése kockázatos, csak megfelelő jogalappal jogszerű.
– Az iskoláknak szabályzatot kell készíteniük az ilyen helyzetek kezelésére.
– Jogi tanácsadás igénybevétele segíthet a bírságok elkerülésében.
Összegzés és javaslat
A NAIH 2024. évi beszámolója világosan mutatja, hogy az adatvédelem megsértése súlyos következményekkel jár, amint a 335,383 millió forintos összbírság és az ügyekben kiszabott 8-50 millió forintos összegek jelzik. Az AI-alapú adatkezelések, adatbiztonsági incidensek, munkahelyi kamerás megfigyelések, egészségügyi adatkezelések, közadat-nyilvántartási kötelezettségek megszegése és fogvatartottak adatainak jogellenes kezelése mind azt mutatják, hogy a jogszabályi megfelelőség elengedhetetlen. A NAIH szigorú fellépése arra figyelmeztet, hogy a szervezeteknek proaktívan kell kezelniük adatvédelmi kötelezettségeiket.
Javaslat: A NAIH bírságainak elkerülése érdekében érdemes szakértői segítséget igénybe venni. Adatvédelemre specializálódott ügyvédi iroda széleskörű tapasztalattal rendelkezik a GDPR és Infotv. megfelelőség biztosításában, incidensek kezelésében és hatásvizsgálatok készítésében. Érdeklődés esetén az iroda elérhetőségein lehet kapcsolatba lépni, hogy az adatkezelési gyakorlatok biztonságosak és jogszerűek legyenek.
Dr. Miklós Péter, adatvédelmi ügyvéd
Amennyiben adatvédelem területén segítségére van szüksége, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu
