290M forint bírság a hozzáférési jog gyakorlásának korlátozása miatt
A Holland Adatvédelmi Hatóság (DDPA) döntésében 830.000 EUR bírság megfizetésére kötelezte a Holland Hitelregisztrációs Irodát (BKR), mivel az megnehezítette a hozzáférési jog gyakorlását, illetve fizetéshez kötötte annak teljesítését. Hollandiában a BKR felelős az ország hitelinformációs rendszerének fenntartásáért. Ezt a rendszert számos cég, pénzintézet, önkormányzat és szolgáltató használja nap mint nap, hogy megvizsgálják, ügyfeleik hitelképesek-e egy adott szolgáltatás igénybevételére.
A Hatóság a vizsgálatot bejelentések alapján indította, melyek azt nehezményezték, hogy a BKR szükségtelen akadályokat állít eléjük, amikor a GDPR 15. cikke szerinti hozzáférési jogukkal kívánnak élni. A BKR 2018 óta díjat (4,95 EUR) számított fel, ha valaki online igényelt betekintést személyes adataiba. A kérést postai úton is lehetett igényelni, ebben az esetben évi egy adatkérés díjmentes volt, és ezt a BKR 28 napon belül teljesítette.
Amennyiben egynél több alkalommal akartak az érintettek adataikhoz hozzáférni, itt is meg kellett fizetni az évi minimum 4,95 EUR összeget (többet, ha más típusú előfizetést választottak). A BKR emellett a postai úton történő adatigényléshez mellékletként kért egy írásos kérelmet, és az adatigénylő útlevelének másolatát.
A GDPR 12. cikke rendelkezik az érintettek jogainak gyakorlásáról, melynek (5) bekezdése az alábbi kötelezettséget telepíti az adatkezelőre:
A 13. és 14. cikk szerinti információkat és a 15–22. és 34. cikk szerinti tájékoztatást és intézkedést díjmentesen kell biztosítani. Ha az érintett kérelme egyértelműen megalapozatlan vagy – különösen ismétlődő jellege miatt – túlzó, az adatkezelő, figyelemmel a kért információ vagy tájékoztatás nyújtásával vagy a kért intézkedés meghozatalával járó adminisztratív költségekre észszerű összegű díjat számíthat fel.
A DDPA álláspontja szerint a BKR gyakorlata, miszerint díj ellenében engedi az adatokhoz történő hozzáférési jog gyakorlását, nincs összhangban a fentiekkel. Véleményük szerint a digitális hozzáférésnek ésszerű határokon belül ingyenesnek kell lennie. Kifejtette továbbá, hogy azt a tényt, miszerint egy kérelem túlzó vagy ismétlődő, a BKR-nek eseti alapon kell vizsgálnia, annak beadásakor.
A BKR azóta megváltoztatta a kritizált ügymenetet, digitális úton az érintettek ingyenesen kérelmezhetik adataik megtekintését, és a postai úton történő tájékoztatás menete is megváltozott. Ennek ellenére a DDPA bírságot szabott ki arra a 9 hónapos intervallumra vonatkozóan, amíg a korábbi helytelen gyakorlat fennállt. Részletezve: 385.000 EUR a GDPR 12. cikk (5) bekezdés, illetve további 650.000 EUR a 12. cikk (2) bekezdés megsértése miatt.
A Hatóság végül 20 százalékkal csökkentette a teljes bírság mértékét. Döntésében kiemelte, hogy a vonatkozó időszak hosszúsága miatt nagy volt az ügyben résztvevő érintettek száma, illetve pénzügyi adatokkal kapcsolatos incidensről volt szó. A BKR fellebbezett a döntés ellen.
A holland Hatóságról legutóbb akkor írtunk, amikor a népszerű közösségi platform, a TikTok ellen kezdett vizsgálódni. Arról az ügyről itt olvashat részletesebben.
