skip to Main Content

Adatvédelmi bírság testkamerák és customer shaming miatt

A Román Adatvédelmi Hatóság (ANSPDCP) 2020 decemberében három újabb ügyben hozott döntést. Mint korábban, a Hatóság most is elsősorban a megfelelő szervezeti intézkedések meglétét ellenőrizte, valamint két, kamerával kapcsolatos adatvédelmi ügyben foglalt állást.

Rendőrségi testkamerák jogszerűtlen adatkezelése

A Hatóság 2020. december 22-én figyelmeztetésben részesítette Kolozsvár önkormányzatát a GDPR 5. cikk (1) bekezdés a) pontjának, valamint a 6. cikk (1) bekezdésének megsértéséért. Az ANSPDCP megállapításai szerint az önkormányzat helyi rendőrsége munkája során testkamerákat használt, melyekkel hang- és képfelvételeket készített a foganatosított intézkedésekről, mely nem volt összehangban a GDPR rendelkezéseivel.

A Hatóság szerint a felvételek készítésére a rendőrségnek nem volt megfelelő jogalapja, ezért nem tett eleget a 6. cikk (1) bekezdés elvárásainak. Továbbá, mivel az adatkezelés nem jogszerűen és átláthatóan történt, kimondta a GDPR 5. cikk (1) bekezdés a) pont megsértését is, és utasította az önkormányzatot, hogy adatkezelést hozza összhangba a Rendelet rendelkezéseivel.

Ugyanezen a napon egy hasonló ügyben döntött a Hatóság a bukaresti 4. kerületi rendőrséggel kapcsolatban. Az ANSPDCP figyelmeztette a rendőrséget a járőrök által használt BADGE nevű hang- és képrögzítő rendszer adatkezelésével kapcsolatban.

Az adatkezelésnek ebben az esetben sem volt megfelelő jogalapja, úgyhogy a Hatóság szintén kimondta a GDPR 5. és 6. cikkének megsértését. Kiemelte, hogy a jogalapnak valamelyik EU-s vagy helyi jogszabályon kell alapulnia, mely jelen helyzetben nem valósult meg. Az adatkezelésnek átláthatónak kell lennie az érintettek számára, annak céljáról, időtartamáról az érintettet tájékoztatni szükséges, mely nem történt meg megfelelően az adatkezelés során.

Az ANSPDCP ebben az esetben sem szabott ki bírságot, azonban utasította a rendőrséget, hogy sürgősen korrigálja tevékenységét vagy megfelelő jogalap biztosításával, vagy a kamerás megfigyelés megszüntetésével.

Bírság a Banca Transilvanianak a 32. cikk megsértéséért

A Hatóság 100.000 eurónak (36,1M Ft) megfelelő összegre bírságolta a Banca Transilvaniát a GDPR 5. cikk (1) bekezdés f) pontja, tehát az integritás és bizalmasság elve és a 32. cikk megsértése miatt.

A vizsgálat során, mely egy bejelentés nyomán indult, a Hatóság megállapította a Rendelet többszörös megsértését. A bank egy ügyfele e-mailben küldött nyilatkozatban jelezte pénzfelvételi szándékát, illetve azt, hogy mire szándékozik költeni az összeget, egy banki alkalmazott felé. Ez az e-mail később továbbküldésre került a bank több alkalmazottja között, melynek egyike arról fényképet készített, amit közzétett a WhatsApp és Facebook közösségi oldalakon.

Az e-mail tartalmazta az ügyfél eredeti nyilatkozatát, személyes adatait, valamint az érintett munkatársak személyes adatait és megjegyzéseit. A fentiekre való tekintettel az ANSPDCP megállapította a GDPR 5. cikk (1) bekezdés f) pontjának megsértését, mely adatkezeléskor megköveteli a megfelelő szervezeti és biztonsági intézkedések meglétét annak érdekében, hogy az adatok kizárólag az arra jogosultak ismerhessék meg.

Ezzel kapcsolatban a Hatóság megállapította, hogy a Banca Transilvania a 32. cikk követelményeinek sem tett eleget. Ezzel kapcsolatban kiemelte a munkavállalók képzésének fontosságát, mellyel véleménye szerint az incidens által okozott kár mérsékelhető vagy elkerülhető lett volna. A bírság összegének kiszabásakor a Hatóság figyelembe vette a személyes adatok online közzétételét, illetve, hogy ez a tény jelentős társadalmi és gazdasági hátránnyal járt az érintettek számára.

Back To Top