skip to Main Content

Dánia: 50.000 koronás bírság egy HR cégnek

A dán adatvédelmi hatóság feljelentése nyomán 50.000 dán koronás (~6.700 EUR) bírság vár a JobTeam nevű toborzó cégre, mert megsértette a GDPR 5. cikkében szereplő alapelveket, amelyek értelmében a személyes adatok kezelésének jogszerűnek, tisztességesnek és átláthatónak kell lennie.

Az ügy akkor robbant ki, amikor az adatkezelő törölte egy érintett személyes adatait, miután az a 15. cikk szerint hozzáférést kért a róla kezelt adatokhoz, ezáltal az érintettnek nem volt lehetősége megbizonyosodni arról, hogy személyes adatait a cég jogszerűen kezeli-e. A törlés oka valószínűsíthetően az volt, hogy az adatkezelő nem tudta volna jogszerűen teljesíteni a hozzáférési kérelmet.

Ahogy korábban is írtunk már róla, a dán szabályozás némiképp eltér az EU területén leggyakrabban alkalmazott gyakorlattól, ugyanis a dán adatvédelmi hatóság maga nem szabhat ki bírságokat. Miután bejelentést kapnak egy esetről, továbbítják azt a rendőrséghez, akik a feljelentést nyomán vizsgálatot folytatnak le. Amennyiben a nyomozás megállapítja, hogy jogsértés történt, a bíróság dolga kiszabni a bírságot.

A dán adatvédelmi hatóság véleménye szerint az alapvető irányelvek ilyen mértékű megsértése miatt legalább 50.000 korona összegű bírsággal kell számolni, mivel a bírságnak hatásosnak, elrettentőnek, és arányosnak kell lennie.

Ez nem az első alkalom volt, hogy Dániában a GDPR rendelkezéseinek megszegéséért bírságot szabtak ki, korábban például az IDdesign A/S és a Taxa 4X35 cégeket büntették 200.850 euró és 160.000 euró összegre rúgó bírsággal. A JobTeamre kiszabott bírság összege ezektől jelentősen elmarad.

Meglepő részlete az ügynek, hogy a hatóság csupán az átláthatóság elvének megszegését hozta fel a cég ellen, hiszen a kikért adatok törlésével az adatkezelő megsértette a GDPR 15. cikkelyét, a személyes adatokhoz való hozzáférés jogát. A helyes gyakorlat szerint a kért adatokat az adatkezelőnek haladéktalanulm de legfeljebb 30 napon belül ki kellett volna adnia, és azok semmiképpen sem kerülhettek volna törlésre.

A dán hatóság vezetője, Astrid Mavrogenis szerint „a szabályok ilyen mértékű megszegése korlátozza az állampolgár alapvető jogait, és nem minősül helyes adatkezelésnek”. Az Európai Adatvédelmi Testület 2020. május 15-én közleményt adott ki, melyben megerősítették a bírság kiszabását, és annak mértékét.

Magyarországon is volt már hasonló eset (NAIH/2018/5559), aminek bírság lett vége, melyben az érintett egy kamerafelvételhez szeretett volna hozzáférni, amelyet az adatkezelővel szemben kívánt felhasználni. Annak ellenére, hogy a felvételek zárolását is kérte au érintett, az adatkezelő úgy mérlegelt, hogy az az érdeke, hogy a felvétel törlésre kerüljön, ezért ahelyett, hogy teljesítette volna a kérelmeket, törölte a felvételeket. Az egyértelműen rosszindulatú visszaélést a NAIH akkor 1.000.000 Ft bírsággal díjazta.

A dán hatóság egyébként az utóbbi időben aktívnak mondható, nemrég írtunk mi is arról, mikor két önkormányzatot bírságoltak a GDPR 32. cikkében foglaltak megsértéséért, mely egy-egy adatvédelmi incidensben nyilvánult meg.

Back To Top