1,5M forint kártérítés hozzáférési kérelem késedelmes teljesítéséért

július 15, 2020
GDPR bírság

Március 5-én a Düsseldorfi Munkaügyi Bíróság (DLC) döntést hozott egy ügyben, melyben bírságot szabott ki az adatkezelőre a munkavállalója által benyújtott hozzáférési kérelem késedelmes és hiányos teljesítéséért. A bíróság álláspontja szerint a munkáltató megszegte a GDPR 15. cikkében biztosított érintetti jogot, és ezért 5.000 euró kártérítést ítélt meg a felperesnek.

Az ex-alkalmazott egyébként eredetileg közel 144.000 euró kártérítést követelt a cégtől, ami a korábbi 12 havi bruttó keresetének felelt meg. A kártérítésre azért tartott igényt, mert korábbi cége – véleménye szerint – nem megfelelően hozta tudomására kezelt adatait.

Az ügy érdekessége, hogy döntésében a DLC egy sor praktikus, GDPR-ral kapcsolatos kérdésre válaszolt, az alábbiakat ezeket vesszük sorra:

– Amennyiben az érintett jelzi az adatkezelőnek, hogy élni kíván hozzáférési jogával, akkor függetlenül attól, hogy kérését az adatkezelő szervezetén belül kihez intézte, a GDPR 12. cikk (3) bekezdése szerinti határidő elindul. Ez a gyakorlatban azt jelenti, hogy a cégeknek nem csak egy forrásból kell az adatszolgáltatási kötelezettségnek eleget tennie, hanem az összes csatornára figyelmet kell fordítania (még akkor is, ha az érintett kérelmét egy recepciósnak nyújtja be, aki egyébként jogilag egy harmadik cég alkalmazottja).
– Az adatszolgáltatás szempontjából az a fontos, hogy a hozzáférés kérelmezésének időpontjában milyen, az érintettel kapcsolatos adat kezelése van folyamatban. Ha a hozzáférés kérése után is kezelik még az adatait, akkor erről is egyértelmű tájékoztatást kell nyújtani. Amennyiben a hozzáféréskor kért adatok bizonyos körét korábban kezelte, de már nem kezeli az adatkezelő (pl. törlésre korábban került), azokra vonatkozóan természetesen már nem kell tájékoztatást adni.
– Ha a cég a kezelt adatokat egy harmadik fél részére továbbítja, aki szintén önálló adatkezelőként jár el, abban az esetben nem kell konkrét részleteket közölnie a harmadik fél adatkezelésének céljairól, mivel ebben az esetben ez a harmadik fél, mint különálló adatkezelő kötelessége.
– A döntés értelmében az adatkezelőnek tájékoztatást kell nyújtania az adatkezelési célokról (GDPR 15. cikk (1) bekezdés a) pont), ezt mégpedig adatkezelésenként kell megtennie, nem elégséges ugyanis minden adatkezelésnél arra hivatkoznia, hogy az a munkaviszony fenntartásához szükséges. A DLC szerint ez a gyakorlat ellentmond az átláthatóság elvének, ezért az adatkezelőnek minden megvalósult adatkezeléskor konkrét célokat kell rendelnie a kezelt adatok köréhez.
– Nem szükséges az adatkezelőnek tájékoztatást nyújtania arról, hogy a cégen belül milyen szervezetek vagy személyek vettek részt az adatok kezelésében.
– Az adott ügyben a felperes kérte, hogy minden rá vonatkozó adatról az adatkezelő másolatot küldjön neki, például a rá vonatkozó e-mail üzenetekről. A bíróság döntése szerint ez a kérés aránytalan terhet róna az adatkezelőre, ezért a felperes ilyen irányú kérését elutasította.

A DLC végül 5.000 euró kártérítést ítélt meg a felperesnek, ebből kétszer 500 eurót a késedelmes teljesítés első két hónapjára, illetve további háromszor 1.000 eurót a fennmaradó három hónapra, végül kétszer 500 eurót a szolgáltatott adatok eseti hiányosságai miatt.

A bíróság döntését azzal indokolta, hogy jelen esetben az adatkezelő mulasztása „csupán” hanyagságból fakadt, nem szándékos jogsértésről van szó, nagyobb mértékű jogsértés esetén természetesen a kiszabott bírság is nagyobb lenne. Németország vonatkozásában legutóbb a törlési jog kapcsán írtunk.

Újabb adatvédelmi bírságok Spanyolországból

A norvég adatvédelmi hatóság őszi bírságai

2,5M bírság szabálytalan direkt marketing miatt