A csaknem egy éve hatályba lépett európai uniós adatvédelmi csomag a korábbinál nagyobb kötelezettségeket ró az adatkezelőkre, akik erre nem mindig vannak felkészülve – mondta Péterfalvi Attila, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnöke a szervezet elmúlt évi tevékenységét bemutató szerdai sajtótájékoztatóján, Budapesten.

Mint mondta, az uniós szabályozás ugyan szűkíti a nemzeti mozgásteret, de közben alapelvi szintre emeli az adatkezelők elszámoltathatóságát. Nem csak tisztességesen, átlátható módon és törvényesen kell az adatkezelést folytatniuk, de képesnek kell lenniük ezt igazolni is – hívta fel a figyelmet.

Kifejtette: az új rendszerben felértékelődik az adatbiztonság szerepe, az uniós előírások szerint egy súlyos adatvédelmi incidensnél akár hárommilliárd forint is lehet a bírság.

Péterfalvi Attila felidézte: a tavaly május 25-én életbe lépett adatvédelmi rendelet célja, hogy a digitalizáció és globalizáció kapcsán felmerülő kihívásokkal szemben erős, kikényszeríthető és egységes védelmet biztosítson az érintetteknek, még akkor is, ha az adatkezelés nem az EU területén történik, de az uniós polgárokat érinti.

A NAIH elnöke elmondta, a jogszabályi környezet biztosítja az adatvédelmi hatóságnak a GDPR alkalmazásához szükséges szabályokat, azonban több jogszabályt – így például a direktmarketingre vonatkozót – a jogalkotó még nem tette kompatibilissé a GDPR-ral.

A NAIH elnöke a hatóság elmúlt évi munkájáról szólva elmondta, a GDPR május 25-i hatálybalépésétől az év végéig 244 incidens-bejelentés érkezett a hatósághoz. A bejelentések legjelentősebb részét téves címzés miatti félrepostázások, illetve téves címzett részére küldött elektronikus leveket adták, de sok volt a több címzettnek küldött e-mail is, ahol a címzettek nem “titkos másolatban” voltak felsorolva, így megismerhették egymás e-mail címeit.

Előfordultak hackertámadás következtében kiszivárgó adatok is, például a Demokratikus Koalíciónál, ahol hatezer ember különleges adata, “pártszimpátiája” került ki – mondta Péterfalvi Attila, kiemelve: a DK-nál az érintettek széles köre, az érintett adat különlegessége, illetve az indokolta a 11 millió forintos bírságot, hogy az adatkezelő az előírással szemben nem jelezte az incidenst.

Közlése szerint a hivatal internetes oldalán (www.naih.hu) adatvédelmiincidens-bejelentőt működtet.

Péterfalvi Attila jelezte: a hatóság részt vesz a kis- és középvállalkozások adatkezelésének támogatására indított uniós projektben.

A NAIH elnöke a hivatal elmúlt évi ügyeiből kiemelte, hogy 12-12 millió forint adatvédelmi bírságot szabtak ki a Magyarországi Szcientológia Egyházra és annak nyíregyházi missziójára, jogellenes adatkezelés miatt. Felidézte: a Magyarországi Szcientológia Egyházat és annak központi szervezetét 2017-ben 20-20 millió forintra bírságolták, amit a bíróság a közelmúltban jogosnak is ítélt. Most a nyíregyházi szervezetet és az egyházat bírságolták meg, amiért jogellenesen gyűjtötték a hívek személyes adatait.

A NAIH vizsgálta az egészségügyi dokumentációk másolatának kérdését is, mert egyes helyeken 50-100 ezer forintot kértek azokért. Péterfalvi Attila kiemelte: a GDPR szerint az első másolatot költségtérítés nélkül kell biztosítani.

A hatóság – beadványok nyomán – felkérte az alapvető jogok biztosát, vizsgálja meg: megfelelő-e a különélő, szülői felügyeletet nem gyakorló szülők tájékoztatásának jogszabályi háttere és gyakorlata, úgy találták ugyanis, hogy a különböző jogszabályok nem egyértelműek abban, a szülői felügyeletet nem gyakorló szülőt megilleti-e a tájékoztatás joga gyermekének adataival kapcsolatban.

Péterfalvi Attila elmondta: tavaly az információszabadsággal kapcsolatos ügyek jelentős részét tették ki a költségtérítés jogalapját, vagy annak összegszerűségét vitató panaszok (39 ilyen érkezett a NAIH-hoz). Az elnök megerősítette: a hivatal álláspontja az, hogy a közfeladatot ellátó szervek a közérdekű adatigénylések teljesítésekor nem szolgáltatást nyújtanak, hanem az Alaptörvényben meghatározott alapvető jogból eredő kötelezettségeiket teljesítik.