Az Európai Unió Bírósága egy német banki jogsértés kapcsán foglalt állást a szükségszerű szankciók és bírságok alkalmazása tekintetében. Cikkünk röviden összefoglalja az eset gyakorlati tanulságait.

Az eset részletei

A tényállás szerint egy német takarékbankban egy alkalmazott többször jogosulatlanul hozzáfért egy ügyfél személyes adataihoz. A takarékbank nem értesítette erről az ügyfelet, mert adatvédelmi tisztviselőjük úgy ítélte meg, hogy az eset nem hordozott magas kockázatot. Az alkalmazott írásban megerősítette, hogy nem másolta le, nem tartotta meg és nem adta át harmadik félnek az adatokat, valamint ígéretet tett arra, hogy a jövőben sem tesz ilyet. A takarékbank ezen felül fegyelmi intézkedéseket hozott az alkalmazottal szemben, és értesítette a Hessen tartomány adatvédelmi biztosát is.

Az ügyfél, miután tudomást szerzett az adatvédelmi incidensről, panaszt tett az adatvédelmi biztosnál. Az adatvédelmi biztos meghallgatta a takarékbankot, majd az ügyfelet értesítette, hogy nem tartja szükségesnek korrekciós intézkedések alkalmazását a bankkal szemben. Az ügyfél ezt követően bírósághoz fordult, és kérte, hogy kötelezzék az adatvédelmi biztost, hogy tegyen lépéseket a bank ellen, különösen szabjanak ki bírságot.

A német bíróság az Európai Unió Bíróságához fordult, hogy értelmezést kérjen a GDPR alkalmazásával kapcsolatban.

Az Európai Unió Bírósága kimondta, hogy személyes adat megsértésének megállapítása esetén az adatvédelmi hatóság akkor nem köteles minden esetben szankciót alkalmazni és bírságot kiszabni, amennyiben a jogsértést nem szükséges ezzel orvosolni, és a GDPR megfelelő végrehajtása biztosított. Ez akkor áll fenn, ha az adatkezelő a jogsértés észlelésekor saját kezdeményezésére megtette a szükséges intézkedéseket annak érdekében, hogy a jogsértést megszüntesse, és az a jövőben ne ismétlődhessen meg.

A GDPR ugyanis biztosítja az adatvédelmi hatóság számára azt a mérlegelési jogkört, hogy milyen módon orvosolja az adott helyzetet. Ezt a mérlegelési jogkört azonban a következetes és magas szintű adatvédelmi gyakorlat biztosításának szükségessége korlátozza.

A döntés jelentősége az adatvédelmi gyakorlatban

Ez az eset is ráerősít arra, hogy az adatkezelők megfelelő, körültekintő, önálló intézkedései fontos szerepet játszanak az adatvédelmi szabályok betartásában, és bizonyos esetekben elegendőek lehetnek ahhoz, hogy elkerüljék a hatósági szankciókat. Az ügyvédi irodánk segít ügyfeleinek abban, hogy hatékony adatvédelmi rendszereket alakítsanak ki, amelyek nem csak a jogszabályi megfelelést biztosítják, hanem lehetővé teszik a jogsértések gyors és megfelelő kezelését is, minimalizálva ezzel a bírságok és egyéb szankciók kockázatát. Az adatvédelem területén szerzett tapasztalatunk és szakértelmünk biztosítja, hogy ügyfeleink mindig a legmagasabb szintű adatvédelmi előírásoknak feleljenek meg, és a gyakorlatban is hatékonyan tudjanak reagálni a felmerülő adatvédelmi kihívásokra.