A közelmúltban a NAIH két esetben szabott ki olyan jellegű jogsértésért bírságot, amelyek kisebb odafigyeléssel és az adatvédelmi szabályok elvi szintű betartásával elkerülhetőek lettek volna.
Az első esetben egy a határozatban meg nem jelölt hitelintézet Babaváró kölcsönigénylések ügyintézése során lemásolta, majd elektronikusan és papír alapon is tárolta az egyes igénylőktől bekért várandósgondozási könyvekről, az örökbefogadási határozatokról, a vetélést vagy halva születést igazoló dokumentumokról készült papír alapú és elektronikus másolatokat. A hitelintézet a jogsértést a hatósági eljárás kezdetekor azonnal megszüntette, azonban ennek ellenére jelentős összegű adatvédelmi bírsággal sújtotta a hatóság.
A döntés indoka szerint – az adatelvet hangsúlyozva az iratelv ellenében – az iratokban szereplő adatok olyan szenzitív adatok, amelyeket végül a bank ténylegesen nem is használt fel, másrészről azok gyűjtése nem indokolt. Az adatkezelés eredményeképpen a hitelintézet számos helyen sértette meg a GDPR-t. Megsértette az adattakarékosság elvét, mert olyan adatokat is tárolt és kezelt, amelyek a cél eléréséhez nem voltak szükségesek. Megsértette a jogalaphoz kötött adatkezelés szabályait, továbbá tájékoztatásnyújtási kötelezettségét is elmulasztotta.
A GDPR számos szabályát könnyű megszegni, ha nem gondoljuk kellően végig, mely adatok azok, amelyek feltétlenül szükségesek az ügyfélkapcsolat létesítésekor. Akkor járunk el helyesen, ha csak ezeket a személyes adatokat tároljuk, kezeljük akár a többi adat eltakarásával, felismerhetetlenné tételével.
A másik ügyben a UPC Magyarország Zrt. még a beolvadása előtt folytatott tájékoztatási, adatkezelési gyakorlatával sértette meg az adatkezelési szabályokat, amelyet a hatóság szintén jelentős összegű bírsággal szankcionált. Az ügyben a UPC 24 üzletében azt a gyakorlatot követte, hogy egy rövid és hiányos tájékoztatást helyezett el a sorszámosztón arról, hogy a személyes ügyintézés során hangfelvétel történik, amelyet 5 évig tárolnak, de az ügyfél tiltakozása esetén a felvételt azonnal megszakítják és kérésre törlik. A hangrögzítés az ügyintéző előtt az ügyfél által is látható mikrofon segítségével történt, amely piros visszajelző fénnyel jelezte, hogy hangrögzítés zajlik.
A NAIH megállapította, hogy a UPC több ponton is megsértette a GDPR rendelkezéseit azzal, hogy nem volt megfelelő sem az adatkezelés jogalapja, sem az adatkezeléssel kapcsolatos tájékoztatás, valamint az adatkezelés megsértette a célhoz kötöttség és az adattakarékosság elvét is.
Mindkét bírság és az annak alapjául szolgáló hatósági eljárás is elkerülhető lett volna, ha a GDPR alapelveit a piaci szereplők betartják és megfelelő módon és tartalommal tájékoztatják ügyfeleiket az adatkezelésről, továbbá kizárólag olyan jellegű adatokat kezelnek, ami feltétlenül szükséges a tevékenységük végzéséhez.