NAIH eljárás megindítása

A NAIH eljárásai a GDPR-ban biztosított jogok érvényesítésére: vizsgálati és adatvédelmi hatósági eljárás. Mikor melyiket célszerű indítani?

Írta:Dr. Maticsek Anna

Amikor felmerül annak a lehetősége, hogy egy adatkezelő nem megfelelően kezeli a személyes adatokat, vagy megsértették valakinek a személyes adatok védelméhez fűződő jogát, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH, Hatóság) eljárását kezdeményezheti.

Már itt megjegyzem, hogy az érintettek adatvédelmi incidenst NEM jogosultak bejelenteni a Hatóságnál!

Amennyiben valaki úgy gondolja, hogy a GDPR által biztosított jogait megsértették, ennek feltárására és orvoslására kizárólag vizsgálatot, vagy adatvédelmi eljárást indíthat a Hatóságnál.

Fontos továbbá tudni, hogy a két eljárás nem ugyanaz – más a céljuk, más módon indulnak, és más következményekkel járnak. Ebben a cikkben áttekintem a két eljárás közötti lényeges különbségeket.

A Hatóság vizsgálata

A vizsgálat egy informálisabb eljárás, amelyben a NAIH az érintett (tehát akinek a személyes adatait kezelik) kérelmére azt vizsgálja, történt-e adatvédelmi jogsértés, illetve annak veszélye fennáll-e, és ha igen, az adatkezelőt a Hatóság csupán felszólíthatja annak orvoslására vagy megszüntetésére.

Ez az eljárás nem eredményezheti szankció alkalmazását; inkább tényfeltáró jellegű, ún. Ombudsmani-típusú eljárás. Ebből kifolyólag, ha a bejelentő kéri, kilétét a Hatóság akkor sem fedheti fel, ha ennek hiányában a vizsgálat nem folytatható le, illetve az iratbetekintési jog az eljárás résztvevői számára nem biztosított. Fontos kiemelni, hogy a vizsgálati eljárásra a GDPR eljárási szabályai nem vonatkoznak!

Vonatkozó jogi rendelkezések

Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) 51/A. §-58. §.

Ki kezdeményezheti az eljárást és mikor?

Bármely, adatkezeléssel érintett személy, aki úgy gondolja, hogy a személyes adatai kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll. Fontos, hogy az eljárást csak azonosítható személy kezdeményezheti, névtelen bejelentéseket a Hatóság nem vizsgál, valamint a bejelentést bizonyítékokra szükséges alapozni. Az azonosított bejelentés feltételeit és módját a cikk 4. pontjában mutatom be.

Az eljárás célja

Annak feltárása, hogy történt-e jogsértés, vagy annak közvetlen veszélye fennáll-e és ha igen, ennek megszüntetése egy informálisabb, gyorsabb úton.

Mi szükséges az eljárás lefolytatásához?

A bejelentésnek alaposnak szükséges lennie, ami azt jelenti, hogy valószínűsíteni szükséges a bejelentéshez csatolt bizonyítékokkal (pl. e-mail váltás, képernyőképek, fényképek a kamerák látószögéről) a jogsérelem bekövetkezését, illetve annak közvetlen veszélyének fennálltát.

A vizsgálati eljárás eredményeként a Hatóság:

  • Érdemi vizsgálat nélkül elutasítja a bejelentést (pl. amennyiben a jogsérelem csekély jelentőségű, vagy a bejelentés névtelen, alaptalan, vagy az ügyben bírósági eljárás van folyamatban), vagy
  • Megállapítja a személyes adatok kezelésével kapcsolatos jogsérelem vagy annak közvetlen veszélye fennállását és felszólítja az adatkezelőt a jogsérelem orvoslására/megszüntetésére, vagy
  • Megállapítja, hogy jogsérelem nem következett be, illetve annak közvetlen veszélye nem áll fenn, és a vizsgálatot lezárja
  • Amennyiben súlyos jogsértést állapít meg, hivatalból adatvédelmi hatósági eljárást indíthat (ennek részletei a cikk 2. pontjában).

Az eljárás költségei

Nincs a bejelentő oldaláról költségtérítési kötelezettség, azt a Hatóság előlegezi és viseli, tehát a vizsgálati eljárás ingyenes.

Az eljárás határideje

a bejelentés érkezését követő naptól számított két hónap, amelybe nem számít bele a tényállás tisztázásához szükséges adatok közlésére irányuló felhívástól az annak teljesítéséig terjedő idő, a vizsgálattal összefüggő irat fordításához szükséges idő, valamint a Hatóság működését legalább egy teljes napra akadályozó körülmény, ellehetetlenítő üzemzavar vagy más elháríthatatlan esemény időtartama.

Adatvédelmi hatósági eljárás

A hatósági eljárás már egy formális közigazgatási hatósági eljárás, amely során a NAIH a GDPR-ban meghatározott jogkövetkezményeket, így akár bírságot is alkalmazhat a jogsértő adatkezelővel szemben. Az eljárást a Hatóság nem csak kérelem alapján indíthatja ezt a típusú eljárást, hanem hivatalból is eljárhat,akár egy korábbi, vizsgálati típusú eljárásban megállapított jogsérelem folyományaként, e cikkben azonban csak a kérelemre indult eljárás részleteit fejtem ki.

Fontos különbség a vizsgálati eljárással szemben, hogy az eljárás háttérjogszabályai a GDPR, illetve az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény (Ákr.), így ezen eljárásokban például az iratbetekintési jog is gyakorolható, illetve az eljárás felfüggeszthető.

Vonatkozó jogi rendelkezések

  • Infotv. 60. §-61/D. §, 65. §-68. §, 70. §-71. §
  • Az általános közigazgatási rendtartásról szóló 2016. évi CL. törvény (Ákr.)
  • GDPR

Ki kezdeményezheti az eljárást és mikor?

Az adatkezeléssel érintett személy, ha megítélése szerint a rá vonatkozó személyes adatok kezelése megsérti a GDPR rendelkezéseit. Az eljárás megindítása tekintetében (a jogsértés megtörténtétől kezdődő) ügyindítási határidő jelenleg nincs.

Az eljárás célja

A jogsértés tényének megállapítása, illetve annak megszüntetése, jogorvoslat biztosítása, az adatkezelővel szemben szankciók alkalmazása.

Mi szükséges az eljárás lefolytatásához?

Az eljárást kezdeményező személynek az Infotv. rendelkezéseinek megfelelően szükséges eljárás indítása iránti kérelmét benyújtania a Hatósághoz, így a beadványnak tartalmaznia kell:

  • a feltételezett jogsértés megjelölését,
  • a feltételezett jogsértést megvalósító konkrét magatartás vagy állapot leírását,
  • a feltételezett jogsértést megvalósító adatkezelő, illetve adatfeldolgozó azonosításához szükséges, a kérelmező rendelkezésére álló adatokat,
  • a feltételezett jogsértéssel kapcsolatos állításokat alátámasztó tényeket és azok bizonyítékait, továbbá
  • a megjelölt jogsértés orvoslása iránti döntésre vonatkozó határozott kérelmet.

Az adatvédelmi hatósági eljárás eredményeként a Hatóság:

  • Bírságot szabhat ki,
  • A jogellenes adatkezelés megszüntetésére szólíthatja fel az adatkezelőt, és/ vagy az adatfeldolgozót,
  • Adattörlést, vagy az adatkezelés korlátozását rendelheti el,
  • Figyelmeztetésben részesítheti az adatkezelőt, és/ vagy az adatfeldolgozót.

Itt visszautalok arra, hogy a kérelmezőnek a jogsértés orvoslását beadványában kifejezetten kérelmeznie kell a Hatóságnál.

Az eljárás költségei

Adatvédelmi hatósági eljárásban sincs a bejelentő oldaláról költségtérítési kötelezettség, azt a Hatóság előlegezi és viseli, tehát ingyenes.

Az eljárás határideje

Az adatvédelmi hatósági eljárásban az ügyintézési határidő százötven nap, amely határidőbe nem számít bele a tényállás tisztázásához szükséges adatok közlésére irányuló felhívástól az annak teljesítéséig terjedő idő.

Összehasonlító táblázat

Vizsgálat

Adatvédelmi hatósági eljárás

Jogszabályi alap

Infotv. 51/A. §-58. §

Infotv. 60. §-61/D. §, 65. §-68. §, 70. §-71. §, Ákr., GDPR

Ki indíthatja?

Adatkezeléssel érintett személy, aki úgy gondolja, hogy a személyes adatai kezelésével kapcsolatban jogsérelem következett be, vagy annak közvetlen veszélye fennáll.

NAIH hivatalból vagy az érintett kérelmére

Mikor indítható?

Ha a személyes adatok kezelésével kapcsolatos jogsérelem következett be, vagy annak közvetlen veszélye fennáll, amely bizonyítható

Az eljárás megindítására nincs határidő

Ha a GDPR rendelkezései megsértésének gyanúja vagy bizonyított ténye fennáll

Az eljárás megindítására nincs határidő

Cél

Tényfeltárás, jogsértő, vagy veszélyeztető helyzet megszüntetése

Jogérvényesítés, szankciók alkalmazása

Szankciók kiszabhatók?

Nem

Igen

Eredménye

Felszólítás a jogellenes / veszélyeztető adatkezelés megszüntetésére

Határozat, kötelezés, bírság stb.

Ügyintézési határidő

2 hónap

150 nap

Jogorvoslat

Nincs jogorvoslat

Bíróságon támadható határozat

A kérelem benyújtása a Hatósághoz

Ahhoz, hogy a NAIH valóban kivizsgálja az adatvédelmi panaszunkat, nem elég egy e-mail vagy névtelen bejelentés – bizonyos formai és tartalmi követelményeknek meg kell felelni.

A Hatósághoz megfelelően a következő módokon lehet bejelentést tenni:

1. Elektronikus úton: e-Papír szolgáltatáson keresztül (Vizsgálati eljárás indítása: https://epapir.gov.hu/level/uj?ugytipus=1752&cimzett=NAIH, adatvédelmi hatósági eljárás indítása: https://epapir.gov.hu/level/uj?ugytipus=1751&cimzett=NAIH)

2. Postai úton, teljes bizonyító erejű magánokiratban, amely tartalmazza az alábbi személyes adatokat:

  • családi és utónév,
  • születési név,
  • anyja születési neve,
  • születési hely (kerület feltüntetésével),
  • születési idő.

Postacím: 1363 Budapest, Pf. 9.

3. Személyesen, előzetes időpontfoglalás nélkül, a NAIH ügyfélfogadási idejében. A személyazonosság igazolása és – ha a beadvány nem tartalmazza – a személyazonosító adatok rögzítése szükséges.

Tipp: Személyes ügyfélfogadásra időpontot is lehet kérni, részletek: https://naih.hu/ugyfelszolgalat-kapcsolat

Összefoglalás

A NAIH kétféle eljárásban vizsgálhatja az adatvédelmi jogok megsértését:

  • A vizsgálat inkább egy feltáró, „puha” eljárás.
  • Az adatvédelmi hatósági eljárás pedig formális, és komoly következményekkel járhat – bírsággal is.

Adatvédelmi hatósági eljárás indítása abban az esetben javasolt, ha súlyosabb jogsértés történt.

Kapcsolódó bejegyzések

| |

Kép- és hangfelvételek felhasználása bizonyítékként bírósági és egyéb eljárásokban

Írta:Dr. Maticsek Anna

Mikor jogszerű és mikor tilos hang- vagy képfelvételt készíteni másokról és azt bizonyítékként felhasználni eljárásokban? A cikk bemutatja a GDPR, a Ptk. és a bírósági gyakorlat legfontosabb szabályait.