Mikor és mennyi bírság jár a GDPR-alapján?

2018. március 20. kedd - 06:06 / piacesprofit.hu
  •    

A GDPR szerint a felügyeleti hatóságok különböző szankciókat alkalmazhatnak a jogszabály rendelkezéseinek meg nem felelőkkel szemben és bírságot is kiszabhatnak rájuk. Dr. Kovács Zoltán Balázs segítségével megmutatjuk mikor és mennyi bírságot szabhatnak ki ránk.

A 29. cikk alapján létrehozott Adatvédelmi Munkacsoport (WP29) 2017. október 3-án iránymutatást adott ki a bírság alkalmazásáról (WP253), amely a felügyeleti hatóságok számára ad iránymutatást a bírság kiszabásával kapcsolatban. Ennek alapján, Dr Kovács Zoltán Balázs segítségével megválaszoljuk a legfontosabb felmerülő kérdéseket.

Köteles a felügyeleti hatóság bírságot kiszabni?

A jogszabály nem tartalmaz ilyen kötelezettséget. A GDPR előírja, hogy amennyiben egy felügyeleti hatóság jogsértést állapít meg, akkor köteles megfelelő szankció(ka)t alkalmazni. A felügyeleti hatóságnak egyenként kell azonosítania és értékelnie a jogsértéseket és a leginkább megfelelő korrekciós intézkedést (szankciót) kell alkalmaznia, amely a jogsértés körülményeinek függvényében jelentheti a közigazgatási bírság kiszabását is. A felügyeleti hatóságok kötelesek biztosítani azt, hogy a kiszabott közigazgatási bírságok hatékonyak, arányosak és visszatartó erejűek legyenek.

Kép: Pixabay

Kép: Pixabay

Melyek azok a tényezőt, amelyeket a felügyeleti hatóságnak a bírság kiszabásakor tekintetbe kell vennie?

A GDPR tételesen felsorolja azokat a tényezőket, amelyeket a felügyeleti hatóságnak értékelnie kell. Ezen szempontok a következők:

  • a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;
  • a jogsértés szándékos vagy gondatlan jellege;
  • az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;
  • az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa foganatosított technikai és szervezési intézkedéseket;
  • az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések;
  • a felügyeleti hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;
  • a jogsértés által érintett személyes adatok kategóriái (pl. az adatok különleges kategóriáit érinti-e, közvetlenül azonosítható-e az érintett);
  • az, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette-e be a jogsértést, és ha igen, milyen részletességgel;
  • ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban – ugyanabban a tárgyban – elrendeltek bizonyos hatósági intézkedéseket, a szóban forgó intézkedéseknek való megfelelés;
  • az, hogy az adatkezelő vagy az adatfeldolgozó tartotta-e magát a jóváhagyott magatartási kódexekhez vagy a jóváhagyott tanúsítási mechanizmusokhoz; valamint
  • az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.

A felügyeleti hatóság, miután a konkrét jogsértés tekintetében kiértékelte a fenti szempontokat, megállapítja a jogsértés súlyosságának mértékét és alkalmazza az általa leginkább megfelelőnek tartott szankciókat.

GDPR a finisben – Felkészültünk? Mindenre figyeltünk?
Tekintsük át gyorsan, szakértőink segítségével, figyeltünk-e mindenre! Készen állunk-e 2018. május 25-én, a GDPR (General Data Protection Regulation), azaz az EU általános adatvédelmi rendeletnek megfelelésre. Gyors leltár, s a hiány azonnali pótlása. Erre van már csak időnk.
Időpont: 2018. április 19. ,
Helyszín: Budapest, Sugár Üzletközpont Rendezvénykomplexum, 1148 Örs vezér tere 24. (Mozi bejárat 2. emelet)

Mekkora lehet a bírság összege?

A GDPR két fő jogsértési csoportot nevesít, és ezekhez rendel egy bírság maximumot.

Az első csoportba például azok a jogsértések tartoznak, amikor egy adminisztratív kötelezettséget nem teljesítenek (pl. nem neveztek ki adatvédelmi tisztviselőt, nem készítettek adatvédelmi hatásvizsgálatot vagy nem kötöttek írásban adatfeldolgozási szerződést). Ebben az esetben az adatkezelő / adatfeldolgozó legfeljebb 10 millió Euro összegű közigazgatási bírsággal, illetve vállalkozás esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%-át kitevő összeggel sújtható.

A másik csoportba azok a jogsértések tartoznak, amikor például az adatkezelésnek nincs megfelelő jogalapja, alapelveket sértettek meg, vagy az érintettek jogait nem biztosítják. Ebben az esetben az adatkezelő / adatfeldolgozó legfeljebb 20 millió Euro összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összeggel sújtható.

Fontos megjegyezni, hogy a „vállalkozások” kifejezés egy gazdasági egységet jelent, amelybe beletartozhat az adott vállalkozás anyavállalata és a többi, a csoportba tartozó társaság is.

Jön a GDPR: az ügyvédeknek is fel kell készülniük
A tavaly életbe lépett ügyvédi törvény számos változása előnyös lehetőségeket kínál például a papíralapú dokumentumok digitalizálására, azonban mindez új kötelezettségekkel is jár például az iratkezelés és az IT biztonság területén is.

A WP29 az iránymutatásában azt is hangsúlyozza, hogy amennyiben olyan jogsértés történik, amely a fenti első csoportba tartozik, akkor ettől még elképzelhető, hogy a második csoportba tartozó jogsértés is történt, amely esetben a magasabb maximum bírság összeg az irányadó.

Milyen egyéb szankciókat (korrekciós intézkedéseket) alkalmazhat a felügyeleti hatóság?

A GDPR tartalmaz egy felsorolást erre vonatkozóan. A felügyeleti hatóság többek között a következő intézkedéseket alkalmazhatja:

  • figyelmezteti az adatkezelőt vagy az adatfeldolgozót, hogy egyes tervezett adatkezelési tevékenységei valószínűsíthetően sértik a GDPR rendelkezéseit;
  • elmarasztalja az adatkezelőt vagy az adatfeldolgozót, ha adatkezelési tevékenysége megsértette a GDPR-t;
  • utasítja az adatkezelőt vagy az adatfeldolgozót, hogy teljesítse az érintett kérelmét;
  • utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit hozza összhangba a GDPR rendelkezéseivel;
  • utasítja az adatkezelőt, hogy tájékoztassa az érintettet az adatvédelmi incidensről;
  • átmenetileg vagy véglegesen korlátozza az adatkezelést, ideértve az adatkezelés megtiltását is;
  • elrendeli a harmadik országbeli címzett szervezet felé irányuló adatáramlás felfüggesztését.

A WP29 arra ösztönzi a felügyeleti hatóságokat, hogy a korrekciós hatáskörük gyakorlásakor egy megfelelően kiegyensúlyozott megközelítést alkalmazzanak. A bírságra nem úgy kell tekinteni, mint csak a legvégső esetben alkalmazandó szankcióra, azonban azt túl gyakran sem szabad használni.

Banánhéjak az aknamezőn – családi vállalkozások is nagy összegre büntethetők
Bizonyára sokan hallottak már az Európai Unió adatvédelmi rendeletéről és arról, hogy 2018. május 25-étől alkalmazandóak az új szabályok, amelyek nemteljesítése esetén komoly, akár 20 millió Euró vagy azt meghaladó összegű bírsággal számolhatnak az adatkezelést végzők. Az azonban a közvélemény számára egyáltalán nem ismert, hogy a szabályozás a családi vállalkozásoktól és egyéni vállalkozóktól kezdve a nemzetközi nagyvállalatokig mindenkire kiterjed.

Több szankciót is alkalmazhatnak a felügyeleti hatóságok egyszerre?

Igen. A felügyeleti hatóság joga eldönteni azt, hogy mely szankciókat kívánja alkalmazni. A GDPR alapján a felügyeleti hatóság olyan szankciókat köteles alkalmazni, amelyek megfelelő válaszul szolgálnak a jogsértésre.

A felügyeleti hatóságok egységesen fogják alkalmazni a szankciókat az Európai Unión belül?

Ez a GDPR egyik célja. Határokon átnyúló adatkezelések esetében ezt a felügyeleti hatóságok közötti együttműködés, valamint az (Európai Adatvédelmi Testületen keresztül megvalósuló) egységességi mechanizmus révén lehet elérni.

Tagállami ügyek esetében a felügyeleti hatóságoknak a GDPR egységes alkalmazásának biztosítása érdekében kell az iránymutatást alkalmaznia. Az iránymutatás egyértelműen kimondja, hogy „el kell kerülni azt, hogy a felügyeleti hatóságok hasonló ügyekben különböző korrekciós intézkedéseket alkalmazzanak.”

Ugyanakkor a WP29 kimondja, hogy “a közigazgatási bírságok Európai Unión belüli egységes alkalmazásának gyakorlata alakulóban van.” Az egységes alkalmazást a felügyeleti hatóságok folyamatos együttműködés és információ csere (például munkaértekezletek) révén érhetik el. A WP29 ajánlása szerint szükséges lenne létrehozni egy alcsoportot az Európai Adatvédelmi Testületen belül, amely ezt a folyamatos tevékenységet támogatja.

A GDPR-ban meg nem határozott szankciók is alkalmazhatók?

A GDPR felhatalmazza a tagállamokat arra, hogy a rendelet megsértése esetére további szankciókat alkalmazzanak, különösen azon jogsértések tekintetében, amelyek nem sújthatók közigazgatási bírsággal. Így, érdemes tájékozódni a vonatkozó tagállami jogról abból a célból, hogy egyéb szankciók is alkalmazhatóak-e.

Szerző:

Kovács Zoltán Balázs (LL.M.),

Partner, Szecskay Ügyvédi Iroda, az eugdpr.blog.hu szerzője.

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

GDPR: amit tudnod kell az adathordozhatóságról
A GDPR bevezeti az adathordozhatóság fogalmát és előírásokat tartalmaz arra vonatkozóan, hogy az érintettek mikor gyakorolhatják ezt a jogot. Ez azonban új fogalom a felhasználók és az adatkezelők számára is: szakértő segítségével próbálunk válaszolni a legfontosabb felmerülő kérdésekre.

 

Jogi kisokos
Kedves Olvasónk!
Ha érdekli ez a téma, és szeretne heti hírlevelet kapni a témában, vagy értesítést a megjelent új cikkekről, kérjük, adja meg nevét és e-mail címét!

Segítünk kiszámolni

EKÁER kalkulátor

kalkulátor

Céges bankszámla

kalkulátor

Pályázatkereső

kalkulátor