GDPR: a bírságok átalakulása

Azok számára, akik először hallanak a GDPR-ről talán a legfélelmetesebb téma a BÍRSÁGOLÁS

 

A jelenleg hatályos Info. törvény is rendelkezik a bírság kiszabásának lehetőségéről, amely százezertől húszmillió forintig terjedhet. (Ez emelkedett a közelmúltban, 2015 októbere előtt a maximálisan kiszabható bírság összege tízmillió forint volt.)

A Nemzeti Adatvédelmi és Információszabadság Hatósága (a továbbiakban: NAIH) gyakorlata alapján milliós nagyságú bírságolásra az elmúlt években egyre többször került sor. (ezek többnyire követeléskezelésekkel, termékbemutatókkal, tartozáskezeléssel foglalkozó cégeket érintettek)

A NAIH a bírság kiszabásánál az eset összes körülményeit, az érintettek körének nagyságát, jogsértés súlyát, és a jogsértés ismétlődő jellegét – veszi figyelembe. A gyakorlat mutatja azt a körülményt is, hogy a bírság kiszabásánál a NAIH figyelembe veszi annak prevenciós jellegét is, más adatkezelőnek a szabálytalanságoktól való elrettentését.

És akkor térjünk át a legégetőbb kérdésre: Mi várható 2018. május 25. után?

A hatóság által figyelembe vett körülmények (a NAIH gyakorlata eddig is ebbe az irányba mutatott) alapjaikban nem változnak, a rendelet inkább részletezi ezeket.

A GDPR szerint a bírság kiszabása során mindenképpen figyelemmel kell lenni a következőkre:

  • a jogsértés jellege, súlya, időtartama (pl. folyamatos adatkezelés vagy csak egyszeri)
  • az adatkezelés jellege, köre, célja (pl. különleges vagy érzékeny adatokat érint-e, a cél reális-e, szükség van-e a célhoz az adatok adott körének a kezelésére, stb.)
  • az érintettek száma,
  • az elszenvedett kár mértéke,
  • korábban elkövetett releváns jogsértések és,
  • bekerül a szándékosság- gondatlanság mércéje

A rendelet a szabálysértéseket alapvetően két csoportra osztja: vannak „kisebb súlyúak” és „nagyobb súlyúak”. A bírság kiszabásánál a rendelet konkrétan meghatározza, hogy mi számít kisebb, illetve nagyobb súlyú szabálysértésnek.

Kisebb súlyú szabálysértés (legfeljebb 10 millió eurós bírásg) Súlyosabb szabálysértés (legfeljebb 20 millió eurós bírság)
·         adatkezelési tevékenységek nyilvántartásával, ·         adatkezelés biztonságával, ·         adatkezelési incidens bejelentésével, ·         adatvédelmi hatásvizsgálattal és ·         adatvédeli tisztviselővel   ·         alapelvek megsértését, ·         az érintettek jogainak tiszteletbe nem tartását, ·         a felügyeleti hatóság korrekciós utasításának figyelmen kívül hagyását, a harmadik országbeli adattovábbítás szabályainak megsértését  

 

Például ha valaki jogalap nélkül végez adatkezelést (adatfeldolgozást), súlyosabb szankciókkal számolhat.

Fontos ugyanakkor, hogy a rendelet megengedi a vállalkozások esetében, a bírság mértékének további emelését, ugyanis az előző  pénzügyi év teljes világpiaci forgalmának 2% illetve 4% -át KELL (igen, a „kettő közül a magasabbat kell kiszabni”) kiszabni bírságként, ha ez nagyobb a 10-20 millió eurós összegnél.

A jogalkotó enyhítő körülményként értékeli azt, hogy a szabálysértő milyen szinten működik közre a hatósággal (bejelentette-e a szabálysértést, ha igen milyen mértékben, mennyire működik együtt a negatív hatások enyhítésében).

A bírságok tehát jelentősen emelkedni fognak 2018. május 25-étől. A GDPR meglehetősen nagy mérlegelést enged a hatóságnak (NAIH). A hatóság bírságot kiszabó határozatával szemben helye van ugyanakkor bírósági felülvizsgálatnak, tehát számíthatunk arra, hogy a bírósági felülvizsgálatok száma megemelkedik majd a jövő évtől.

Vélemény, hozzászólás?

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.