Azok számára, akik először hallanak a GDPR-ről talán a legfélelmetesebb téma a BÍRSÁGOLÁS
A jelenleg hatályos Info. törvény is rendelkezik a bírság kiszabásának lehetőségéről, amely százezertől húszmillió forintig terjedhet. (Ez emelkedett a közelmúltban, 2015 októbere előtt a maximálisan kiszabható bírság összege tízmillió forint volt.)
A Nemzeti Adatvédelmi és Információszabadság Hatósága (a továbbiakban: NAIH) gyakorlata alapján milliós nagyságú bírságolásra az elmúlt években egyre többször került sor. (ezek többnyire követeléskezelésekkel, termékbemutatókkal, tartozáskezeléssel foglalkozó cégeket érintettek)
A NAIH a bírság kiszabásánál az eset összes körülményeit, az érintettek körének nagyságát, jogsértés súlyát, és a jogsértés ismétlődő jellegét – veszi figyelembe. A gyakorlat mutatja azt a körülményt is, hogy a bírság kiszabásánál a NAIH figyelembe veszi annak prevenciós jellegét is, más adatkezelőnek a szabálytalanságoktól való elrettentését.
És akkor térjünk át a legégetőbb kérdésre: Mi várható 2018. május 25. után?
A hatóság által figyelembe vett körülmények (a NAIH gyakorlata eddig is ebbe az irányba mutatott) alapjaikban nem változnak, a rendelet inkább részletezi ezeket.
A GDPR szerint a bírság kiszabása során mindenképpen figyelemmel kell lenni a következőkre:
- a jogsértés jellege, súlya, időtartama (pl. folyamatos adatkezelés vagy csak egyszeri)
- az adatkezelés jellege, köre, célja (pl. különleges vagy érzékeny adatokat érint-e, a cél reális-e, szükség van-e a célhoz az adatok adott körének a kezelésére, stb.)
- az érintettek száma,
- az elszenvedett kár mértéke,
- korábban elkövetett releváns jogsértések és,
- bekerül a szándékosság- gondatlanság mércéje
A rendelet a szabálysértéseket alapvetően két csoportra osztja: vannak „kisebb súlyúak” és „nagyobb súlyúak”. A bírság kiszabásánál a rendelet konkrétan meghatározza, hogy mi számít kisebb, illetve nagyobb súlyú szabálysértésnek.
Kisebb súlyú szabálysértés (legfeljebb 10 millió eurós bírásg) | Súlyosabb szabálysértés (legfeljebb 20 millió eurós bírság) |
· adatkezelési tevékenységek nyilvántartásával, · adatkezelés biztonságával, · adatkezelési incidens bejelentésével, · adatvédelmi hatásvizsgálattal és · adatvédeli tisztviselővel | · alapelvek megsértését, · az érintettek jogainak tiszteletbe nem tartását, · a felügyeleti hatóság korrekciós utasításának figyelmen kívül hagyását, a harmadik országbeli adattovábbítás szabályainak megsértését |
Például ha valaki jogalap nélkül végez adatkezelést (adatfeldolgozást), súlyosabb szankciókkal számolhat.
Fontos ugyanakkor, hogy a rendelet megengedi a vállalkozások esetében, a bírság mértékének további emelését, ugyanis az előző pénzügyi év teljes világpiaci forgalmának 2% illetve 4% -át KELL (igen, a „kettő közül a magasabbat kell kiszabni”) kiszabni bírságként, ha ez nagyobb a 10-20 millió eurós összegnél.
A jogalkotó enyhítő körülményként értékeli azt, hogy a szabálysértő milyen szinten működik közre a hatósággal (bejelentette-e a szabálysértést, ha igen milyen mértékben, mennyire működik együtt a negatív hatások enyhítésében).
A bírságok tehát jelentősen emelkedni fognak 2018. május 25-étől. A GDPR meglehetősen nagy mérlegelést enged a hatóságnak (NAIH). A hatóság bírságot kiszabó határozatával szemben helye van ugyanakkor bírósági felülvizsgálatnak, tehát számíthatunk arra, hogy a bírósági felülvizsgálatok száma megemelkedik majd a jövő évtől.