Facebook image
Mentés

GDPR – bírságok és tanulságok

Az európai cégek 57 százaléka gondolja úgy, hogy már a GDPR-szabályozás előírásainak megfelelően működik, 13 százalék még nem teljesíti teljes körűen az elvárásokat, 30 százalék pedig saját értékelése szerint még nem felel meg az adatvédelmi szabályozásnak. Ez derült ki az European Business Award-on induló cégek körében végzett RSM-felmérés adataiból. Eközben a hazai és európai hatóságok már nem csupán a GDPR-szabályok betartásának monitorozását, de a bírságolást is megkezdték.

A cégek felkészültségének állapotáról a GDPR szabályoknak való megfeleléssel foglalkozó belső szakemberek nyilatkoztak*, akik szerint a GDPR-szabályozás betartásának terhei mellett a pozitív hatásokat is érzékelik a társaságok. A GDPR-nak megfelelően működő cégek közel háromnegyede előnyös vonásként emelte ki, hogy a szabályozási nyomás hatására az ügyféladatok kezelésének módjában sokat fejlődött, megerősítette informatikai biztonsági rendszerét és annak védelmét.   

GDPR-bírságok főbb szempontjai

A szabályozás az életbelépése előtt nagyrészt a potenciálisan kiszabható bírság nagysága miatt került reflektorfénybe. A rendelkezések megsértése esetén a bírság maximális felső határa 20 millió euróig terjedhet, illetve vállalkozások esetén az előző pénzügyi év teljes világpiaci forgalmának 4 százalékáig van lehetőség bírságot kiszabni. A nemzetközi fórumokat követően a hazai adatvédelmi hatóság gyakorlatában is több GDPR-alapú bírság került kiszabásra, ezek alapján röviden összegezzük az eddigi bírságolási gyakorlat néhány jellemzőjét. 

A bírságokkal szemben támasztott alapkövetelmények a hatékonyság, az arányosság és a visszatartó erő. Ez utóbbi, prevenciós követelmény egyrészről a speciális, másrészről a generális prevenciót is magában foglalja, és ez meg is jelenik a bírságolási gyakorlatban. A speciális prevenció célja, hogy ösztönözze a kötelezettet a konkrét jogsértéssel érintett gyakorlatának megváltoztatására, egy egyedi bírság generális prevenciós célja pedig az, hogy a többi piaci szereplő adatkezelési gyakorlatát a jogszerűség felé mozdítsa el. Ezen célok vizsgálata és „beárazása” megjelenik a gyakorlatban.

A kiszabható bírság maximumára is figyelemmel a tényleges bírság összegének megállapítása kapcsán a jogszabály tételesen felsorolja a figyelembe veendő konkrét szempontokat, amelyekre a NAIH következetesen hivatkozik is. Az összegszerűségre kiható módon jelentősége van például: 

  • a szándékos elkövetésnek (például a jogsértés rendszerszintű, tehát állandó nem megfelelőségből, és nem pedig egyszeri figyelmetlenségből ered,
  • a jogsértés súlyosságának, amikor is például valamely érintetti joggal kapcsolatos a jogsértés, 
  • annak, hogy egy vagy több jogszabályi rendelkezés került megsértésre 
  • a kötelezettre (adatkezelőre) előírt technikai és szervezési intézkedések alacsony megvalósulási szintjének, például elavult IT-technológia használatának. 

A NAIH GDPR bírságokból levonható következtetések

A technológiai háttér kapcsán érdemes figyelembe venni, hogy a NAIH saját IT-biztonsági munkatárs bevonásával jutott arra a következtetésre, hogy a kifogásolt technikai intézkedés elavult, és nem felel meg a GDPR által hivatkozott „tudomány és technológia állásának megfelelő” szintű technikai intézkedésnek. Vagyis az adatkezelő szubjektív megítélése a valamely technikai intézkedés megfelelőségének a vonatkozásában nem mérvadó.

A vállalkozásokra kiszabható GDPR-bírságok összegszerűsége vonatkozásában az előző pénzügyi év teljes világpiaci forgalma irányadó. Ennek alkalmazása kapcsán a bírságolás körében megjelent az érintett vállalkozás előző évi eredménykimutatásának vizsgálata és az adózás előtti eredményadatok figyelembevétele. A NAIH által a türelmi időszakot követően kiszabott GDPR-bírságok összege eddig párszázezer forint és 30 millió forint közötti értéktartományban mozgott. A bírság összege természetesen a cégek árbevételének és adózás előtti eredményének nagyságával összevetve mutat teljesebb képet.  Az eset körülményeire tekintettel és a társaságok konkrét pénzügyi adatainak relációjában minősül a kiszabott bírság a NAIH értékelése szerint „jelképes összegűnek”, „érezhető mértékűnek” vagy egyébként „arányosnak”. Az, hogy a hatóság mérlegelési jogkörében eljárva jelképes vagy érezhető mértékű bírság kiszabását látja indokoltnak, mindig a konkrét eset egyéb összes körülményeinek a függvénye. 

Egy konkrét GDPR-bírságolási esetben a NAIH az enyhítő körülmények számbavételekor rögzítette, hogy az, hogy a kötelezett a hatóság adatközlésre felhívó végzéseire határidőben válaszol önmagában nem enyhítő körülmény, mivel „e körben az ügyfél magatartása nem ment túl a jogszabályi kötelezettségei teljesítésén”. Ebből a megállapításból két következtetés vonható le: 

  • az egyik, hogy a bírságolás körében súlyosbító tényező lehet a hatóság végzéseiben foglaltak késedelmes és/vagy hiányos teljesítése, 
  • viszont enyhítő körülmény lehet, ha az eljárás alá vont a hozzá intézett felhívások határidőben történő teljesítésén túl valamilyen plusz hozzáadott értéket tud felmutatni. 

Ez a hozzáadott érték például lehet olyan többletinformáció-szolgáltatás, amely hozzájárul a tényállás pontos, gyors és hatékony megállapításához, a kockázatok minél teljesebb körű azonosításához; az eljárás alá vont olyan gyors, önkéntes és hatékony proaktív cselekménye, amely minimalizálja a jogsértés hátrányos következményeit (fokozottan együttműködő magatartás stb).

Összességében elmondható tehát, hogy a bírság megállapítása egy komplex értékelési folyamat eredménye, amely érinti:

  • az eljárás alá vont vállalat adatvédelmi megfelelőségi rendszerét (van, nincs, hiányos, teljes stb.) 
  • a konkrét problémát, ideértve az annak bekövetkeztéhez vezető folyamatot, a probléma egyedi körülményeit, valós és potenciális hatásait
  • az eljárás alá vont vállalkozás incidens bekövetkezését követően tanúsított magatartását, illetve érinti az eljárás alá vont „előéletét” is abban a vonatkozásban, hogy jelentősége van annak, hogy korábban folyt-e az eljárás alá vonttal szemben adatvédelmi jogsértés miatt, az milyen eredménnyel zárult, 
  • és a vállalkozás gazdasági teljesítményét is. 

*A felmérés az European Business Award 2019. évi megmérettetésén elindult cégek körében készült, 34 országban közel 1000 válaszadó társaság részvételével. 

    Kapcsolódó bejegyzéseink

    Érdeklik az adó, számviteli és jogi változások?

    Iratkozzon fel hírlevelünkre, és legyen mindig naprakész!

    Feliratkozom