Szankciók a GDPR alapján, a közigazgatási bírság
A GDPR szerint a felügyeleti hatóságok különböző szankciókat alkalmazhatnak a jogszabály rendelkezéseinek meg nem felelőkkel szemben és bírságot is kiszabhatnak rájuk.
A 29. cikk alapján létrehozott Adatvédelmi Munkacsoport (WP29) 2017. október 3-án iránymutatást adott ki a bírság alkalmazásáról (WP253), amely a felügyeleti hatóságok számára ad iránymutatást a bírság kiszabásával kapcsolatban.
Az alábbiakban kérdések és válaszok formájában foglalom össze a bírság kiszabására vonatkozó legfontosabb előírásokat.
1. Köteles a felügyeleti hatóság bírságot kiszabni?
A jogszabály nem tartalmaz ilyen kötelezettséget. A GDPR előírja, hogy amennyiben egy felügyeleti hatóság jogsértést állapít meg, akkor köteles megfelelő szankció(ka)t alkalmazni. A felügyeleti hatóságnak egyenként kell azonosítania és értékelnie a jogsértéseket és a leginkább megfelelő korrekciós intézkedést (szankciót) kell alkalmaznia, amely a jogsértés körülményeinek függvényében jelentheti a közigazgatási bírság kiszabását is.
A felügyeleti hatóságok kötelesek biztosítani azt, hogy a kiszabott közigazgatási bírságok hatékonyak, arányosak és visszatartó erejűek legyenek.
2. Melyek azok a tényezőt, amelyeket a felügyeleti hatóságnak a bírság kiszabásakor tekintetbe kell vennie?
A GDPR tételesen felsorolja azokat a tényezőket, amelyeket a felügyeleti hatóságnak értékelnie kell. Ezen szempontok a következők:
(a) a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;
(b) a jogsértés szándékos vagy gondatlan jellege;
(c) az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;
(d) az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa foganatosított technikai és szervezési intézkedéseket;
(e) az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések;
(f) a felügyeleti hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;
(g) a jogsértés által érintett személyes adatok kategóriái (pl. az adatok különleges kategóriáit érinti-e, közvetlenül azonosítható-e az érintett);
(h) az, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette-e be a jogsértést, és ha igen, milyen részletességgel;
(i) ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban – ugyanabban a tárgyban – elrendeltek bizonyos hatósági intézkedéseket, a szóban forgó intézkedéseknek való megfelelés;
(j) az, hogy az adatkezelő vagy az adatfeldolgozó tartotta-e magát a jóváhagyott magatartási kódexekhez vagy a jóváhagyott tanúsítási mechanizmusokhoz; valamint
(k) az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.
A felügyeleti hatóság, miután a konkrét jogsértés tekintetében kiértékelte a fenti szempontokat, megállapítja a jogsértés súlyosságának mértékét és alkalmazza az általa leginkább megfelelőnek tartott szankciókat.
3. Mekkora lehet a bírság összege?
A GDPR két fő jogsértési csoportot nevesít, és ezekhez rendel egy bírság maximumot.
Az első csoportba például azok a jogsértések tartoznak, amikor egy adminisztratív kötelezettséget nem teljesítenek (pl. nem neveztek ki adatvédelmi tisztviselőt, nem készítettek adatvédelmi hatásvizsgálatot vagy nem kötöttek írásban adatfeldolgozási szerződést). Ebben az esetben az adatkezelő / adatfeldolgozó legfeljebb 10 millió Euro összegű közigazgatási bírsággal, illetve vállalkozás esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%-át kitevő összeggel sújtható.
A másik csoportba azok a jogsértések tartoznak, amikor például az adatkezelésnek nincs megfelelő jogalapja, alapelveket sértettek meg, vagy az érintettek jogait nem biztosítják. Ebben az esetben az adatkezelő / adatfeldolgozó legfeljebb 20 millió Euro összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összeggel sújtható.
Fontos megjegyezni, hogy a „vállalkozások” kifejezés egy gazdasági egységet jelent, amelybe beletartozhat az adott vállalkozás anyavállalata és a többi, a csoportba tartozó társaság is.
A WP29 az iránymutatásában azt is hangsúlyozza, hogy amennyiben olyan jogsértés történik, amely a fenti első csoportba tartozik, akkor ettől még elképzelhető, hogy a második csoportba tartozó jogsértés is történt, amely esetben a magasabb maximum bírság összeg az irányadó.
4. Milyen egyéb szankciókat (korrekciós intézkedéseket) alkalmazhat a felügyeleti hatóság?
A GDPR tartalmaz egy felsorolást erre vonatkozóan. A felügyeleti hatóság többek között a következő intézkedéseket alkalmazhatja:
- figyelmezteti az adatkezelőt vagy az adatfeldolgozót, hogy egyes tervezett adatkezelési tevékenységei valószínűsíthetően sértik a GDPR rendelkezéseit;
- elmarasztalja az adatkezelőt vagy az adatfeldolgozót, ha adatkezelési tevékenysége megsértette a GDPR-t;
- utasítja az adatkezelőt vagy az adatfeldolgozót, hogy teljesítse az érintett kérelmét;
- utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit hozza összhangba a GDPR rendelkezéseivel;
- utasítja az adatkezelőt, hogy tájékoztassa az érintettet az adatvédelmi incidensről;
- átmenetileg vagy véglegesen korlátozza az adatkezelést, ideértve az adatkezelés megtiltását is;
- elrendeli a harmadik országbeli címzett szervezet felé irányuló adatáramlás felfüggesztését.
A WP29 arra ösztönzi a felügyeleti hatóságokat, hogy a korrekciós hatáskörük gyakorlásakor egy megfelelően kiegyensúlyozott megközelítést alkalmazzanak. A bírságra nem úgy kell tekinteni, mint csak a legvégső esetben alkalmazandó szankcióra, azonban azt túl gyakran sem szabad használni.
5. Több szankciót is alkalmazhatnak a felügyeleti hatóságok egyszerre?
Igen. A felügyeleti hatóság joga eldönteni azt, hogy mely szankciókat kívánja alkalmazni. A GDPR alapján a felügyeleti hatóság olyan szankciókat köteles alkalmazni, amelyek megfelelő válaszul szolgálnak a jogsértésre.
6. A felügyeleti hatóságok egységesen fogják alkalmazni a szankciókat az Európai Unión belül?
Ez a GDPR egyik célja.
Határokon átnyúló adatkezelések esetében ezt a felügyeleti hatóságok közötti együttműködés, valamint az (Európai Adatvédelmi Testületen keresztül megvalósuló) egységességi mechanizmus révén lehet elérni.
Tagállami ügyek esetében a felügyeleti hatóságoknak a GDPR egységes alkalmazásának biztosítása érdekében kell az iránymutatást alkalmaznia. Az iránymutatás egyértelműen kimondja, hogy „el kell kerülni azt, hogy a felügyeleti hatóságok hasonló ügyekben különböző korrekciós intézkedéseket alkalmazzanak.”
Ugyanakkor a WP29 kimondja, hogy “a közigazgatási bírságok Európai Unión belüli egységes alkalmazásának gyakorlata alakulóban van.” Az egységes alkalmazást a felügyeleti hatóságok folyamatos együttműködés és információ csere (például munkaértekezletek) révén érhetik el. A WP29 ajánlása szerint szükséges lenne létrehozni egy alcsoportot az Európai Adatvédelmi Testületen belül, amely ezt a folyamatos tevékenységet támogatja.
7. A GDPR-ban meg nem határozott szankciók is alkalmazhatók?
A GDPR felhatalmazza a tagállamokat arra, hogy a rendelet megsértése esetére további szankciókat alkalmazzanak, különösen azon jogsértések tekintetében, amelyek nem sújthatók közigazgatási bírsággal. Így, érdemes tájékozódni a vonatkozó tagállami jogról abból a célból, hogy egyéb szankciók is alkalmazhatóak-e.
dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)
A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.