GDPR Q&A

GDPR kérdezz-felelek / GDPR Q&A

Bírság és más szankciók

2018. február 24. - Kovacs Zoltan Balazs

Szankciók a GDPR alapján, a közigazgatási bírság

A GDPR szerint a felügyeleti hatóságok különböző szankciókat alkalmazhatnak a jogszabály rendelkezéseinek meg nem felelőkkel szemben és bírságot is kiszabhatnak rájuk.

A 29. cikk alapján létrehozott Adatvédelmi Munkacsoport (WP29) 2017. október 3-án iránymutatást adott ki a bírság alkalmazásáról (WP253), amely a felügyeleti hatóságok számára ad iránymutatást a bírság kiszabásával kapcsolatban.

Az alábbiakban kérdések és válaszok formájában foglalom össze a bírság kiszabására vonatkozó legfontosabb előírásokat.

1. Köteles a felügyeleti hatóság bírságot kiszabni?

A jogszabály nem tartalmaz ilyen kötelezettséget. A GDPR előírja, hogy amennyiben egy felügyeleti hatóság jogsértést állapít meg, akkor köteles megfelelő szankció(ka)t alkalmazni. A felügyeleti hatóságnak egyenként kell azonosítania és értékelnie a jogsértéseket és a leginkább megfelelő korrekciós intézkedést (szankciót) kell alkalmaznia, amely a jogsértés körülményeinek függvényében jelentheti a közigazgatási bírság kiszabását is.

A felügyeleti hatóságok kötelesek biztosítani azt, hogy a kiszabott közigazgatási bírságok hatékonyak, arányosak és visszatartó erejűek legyenek.

2. Melyek azok a tényezőt, amelyeket a felügyeleti hatóságnak a bírság kiszabásakor tekintetbe kell vennie?

A GDPR tételesen felsorolja azokat a tényezőket, amelyeket a felügyeleti hatóságnak értékelnie kell. Ezen szempontok a következők:

(a) a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;

(b) a jogsértés szándékos vagy gondatlan jellege;

(c) az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;

(d) az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa foganatosított technikai és szervezési intézkedéseket;

(e) az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések;

(f) a felügyeleti hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;

(g) a jogsértés által érintett személyes adatok kategóriái (pl. az adatok különleges kategóriáit érinti-e, közvetlenül azonosítható-e az érintett);

(h) az, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette-e be a jogsértést, és ha igen, milyen részletességgel;

(i) ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban – ugyanabban a tárgyban – elrendeltek bizonyos hatósági intézkedéseket, a szóban forgó intézkedéseknek való megfelelés;

(j) az, hogy az adatkezelő vagy az adatfeldolgozó tartotta-e magát a jóváhagyott magatartási kódexekhez vagy a jóváhagyott tanúsítási mechanizmusokhoz; valamint

(k) az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.

A felügyeleti hatóság, miután a konkrét jogsértés tekintetében kiértékelte a fenti szempontokat, megállapítja a jogsértés súlyosságának mértékét és alkalmazza az általa leginkább megfelelőnek tartott szankciókat.

3. Mekkora lehet a bírság összege?

A GDPR két fő jogsértési csoportot nevesít, és ezekhez rendel egy bírság maximumot.

Az első csoportba például azok a jogsértések tartoznak, amikor egy adminisztratív kötelezettséget nem teljesítenek (pl. nem neveztek ki adatvédelmi tisztviselőt, nem készítettek adatvédelmi hatásvizsgálatot vagy nem kötöttek írásban adatfeldolgozási szerződést). Ebben az esetben az adatkezelő / adatfeldolgozó legfeljebb 10 millió Euro összegű közigazgatási bírsággal, illetve vállalkozás esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%-át kitevő összeggel sújtható.

A másik csoportba azok a jogsértések tartoznak, amikor például az adatkezelésnek nincs megfelelő jogalapja, alapelveket sértettek meg, vagy az érintettek jogait nem biztosítják. Ebben az esetben az adatkezelő / adatfeldolgozó legfeljebb 20 millió Euro összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összeggel sújtható.

Fontos megjegyezni, hogy a „vállalkozások” kifejezés egy gazdasági egységet jelent, amelybe beletartozhat az adott vállalkozás anyavállalata és a többi, a csoportba tartozó társaság is.

A WP29 az iránymutatásában azt is hangsúlyozza, hogy amennyiben olyan jogsértés történik, amely a fenti első csoportba tartozik, akkor ettől még elképzelhető, hogy a második csoportba tartozó jogsértés is történt, amely esetben a magasabb maximum bírság összeg az irányadó.

4. Milyen egyéb szankciókat (korrekciós intézkedéseket) alkalmazhat a felügyeleti hatóság?

A GDPR tartalmaz egy felsorolást erre vonatkozóan. A felügyeleti hatóság többek között a következő intézkedéseket alkalmazhatja:

- figyelmezteti az adatkezelőt vagy az adatfeldolgozót, hogy egyes tervezett adatkezelési tevékenységei valószínűsíthetően sértik a GDPR rendelkezéseit;

- elmarasztalja az adatkezelőt vagy az adatfeldolgozót, ha adatkezelési tevékenysége megsértette a GDPR-t;

- utasítja az adatkezelőt vagy az adatfeldolgozót, hogy teljesítse az érintett kérelmét;

- utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit hozza összhangba a GDPR rendelkezéseivel;

- utasítja az adatkezelőt, hogy tájékoztassa az érintettet az adatvédelmi incidensről;

- átmenetileg vagy véglegesen korlátozza az adatkezelést, ideértve az adatkezelés megtiltását is;

- elrendeli a harmadik országbeli címzett szervezet felé irányuló adatáramlás felfüggesztését.

A WP29 arra ösztönzi a felügyeleti hatóságokat, hogy a korrekciós hatáskörük gyakorlásakor egy megfelelően kiegyensúlyozott megközelítést alkalmazzanak. A bírságra nem úgy kell tekinteni, mint csak a legvégső esetben alkalmazandó szankcióra, azonban azt túl gyakran sem szabad használni.

5. Több szankciót is alkalmazhatnak a felügyeleti hatóságok egyszerre?

Igen. A felügyeleti hatóság joga eldönteni azt, hogy mely szankciókat kívánja alkalmazni. A GDPR alapján a felügyeleti hatóság olyan szankciókat köteles alkalmazni, amelyek megfelelő válaszul szolgálnak a jogsértésre.

6. A felügyeleti hatóságok egységesen fogják alkalmazni a szankciókat az Európai Unión belül?

Ez a GDPR egyik célja.

Határokon átnyúló adatkezelések esetében ezt a felügyeleti hatóságok közötti együttműködés, valamint az (Európai Adatvédelmi Testületen keresztül megvalósuló) egységességi mechanizmus révén lehet elérni.

Tagállami ügyek esetében a felügyeleti hatóságoknak a GDPR egységes alkalmazásának biztosítása érdekében kell az iránymutatást alkalmaznia. Az iránymutatás egyértelműen kimondja, hogy „el kell kerülni azt, hogy a felügyeleti hatóságok hasonló ügyekben különböző korrekciós intézkedéseket alkalmazzanak.”

Ugyanakkor a WP29 kimondja, hogy “a közigazgatási bírságok Európai Unión belüli egységes alkalmazásának gyakorlata alakulóban van.” Az egységes alkalmazást a felügyeleti hatóságok folyamatos együttműködés és információ csere (például munkaértekezletek) révén érhetik el. A WP29 ajánlása szerint szükséges lenne létrehozni egy alcsoportot az Európai Adatvédelmi Testületen belül, amely ezt a folyamatos tevékenységet támogatja.

7. A GDPR-ban meg nem határozott szankciók is alkalmazhatók?

A GDPR felhatalmazza a tagállamokat arra, hogy a rendelet megsértése esetére további szankciókat alkalmazzanak, különösen azon jogsértések tekintetében, amelyek nem sújthatók közigazgatási bírsággal. Így, érdemes tájékozódni a vonatkozó tagállami jogról abból a célból, hogy egyéb szankciók is alkalmazhatóak-e.

dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.

A bejegyzés trackback címe:

https://eugdpr.blog.hu/api/trackback/id/tr4013684948

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.