Mit tehet Magyarország a KKV-kért a GDPR alapján?
Magyarországon a vállalkozások 99.8%-a a mikro-, kis- és középvállalkozások csoportjába tartozik. Ez a blog bejegyzés azzal foglalkozik, hogy az EU adatvédelmi rendelete (GDPR) alapján bírságolhatók-e ezek a vállalkozások első alkalommal megállapított jogsértés esetén. Érdekes kérdés az is, hogy a GDPR alapján van-e egy tagállamnak lehetősége arra, hogy olyan szabályozást fogadjon el, amely alapján a KKV-k első alkalommal megállapított jogsértés esetén nem bírságolhatók.
1. Mit mond a GDPR a KKV-k vonatkozásában?
A GDPR a KKV-k vonatkozásában néhány rendelkezést tartalmaz és az adatvédelmi nyilvántartás vezetése, illetve a szektorális magatartási kódexek, illetve a tanúsítási mechanizmusok tekintetében utal a KKV-kra. Emellett a rendelet (13) preambulum bekezdése szerint a rendelet alkalmazása során „az uniós intézményeket és szerveket, és a tagállamokat és azok felügyeleti hatóságait ösztönözni kell, hogy vegyék figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit.”
A (167) preambulum bekezdés hangsúlyozza, hogy „a Bizottságnak mérlegelnie kell különös intézkedések alkalmazását a mikro-, kis- és középvállalkozások tekintetében.”
2. Mely vállalkozások minősülnek KKV-nek?
A KKV kifejezés egy gyűjtőkategória, amely magában foglalja a mikro-, a kis- és a középvállalkozásokat.
Középvállalkozásnak minősül az olyan vállalkozás, amelynek
- összes foglalkoztatotti létszáma 250 főnél kevesebb, és
- éves nettó árbevétele legfeljebb 50 millió Eurónak megfelelő forintösszeg (kb. 16 milliárd forint), vagy mérlegfőösszege legfeljebb 43 millió Eurónak megfelelő forintösszeg.
Kisvállalkozásnak minősül az a vállalkozás, amelynek
- összes foglalkoztatotti létszáma 50 főnél kevesebb, és
- éves nettó árbevétele vagy mérlegfőösszege legfeljebb 10 millió Eurónak megfelelő forintösszeg (kb. 3.2 milliárd forint).
Mikrovállalkozásnak minősül az a vállalkozás, amelynek
- összes foglalkoztatotti létszáma 10 főnél kevesebb, és
- éves nettó árbevétele vagy mérlegfőösszege legfeljebb 2 millió Eurónak megfelelő forintösszeg (kb. 640 millió forint).
Mindezek alapján jól látható, hogy akár egy kisvállalkozás is jelentős méretű és bevételű lehet, nem is beszélve a középvállalkozásokról, amelyek már igen komoly munkaerővel és bevétellel rendelkezhetnek.
Egy tavaly szeptemberi statisztika szerint
(i) a magyar gazdaság szereplőinek kb. 99.8%-a KKV-nak minősül és csupán néhány száz olyan vállalat van, amely nagyobb, mint egy középvállalkozás. Az említett arány EU-s viszonylatban is nagyjából ugyanez (99.8%);
(ii) a magyar gazdaság esetében a foglalkoztatottak mintegy 70%-a dolgozik KKV-knál, 30%-a nagyvállalkozásoknál. Az arány EU-s szinten is nagyjából ugyanez (67%-33%);
(iii) a KKV-k mintegy 52.5%-ban járulnak hozzá a GDP-hez, a nagyvállalkozások 47.5%-ban. Érdemi különbség nincs EU-s szinten sem ehhez képest (57.5%-42.5%).
3. Mit mond a magyar KKV törvény az első alkalommal elkövetett jogsértések és a bírság viszonyáról?
A jelenleg hatályos magyar szabályok értelmében az ellenőrző hatóság a KKV-kal szemben az első esetben előforduló jogsértés esetén hatósági eljárás során bírság kiszabása helyett figyelmeztetést kell, hogy alkalmazzon. Nincs azonban lehetőség a bírságtól való eltekintésre, ha például
a) a jogsértés emberi életet, testi épséget vagy egészséget sért vagy veszélyeztet,
b) a jogsértés miatt környezetkárosodás következett be,
c) kiskorúak védelmét célzó rendelkezés megsértésére került sor, vagy
d) különösen kiszolgáltatott személlyel szemben elkövetett jogsértésre került sor.
4. Összeegyeztethető-e a magyar KKV törvény hatályos rendelkezése a GDPR-ral?
Érdekes és fontos kérdés, hogy összeegyeztethető-e a KKV törvény fenti, 3. pontban idézett rendelkezése a GDPR-ban foglaltakkal vagy az (vagy annak egy része) a rendeletbe ütköző.
(a) Az egyik értelmezés szerint a KKV törvény idézett rendelkezése a rendeletben foglaltakkal nincs összhangban az alábbiak szerint.
Jóllehet a GDPR deklarálja, hogy „e rendelet alkalmazása során az uniós intézményeket és szerveket, és a tagállamokat és azok felügyeleti hatóságait ösztönözni kell, hogy vegyék figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit”, konkrét rendelkezést azonban nem tartalmaz arra vonatkozóan, hogy első alkalommal ne lennének bírságolhatók a KKV-k, illetőleg nem tartalmaz olyan konkrét felhatalmazó rendelkezést sem, amelynek értelmében a tagállamok hozhatnának olyan jogszabályt, amely szerint a KKV-k első alkalommal nem bírságolhatók. Ebből következően – ezen, álláspontom szerint rendkívül formális és téves értelmezés szerint – a tagállamok nem hozhatnak olyan szabályt, amely olyan kivételezett helyzetbe hozza a KKV-ket, hogy azok első alkalommal megállapított jogsértés esetében nem bírságolhatók.
A GDPR 83. cikk (7) bekezdése kifejezetten felhatalmazza a tagállami jogalkotót arra, hogy megállapítsa az arra vonatkozó szabályokat, hogy „az adott tagállami székhelyű közhatalmi vagy egyéb, közfeladatot ellátó szervvel szemben kiszabható-e közigazgatási bírság, és ha igen, milyen mértékű”. Ilyen rendelkezést a KKV-k tekintetében nem tartalmaz a GDPR.
Fontos azonban megjegyezni azt, hogy a 83. cikk (7) bekezdés maga ad felhatalmazást a tagállami jogalkotónak annak szabályozására (eldöntésére), hogy közfeladatot ellátó szervvel szemben kiszabható-e közigazgatási bírság és, ha igen, milyen mértékű.
Azt, hogy mi minősül közfeladatot ellátó szervnek az adott tagállam joga szerint kell megítélni, amit a 29. cikk szerinti EU Adatvédelmi Munkacsoport (jelenlegi nevén immáron Európai Adatvédelmi Testület) adatvédelmi tisztviselőről szóló iránymutatásában egyértelműen megerősít. Ebből következően még a fenti értelmezés szerint is van lehetőség arra a GDPR alapján, hogy a tagállami jogalkotó a közfeladatot ellátó szerveket (ilyenek például a közhasznúsági besorolással rendelkező jogalanyok, közhasznú feladatot (is) ellátó egyesületek) akár teljes egészében (azaz nem csak első alkalmas jogsértés esetére) mentesítse a bírság terhe alól vagy – amennyiben nem kívánja őket mentesíteni – saját döntése szerinti bírság maximumot állapítson meg.
Álláspontom szerint a bírság alóli teljes mentesítés nem indokolt egyetlen jogalany esetében sem, hiszen fontos, hogy a GDPR szabályai mindenkire vonatkoznak és a szabályokat komolyan kell venni. A bírságolás tekintetében történő differenciálás azonban véleményem szerint egy méltányos és indokolt kérdés.
(b) A másik megközelítés az alábbiak szerint érvel a KKV-k tekintetében.
A GDPR (13) preambulum bekezdésében deklarált célja, hogy a rendelet alkalmazása során „az uniós intézményeket és szerveket, és a tagállamokat és azok felügyeleti hatóságait ösztönözni kell, hogy vegyék figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit”.
Jóllehet a GDPR idézett preambulum bekezdése nem tételes jogi rendelkezés, tény, hogy az a rendelet része, amely alapos okkal került a jogszabályba, és amelyre az Uniónak, a tagállamoknak és a felügyeletei hatóságoknak tekintettel kell lennie.
Álláspontom szerint első alkalmas adatvédelmi jogsértés esetére egy tagállam által előírt, bírság nélküli figyelmeztetés KKV-k vonatkozásában indokolt és a GDPR-ral összeegyeztethető, azzal, hogy súlyos jogsértések esetén a bírság kiszabása KKV-k esetében is indokolt (első alkalommal is). Így abban az esetben, ha például gyermekek vagy kiszolgáltatott személyek vonatkozásában követnek el súlyos jogsértést, vagy nagyszámú érintett személyes adataival kapcsolatos egy magas kockázattal járó jogsértés, akkor indokolt bírság kiszabása egy KKV-val szemben is első alkalommal megállapított jogsértés esetén.
Önmagában az a főszabály, hogy első alkalommal nem szabható ki bírság KKV-kal szemben, meglátásom szerint összhangban van a GDPR-ral. Azt gondolom, hogy az összhang tekintetében a kérdés sokkal inkább a kivételi kör, azaz, hogy mely esetben van helye mégis bírság kiszabásának első alkalmas jogsértés esetén. A jelenleg hatályos szabály értelmében, ha egy KKV olyan adatvédelmi jogsértés követ el, amely nem esik a fenti leírt kivételi kör alá, azonban például 18 és 50 év közötti személyek széles körét érinti és a jogsértés komoly hátrányt okozhat az érintetteknek, akkor nem lenne kiszabható bírság, holott ilyen esetben indokolt lehet ezen szankció alkalmazása. Véleményem szerint ez az a pont, ahol a KKV törvény szabályozása ütközhet a rendeletben foglaltakkal, ezért annak átgondolása szükséges, hogy mely esetben lehessen mégis bírságot kiszabni első alkalmas jogsértés esetén.
Véleményem szerint abban az esetben, ha olyan szabályt hoz egy tagállami jogalkotó, amely szerint a hatóságnak a KKV jellegre tekintettel kell lennie és első alkalmas adatvédelmi jogsértés esetében KKV-val szemben nem szabható ki bírság, akkor a GDPR-ral összeegyeztethető és annak megfelelő jogszabályt hoz, mivel egy ilyen gondolat a GDPR-ban is kifejezetten benne van, a rendelet kívánatosnak tart egy ilyen tagállami szabályt. Egy ilyen szabály álláspontom szerinti feltétele, hogy legyen egy kivételi kör a bírság alóli mentesítés alól, amikor bírság első alkalommal is kiszabható súlyos jogsértés esetén. Megjegyzendő az is, hogy a GDPR megszületésének nem a KKV-k, hanem a nagyvállalatok az elsődleges oka, így indokolt, hogy ne azonos módon kezelje a jogalkotó ezeket a szereplőket a bírságolás tekintetében.
Abban az esetben, ha a tagállami jogalkotó nem hoz a KKV-kra nézve kedvező szabályt, akkor a hatóság saját joga lesz eldönteni azt, hogy alkalmaz-e bírságot KKV-val szemben első alkalmas jogsértés esetében. Fontos hangsúlyozni, hogy a GDPR értelmében szankció alkalmazása esetében nem kötelező bírság kiszabása, az csupán egy lehetőség és a hatóság a jogsértés körülményei alapján dönt arról, hogy alkalmaz-e bírságot. A GDPR alapján a hatóság értékeli többek között azt, hogy az adatkezelő vagy az adatfeldolgozó korábban követett-e el jogsértést, illetve értékeli az eset körülményei szempontjából releváns súlyosbító vagy enyhítő tényezőket. Pusztán az a tény, hogy egy jogalany KKV-nak minősül automatikusan nem jelent enyhítő tényezőt.
Összességében azt gondolom, hogy teljesen indokolt feltenni azt a kérdést, hogy összeegyeztethető-e a GDPR-ral egy olyan tagállami megoldás, amely szerint a KKV-k első alkalommal megállapított adatvédelmi jogsértés esetében nem bírságolhatók. Álláspontom szerint egy ilyen tagállami szabályozás összeegyeztethető a GDPR-ral, ha főszabályként írja azt elő a tagállami jogalkotó és súlyos jogsértés elkövetése esetén a KKV-k is bírságolhatók első alkalommal elkövetett jogsértés esetén.
5. Mit mondanak egyes EU-s adatvédelmi hatóságok az ellenőrzésről és bírságolásról?
A lett adatvédelmi hatóság által elmondottak szerint az első évben elsősorban konzultálni fognak az adatkezelőkkel, adatfeldolgozókkal és elsősorban abban az esetben nyúlnak a bírság eszközéhez, ha a figyelmeztetésben foglaltaknak nem tesz eleget időben a vizsgált jogalany.
A francia adatvédelmi hatóság elmondása szerint a GDPR-ban szereplő új jogintézmények tekintetében (például profilalkotás, adathordozhatóság, automatizált döntéshozatal) megállapított jogsértések vonatkozásában elnézőbb lesz a hatóság, mint az újdonságnak nem számító kérdések tekintetében (például alapelvek, jogalapok).
Jelen állás szerint az osztrák jogalkotó olyan szabályt kíván elfogadni, amely alapján az hatóságnak külön tekintetbe kell vennie a KKV jelleget és a KKV-k első alkalommal megállapított adatvédelmi jogsértés esetén nem bírságolhatók kisebb súlyú jogsértés elkövetése esetén.
6. Mit tehet a magyar jogalkotó a KKV-k segítése érdekében?
Álláspontom szerint az alábbiakra lehetőség van a GDPR alapján és megnyugtató lehetne az érintett adatkezelők és adatfeldolgozók számára:
(i) a közfeladatot ellátó szervek esetében kívánatos lehet egy olyan magyar szabály elfogadása, amely szerint (a) a közfeladatot ellátó szervek első alkalommal elkövetett jogsértés esetében nem bírságolhatók, kivéve, ha súlyos jogsértésről van szó, továbbá (b) ilyen szervek esetében a bírság összegének maximuma lényegesen alacsonyabb a GDPR-ban szereplő összegnél;
(ii) a KKV első alkalommal megállapított adatvédelmi jogsértés esetében nem bírságolható, kivéve, ha súlyos adatvédelmi jogsértést követett el. Ezen cél elérése érdekében a kis- és középvállalkozásokról, fejlődésük támogatásáról szóló 2004. évi XXXIV. törvény 12/A.§ (2) bekezdésének módosítása és egy (3) bekezdéssel történő kiegészítése szükséges lenne.
dr. Kovács Zoltán Balázs (LL.M.), Partner, Szecskay Ügyvédi Iroda, Budapest (zoltan.kovacs@szecskay.com)
A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.