Az új európai adatvédelmi rendelet (GDPR) kapcsán – mely hazánkban 2018. május 25-én lép hatályba – a legtöbb szó általában a hatalmas összegű bírságokról esik. A rendelet megsértésével érintett akár 20 millió euró összegű közigazgatási bírsággal, valamint vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összeggel sújtható.
Iránymutatás a kiszabható bírságokkal kapcsolatban
A WP253 számú iránymutatás alapelvei szerint az illetékes felügyeleti hatóságnak „minden egyes esetben” értékelést kell végeznie, amennyiben felmerül a rendelet megsértése. A munkacsoport előirányozta a hatóságoknak, hogy a bírságokra ne végső megoldásként tekintsenek, ne riadjanak vissza annak kiszabásától, alkalmazásuk során törekedniük kell az „azonosságra”, azaz minden tagállamban azonos védelmet kell biztosítani, azonos (súlyú) szankciót kell kiszabni.
A bírság kiszabása, mértékének megállapítása során figyelembe kell venni az érintettek számát, az adatkezelés célját, az érintettek által elszenvedett kárt, a jogsértés időtartamát, annak szándékos vagy gondatlan jellegét, a hatósággal való együttműködés minőséget, valamint további egyéb tényezőket.
Milyen jogsértésért járhat magasabb, illetve melyekért az alacsonyabb bírság?
A kisebb összegű bírság leginkább az adminisztratív kötelezettségek megszegéséért jár, ilyen esetben legfeljebb 10 millió euró összegű közigazgatási bírság, illetve vállalkozások esetén az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%-át kitevő összeget szabhat ki a hatóság. (A kettő közül a magasabb összeget kell kiszabni.)
„Kisebb” összegű bírság alkalmazandó az alábbi GDPR rendelkezések megsértése esetén:
8. cikk: „A közvetlenül gyermekeknek kínált, információs társadalommal összefüggő szolgáltatások vonatkozásában végzett személyes adatok kezelése akkor jogszerű, ha a gyermek a 16. életévét betöltötte. A 16. életévét be nem töltött gyermek esetén, a gyermekek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a gyermek feletti szülői felügyeletet gyakorló adta meg, illetve engedélyezte.” Ebben az esetben az adatkezelőnek ésszerű erőfeszítéseket kell tennie, hogy ellenőrizze a gyermek életkorát vagy a szülői felügyeleti jog gyakorlójának hozzájárulását/engedélyét.
11. cikk: „Ha azok a célok, amelyekből az adatkezelő a személyes adatokat kezeli, nem vagy már nem teszik szükségessé az érintettnek az adatkezelő általi azonosítását, az adatkezelő nem köteles kiegészítő információkat megőrizni, beszerezni vagy kezelni annak érdekében, hogy pusztán azért azonosítsa az érintettet, hogy megfeleljen e rendeletnek.” Amennyiben már nincsen szüksége az adatokra az adatkezelőnek, nem köteles megőrizni, beszerezni vagy kezelni az érintett adatait.
30. cikk: „Minden adatkezelő és – ha van ilyen – az adatkezelő képviselője a felelősségébe tartozóan végzett adatkezelési tevékenységekről nyilvántartást vezet.” Az adatkezelő köteles az adatkezelési tevékenységéről nyilvántartást vezetni. A rendelet tételesen felsorolja, hogy mely adatokat köteles e nyilvántartásban feltüntetni.
Magasabb összegű bírságok
Magasabb összegű, azaz legfeljebb 20 millió euró összegű közigazgatási bírság, illetve vállalkozások esetén az előző év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összeg (kettő közül a magasabb) alkalmazandó az pl. alapelvi rendelkezések megsértéséért, az adatkezelés jogszerűségének megsértése esetén, az érintett jogainak sérelme miatt stb.
Az alábbi rendelkezések megsértése „magasabb” összegű bírságot von maga után:
16. cikk: „Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül helyesbítse a rá vonatkozó pontatlan személyes adatokat. Figyelembe véve az adatkezelés célját, az érintett jogosult arra, hogy kérje a hiányos személyes adatok – egyebek mellett kiegészítő nyilatkozat útján történő – kiegészítését.”
17. cikk: „Az érintett jogosult arra, hogy kérésére az adatkezelő indokolatlan késedelem nélkül törölje a rá vonatkozó személyes adatokat, az adatkezelő pedig köteles arra, hogy az érintettre vonatkozó személyes adatokat indokolatlan késedelem nélkül törölje…”
A rendelet tételesen felsorolja az érintett jogait, ezen jogok között szerepel az adatok helyesbítéséhez, valamint törléséhez, avagy „elfeledtetéséhez való jog”. Továbbá súlyosabb büntetést von maga után a felügyeleti hatóság 58. cikk (2) bekezdése (felügyeleti hatóság korrekciós hatáskörének gyakorlása) szerinti utasításának, illetve az adatkezelés átmeneti vagy végleges korlátozására vagy az adatáramlás felfüggesztésére vonatkozó felszólításának be nem tartása vagy az 58. cikk (1) bekezdését (felügyeleti hatóság vizsgálati hatásköre) megsértve a hozzáférés biztosításának elmulasztása.
A fent hivatkozott rendelkezések az adatvédelmi rendelet megsértéséből eredő hátrányos jogkövetkezményeknek csupán példálózó felsorolásai.
Megfelelő felkészüléssel a bírságolás elkerülhető!
Írta Dr. Németh Gábor ügyvéd | 2800 Tatabánya, Győri út 6/A.| Bővebb információért keressen bennünket!