A kis- és középvállalkozásokról szóló törvény (Kkv tv.) egyik rendelkezése szerint a magyar hatóságoknak a kis- és középvállalkozásokkal szemben az első esetben előforduló jogsértés esetén bírság kiszabása helyett figyelmeztetést kell alkalmazniuk. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) 2016-ot megelőzően több határozatában sem alkalmazta ezt a szabályt. A Kúria egy 2016-os ítélete egyértelművé tette, hogy nem lehet szűkítően értelmezni a Kkv tv. mentesítő rendelkezését, és kimondta, hogy ha valamely hatóság egy kis- és középvállalkozásnak minősülő vállalkozásnál jogsértést állapít meg, akkor a törvényben foglalt kivételektől eltekintve első körben nem lehet a kkv-t bírsággal sújtani.
Azonban egy most napvilágot látott, az Igazságügy Minisztérium által jegyzett törvénymódosítási előterjesztés az adatvédelmi hatóság eljárásaira nem engedné alkalmazni a Kkv tv. mentesítő szabályát. Ráadásul, a 2018. május 25-től alkalmazandó új EU-s adatvédelmi rendelet (GDPR) szerint így első körben akár 6 milliárd forint bírsággal is sújthatóak lennének a magyar kkv-k. Az aláírók most is síkraszállnak a kis- és középvállalkozások támogatásáért, illetve védelméért.
Az Előterjesztés 23. szakasza szerint azonban az általános adatvédelmi rendeletben (GDPR) meghatározott jogkövetkezmények (pl. bírság) alkalmazása során a NAIH a Kkv. tv. 12/A. § (1) bekezdésének alkalmazását köteles mellőzni, azaz első alkalommal is bírságot szabjon ki.
Fontos, hogy az előterjesztést a kormány még nem tárgyalta meg, így az abban foglaltak nem tekinthetőek hivatalos kormányzati álláspontnak.
Dr. Kulcsár Zoltán adatvédelmi szakjogász és dr. Ormós Zoltán, ügyvéd, adatvédelmi szakértő Piac & Profit szerkesztőségébe eljuttatott véleménye szerint szigorúan jogtechnikai szempontokat figyelembe véve nem indokolt a Kkv. tv.-nek a kis- és középvállakozásokat mentesítő rendelkezésének a figyelmen kivül hagyása a NAIH eljárásai során, mivel az általános adatvédelmi rendelet nem követeli meg a bírságok azonnali kiszabásának előírását, így a méltányos szabály fennmaradhatna, és nem ütközne a közösségi jogba 2018. május 25. után sem.
A szakemberek szerint jogpolitikai szempontból is nagyon fontos, hogy a kis- és középvállalkozások megkülönböztetett figyelmet és sok esetben védelmet kapjanak, amennyiben első esetben fordult elő náluk jogsértés, különösen egy olyan komplex és új szabályokat tartalmazó területen, mint az adatvédelem.
A kis- és középvállalkozásokról szóló törvény (Kkv tv.) 12/A. paragrafusa szerint a hatóságok a kis- és középvállalkozásokkal szemben az első esetben előforduló jogsértés esetén – néhány eljárástípust kivéve – bírság kiszabása helyett figyelmeztetést alkalmaznak, illetve kötelesek megvizsgálni annak a lehetőségét, hogy a jogszabály vagy egy hatósági döntés megsértése a jogellenes magatartás megszüntetésével vagy a jogszerű állapot helyreállításával orvosolható-e. Ha igen, akkor a hatóságnak fel kell hívnia az eljárás alá vont cég figyelmét a jogszabálysértésre, és megfelelő határidő megállapításával, valamint a jogkövetkezményekre történő figyelmeztetéssel végzésben kell kötelezni a céget a annak megszüntetésére.
Kis- és középvállalkozásnak az alábbi cégek minősülnek:
- a) összes foglalkoztatotti létszáma 250 főnél kevesebb, és
- b) éves nettó árbevétele legfeljebb 50 millió eurónak (kb. 16 milliárd forint) megfelelő forintösszeg, vagy mérleg-főösszege legfeljebb 43 millió eurónak megfelelő forintösszeg.
