A törvénymódosítás tervezet kizárólag azt rögzíti, hogy első, jogsértés esetén a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a vállalkozást nem bírságban, hanem elsősorban figyelmeztetésben részesíti. Ráadásul, a törvénymódosítás szövege nem említi kifejezetten a kkv-at, azaz a multinacionális gazdasági társaságokra is vonatkozik.

Maga a GDPR rendelet alapján, első alkalommal történő, de enyhe jogsértés esetén sem kötelező bírságot kiszabni, illetve figyelembe kell venni, ha a jogsértő vállalkozás kkv. A törvénymódosítás tehát nem tér el a GDPR rendelet előírásaitól.

Zempléni Kinga, ügyvéd szerint azonban a törvénymódosítás és a GDPR rendelet szövege nem értelmezhető úgy, hogy első jogsértés esetén sose bírságol a NAIH. Első, súlyos jogsértés (például nagyszámú fogyasztókat érintő, folyamatos és szándékos adatvédelmi előírások megszegése) esetén minden vállalkozás– kkv-k és multinacionálisok egyaránt – bírságot kockáztathat.

Súlyos jogsértésnek minősülhetnek az alábbi, nagyszámú magánszemélyt érintő, hosszú időtartamú esetek; ilyenkor a NAIH feltehetően az első alkalommal is bírságot szabhat ki, még kkv-knak is.

• Ha egy webáruház semmilyen adatvédelmi tájékoztatás nem nyújt a fogyasztóknak,
• Ha egy társaság felelőtlenül nyilvánosságra hoz érzékeny adatokat,
• Ha egy vállalat kamerákat helyez el öltözőkben,
• Ha egy társaság nem tartja be az alapvető adatbiztonsági követelményeket,
• Ha egy vállalat jogellenesen harmadik félnek értékesít személyes adatokat,
• Ha egy online portál úgy kezeli a fizetési adatokat, hogy ahhoz bárki könnyen hozzáférhet.