A 29. cikk alapján létrehozott Adatvédelmi Munkacsoport (WP29) 2017. október 3-án iránymutatást adott ki a bírság alkalmazásáról (WP253), amely a felügyeleti hatóságok számára ad iránymutatást a bírság kiszabásával kapcsolatban. Ennek alapján, Dr Kovács Zoltán Balázs segítségével megválaszoljuk a legfontosabb felmerülő kérdéseket.

Köteles a felügyeleti hatóság bírságot kiszabni?

A jogszabály nem tartalmaz ilyen kötelezettséget. A GDPR előírja, hogy amennyiben egy felügyeleti hatóság jogsértést állapít meg, akkor köteles megfelelő szankció(ka)t alkalmazni. A felügyeleti hatóságnak egyenként kell azonosítania és értékelnie a jogsértéseket és a leginkább megfelelő korrekciós intézkedést (szankciót) kell alkalmaznia, amely a jogsértés körülményeinek függvényében jelentheti a közigazgatási bírság kiszabását is. A felügyeleti hatóságok kötelesek biztosítani azt, hogy a kiszabott közigazgatási bírságok hatékonyak, arányosak és visszatartó erejűek legyenek.

Kép: Pixabay

Melyek azok a tényezőt, amelyeket a felügyeleti hatóságnak a bírság kiszabásakor tekintetbe kell vennie?

A GDPR tételesen felsorolja azokat a tényezőket, amelyeket a felügyeleti hatóságnak értékelnie kell. Ezen szempontok a következők:

• a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;
• a jogsértés szándékos vagy gondatlan jellege;
• az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;
• az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa foganatosított technikai és szervezési intézkedéseket;
• az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések;
• a felügyeleti hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;
• a jogsértés által érintett személyes adatok kategóriái (pl. az adatok különleges kategóriáit érinti-e, közvetlenül azonosítható-e az érintett);
• az, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette-e be a jogsértést, és ha igen, milyen részletességgel;
• ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban – ugyanabban a tárgyban – elrendeltek bizonyos hatósági intézkedéseket, a szóban forgó intézkedéseknek való megfelelés;
• az, hogy az adatkezelő vagy az adatfeldolgozó tartotta-e magát a jóváhagyott magatartási kódexekhez vagy a jóváhagyott tanúsítási mechanizmusokhoz; valamint
• az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.

A felügyeleti hatóság, miután a konkrét jogsértés tekintetében kiértékelte a fenti szempontokat, megállapítja a jogsértés súlyosságának mértékét és alkalmazza az általa leginkább megfelelőnek tartott szankciókat. Mekkora lehet a bírság összege?

A GDPR két fő jogsértési csoportot nevesít, és ezekhez rendel egy bírság maximumot.

Az első csoportba például azok a jogsértések tartoznak, amikor egy adminisztratív kötelezettséget nem teljesítenek (pl. nem neveztek ki adatvédelmi tisztviselőt, nem készítettek adatvédelmi hatásvizsgálatot vagy nem kötöttek írásban adatfeldolgozási szerződést). Ebben az esetben az adatkezelő / adatfeldolgozó legfeljebb 10 millió Euro összegű közigazgatási bírsággal, illetve vállalkozás esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2%-át kitevő összeggel sújtható.

A másik csoportba azok a jogsértések tartoznak, amikor például az adatkezelésnek nincs megfelelő jogalapja, alapelveket sértettek meg, vagy az érintettek jogait nem biztosítják. Ebben az esetben az adatkezelő / adatfeldolgozó legfeljebb 20 millió Euro összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összeggel sújtható.

Fontos megjegyezni, hogy a „vállalkozások” kifejezés egy gazdasági egységet jelent, amelybe beletartozhat az adott vállalkozás anyavállalata és a többi, a csoportba tartozó társaság is.

A WP29 az iránymutatásában azt is hangsúlyozza, hogy amennyiben olyan jogsértés történik, amely a fenti első csoportba tartozik, akkor ettől még elképzelhető, hogy a második csoportba tartozó jogsértés is történt, amely esetben a magasabb maximum bírság összeg az irányadó.

Milyen egyéb szankciókat (korrekciós intézkedéseket) alkalmazhat a felügyeleti hatóság?

A GDPR tartalmaz egy felsorolást erre vonatkozóan. A felügyeleti hatóság többek között a következő intézkedéseket alkalmazhatja:

• figyelmezteti az adatkezelőt vagy az adatfeldolgozót, hogy egyes tervezett adatkezelési tevékenységei valószínűsíthetően sértik a GDPR rendelkezéseit;
• elmarasztalja az adatkezelőt vagy az adatfeldolgozót, ha adatkezelési tevékenysége megsértette a GDPR-t;
• utasítja az adatkezelőt vagy az adatfeldolgozót, hogy teljesítse az érintett kérelmét;
• utasítja az adatkezelőt vagy az adatfeldolgozót, hogy adatkezelési műveleteit hozza összhangba a GDPR rendelkezéseivel;
• utasítja az adatkezelőt, hogy tájékoztassa az érintettet az adatvédelmi incidensről;
• átmenetileg vagy véglegesen korlátozza az adatkezelést, ideértve az adatkezelés megtiltását is;
• elrendeli a harmadik országbeli címzett szervezet felé irányuló adatáramlás felfüggesztését.

A WP29 arra ösztönzi a felügyeleti hatóságokat, hogy a korrekciós hatáskörük gyakorlásakor egy megfelelően kiegyensúlyozott megközelítést alkalmazzanak. A bírságra nem úgy kell tekinteni, mint csak a legvégső esetben alkalmazandó szankcióra, azonban azt túl gyakran sem szabad használni. Több szankciót is alkalmazhatnak a felügyeleti hatóságok egyszerre?

Igen. A felügyeleti hatóság joga eldönteni azt, hogy mely szankciókat kívánja alkalmazni. A GDPR alapján a felügyeleti hatóság olyan szankciókat köteles alkalmazni, amelyek megfelelő válaszul szolgálnak a jogsértésre.

A felügyeleti hatóságok egységesen fogják alkalmazni a szankciókat az Európai Unión belül?

Ez a GDPR egyik célja. Határokon átnyúló adatkezelések esetében ezt a felügyeleti hatóságok közötti együttműködés, valamint az (Európai Adatvédelmi Testületen keresztül megvalósuló) egységességi mechanizmus révén lehet elérni.

Tagállami ügyek esetében a felügyeleti hatóságoknak a GDPR egységes alkalmazásának biztosítása érdekében kell az iránymutatást alkalmaznia. Az iránymutatás egyértelműen kimondja, hogy „el kell kerülni azt, hogy a felügyeleti hatóságok hasonló ügyekben különböző korrekciós intézkedéseket alkalmazzanak.”

Ugyanakkor a WP29 kimondja, hogy “a közigazgatási bírságok Európai Unión belüli egységes alkalmazásának gyakorlata alakulóban van.” Az egységes alkalmazást a felügyeleti hatóságok folyamatos együttműködés és információ csere (például munkaértekezletek) révén érhetik el. A WP29 ajánlása szerint szükséges lenne létrehozni egy alcsoportot az Európai Adatvédelmi Testületen belül, amely ezt a folyamatos tevékenységet támogatja.

A GDPR-ban meg nem határozott szankciók is alkalmazhatók?

A GDPR felhatalmazza a tagállamokat arra, hogy a rendelet megsértése esetére további szankciókat alkalmazzanak, különösen azon jogsértések tekintetében, amelyek nem sújthatók közigazgatási bírsággal. Így, érdemes tájékozódni a vonatkozó tagállami jogról abból a célból, hogy egyéb szankciók is alkalmazhatóak-e.

Szerző:

Kovács Zoltán Balázs (LL.M.),

Partner, Szecskay Ügyvédi Iroda, az eugdpr.blog.hu szerzője.

A jelen bejegyzés általános áttekintést kíván nyújtani a körüljárt kérdésekkel kapcsolatban és nem minősül jogi tanácsadásnak.