GDPR: bírságok és tanulságok

Eközben a hazai és európai hatóságok már nem csupán a GDPR-szabályok betartásának monitorozását, de a bírságolást is megkezdték – figyelmeztet friss bejegyzésében dr. Oláh Tamás ügyvéd, az RSM Legal szakértője.

A cégek felkészültségének állapotáról a GDPR-szabályoknak való megfeleléssel foglalkozó belső szakemberek nyilatkoztak, akik szerint a GDPR-szabályozás betartásának terhei mellett a pozitív hatásokat is érzékelik a társaságok. A GDPR-nak megfelelően működő cégek közel háromnegyede előnyös vonásként emelte ki, hogy a szabályozási nyomás hatására az ügyféladatok kezelésének módjában sokat fejlődött, megerősítette informatikai biztonsági rendszerét és annak védelmét.  

A GDPR-bírságok főbb szempontjai

A szabályozás az életbelépése előtt nagyrészt a potenciálisan kiszabható bírság nagysága miatt került reflektorfénybe. A rendelkezések megsértése esetén a bírság maximális felső határa 20 millió euróig terjedhet, illetve vállalkozások esetén az előző pénzügyi év teljes világpiaci forgalmának 4 százalékáig van lehetőség bírságot kiszabni. A nemzetközi fórumokat követően a hazai adatvédelmi hatóság gyakorlatában is több GDPR-alapú bírság került kiszabásra, ezek alapján röviden összegezzük az eddigi bírságolási gyakorlat néhány jellemzőjét.

A bírságokkal szemben támasztott alapkövetelmények a hatékonyság, az arányosság és a visszatartó erő. Ez utóbbi, prevenciós követelmény egyrészről a speciális, másrészről a generális prevenciót is magában foglalja, és ez meg is jelenik a bírságolási gyakorlatban. A speciális prevenció célja, hogy ösztönözze a kötelezettet a konkrét jogsértéssel érintett gyakorlatának megváltoztatására, egy egyedi bírság generális prevenciós célja pedig az, hogy a többi piaci szereplő adatkezelési gyakorlatát a jogszerűség felé mozdítsa el. Ezen célok vizsgálata és „beárazása” megjelenik a gyakorlatban.

A kiszabható bírság maximumára is figyelemmel a tényleges bírság összegének megállapítása kapcsán a jogszabály tételesen felsorolja a figyelembe veendő konkrét szempontokat, amelyekre a NAIH következetesen hivatkozik is. Az összegszerűségre kiható módon jelentősége van például:

• a szándékos elkövetésnek (például a jogsértés rendszerszintű, tehát állandó nem megfelelőségből, és nem pedig egyszeri figyelmetlenségből ered,
• a jogsértés súlyosságának, amikor is például valamely érintetti joggal kapcsolatos a jogsértés,
• annak, hogy egy vagy több jogszabályi rendelkezés került megsértésre
• a kötelezettre (adatkezelőre) előírt technikai és szervezési intézkedések alacsony megvalósulási szintjének, például elavult IT-technológia használatának.

A NAIH GDPR bírságokból levonható következtetések

A technológiai háttér kapcsán érdemes figyelembe venni, hogy a NAIH saját IT-biztonsági munkatárs bevonásával jutott arra a következtetésre, hogy a kifogásolt technikai intézkedés elavult, és nem felel meg a GDPR által hivatkozott „tudomány és technológia állásának megfelelő” szintű technikai intézkedésnek. Vagyis az adatkezelő szubjektív megítélése a valamely technikai intézkedés megfelelőségének a vonatkozásában nem mérvadó.

A vállalkozásokra kiszabható GDPR-bírságok összegszerűsége vonatkozásában az előző pénzügyi év teljes világpiaci forgalma irányadó. Ennek alkalmazása kapcsán a bírságolás körében megjelent az érintett vállalkozás előző évi eredménykimutatásának vizsgálata és az adózás előtti eredményadatok figyelembevétele. A NAIH által a türelmi időszakot követően kiszabott GDPR-bírságok összege eddig párszázezer forint és 30 millió forint közötti értéktartományban mozgott. A bírság összege természetesen a cégek árbevételének és adózás előtti eredményének nagyságával összevetve mutat teljesebb képet.  Az eset körülményeire tekintettel és a társaságok konkrét pénzügyi adatainak relációjában minősül a kiszabott bírság a NAIH értékelése szerint „jelképes összegűnek”, „érezhető mértékűnek” vagy egyébként „arányosnak”. Az, hogy a hatóság mérlegelési jogkörében eljárva jelképes vagy érezhető mértékű bírság kiszabását látja indokoltnak, mindig a konkrét eset egyéb összes körülményeinek a függvénye.

Egy konkrét GDPR-bírságolási esetben a NAIH az enyhítő körülmények számbavételekor rögzítette, hogy az, hogy a kötelezett a hatóság adatközlésre felhívó végzéseire határidőben válaszol önmagában nem enyhítő körülmény, mivel „e körben az ügyfél magatartása nem ment túl a jogszabályi kötelezettségei teljesítésén”. Ebből a megállapításból két következtetés vonható le:

• az egyik, hogy a bírságolás körében súlyosbító tényező lehet a hatóság végzéseiben foglaltak késedelmes és/vagy hiányos teljesítése,
• viszont enyhítő körülmény lehet, ha az eljárás alá vont a hozzá intézett felhívások határidőben történő teljesítésén túl valamilyen plusz hozzáadott értéket tud felmutatni.

Ez a hozzáadott érték például lehet olyan többletinformáció-szolgáltatás, amely hozzájárul a tényállás pontos, gyors és hatékony megállapításához, a kockázatok minél teljesebb körű azonosításához; az eljárás alá vont olyan gyors, önkéntes és hatékony proaktív cselekménye, amely minimalizálja a jogsértés hátrányos következményeit (fokozottan együttműködő magatartás stb).

Összességében elmondható tehát, hogy a bírság megállapítása egy komplex értékelési folyamat eredménye, amely érinti:

• az eljárás alá vont vállalat adatvédelmi megfelelőségi rendszerét (van, nincs, hiányos, teljes stb.)
• a konkrét problémát, ideértve az annak bekövetkeztéhez vezető folyamatot, a probléma egyedi körülményeit, valós és potenciális hatásait
• az eljárás alá vont vállalkozás incidens bekövetkezését követően tanúsított magatartását, illetve érinti az eljárás alá vont „előéletét” is abban a vonatkozásban, hogy jelentősége van annak, hogy korábban folyt-e az eljárás alá vonttal szemben adatvédelmi jogsértés miatt, az milyen eredménnyel zárult, és
• a vállalkozás gazdasági teljesítményét is.