GDPR: bírságok és tanulságok

2019. 08. 09., 12:31

Az európai cégek 57 százaléka gondolja úgy, hogy már a GDPR-szabályozás előírásainak megfelelően működik, 13 százalék még nem teljesíti teljes körűen az elvárásokat, 30 százalék pedig saját értékelése szerint még nem felel meg az adatvédelmi szabályozásnak – derült ki az European Business Award-on induló cégek körében végzett RSM-felmérés adataiból.

  • Az európai cégek 57 százaléka gondolja úgy, hogy már a GDPR-szabályozás előírásainak megfelelően működik, 13 százalék még nem teljesíti teljes körűen az elvárásokat, 30 százalék pedig saját értékelése szerint még nem felel meg az adatvédelmi szabályozásnak – derült ki az European Business Award-on induló cégek körében végzett RSM-felmérés adataiból.

Eközben a hazai és európai hatóságok már nem csupán a GDPR-szabályok betartásának monitorozását, de a bírságolást is megkezdték – figyelmeztet friss bejegyzésében dr. Oláh Tamás ügyvéd, az RSM Legal szakértője.

A cégek felkészültségének állapotáról a GDPR-szabályoknak való megfeleléssel foglalkozó belső szakemberek nyilatkoztak, akik szerint a GDPR-szabályozás betartásának terhei mellett a pozitív hatásokat is érzékelik a társaságok. A GDPR-nak megfelelően működő cégek közel háromnegyede előnyös vonásként emelte ki, hogy a szabályozási nyomás hatására az ügyféladatok kezelésének módjában sokat fejlődött, megerősítette informatikai biztonsági rendszerét és annak védelmét.  

A GDPR-bírságok főbb szempontjai

A szabályozás az életbelépése előtt nagyrészt a potenciálisan kiszabható bírság nagysága miatt került reflektorfénybe. A rendelkezések megsértése esetén a bírság maximális felső határa 20 millió euróig terjedhet, illetve vállalkozások esetén az előző pénzügyi év teljes világpiaci forgalmának 4 százalékáig van lehetőség bírságot kiszabni. A nemzetközi fórumokat követően a hazai adatvédelmi hatóság gyakorlatában is több GDPR-alapú bírság került kiszabásra, ezek alapján röviden összegezzük az eddigi bírságolási gyakorlat néhány jellemzőjét.

A bírságokkal szemben támasztott alapkövetelmények a hatékonyság, az arányosság és a visszatartó erő. Ez utóbbi, prevenciós követelmény egyrészről a speciális, másrészről a generális prevenciót is magában foglalja, és ez meg is jelenik a bírságolási gyakorlatban. A speciális prevenció célja, hogy ösztönözze a kötelezettet a konkrét jogsértéssel érintett gyakorlatának megváltoztatására, egy egyedi bírság generális prevenciós célja pedig az, hogy a többi piaci szereplő adatkezelési gyakorlatát a jogszerűség felé mozdítsa el. Ezen célok vizsgálata és „beárazása” megjelenik a gyakorlatban.

A kiszabható bírság maximumára is figyelemmel a tényleges bírság összegének megállapítása kapcsán a jogszabály tételesen felsorolja a figyelembe veendő konkrét szempontokat, amelyekre a NAIH következetesen hivatkozik is. Az összegszerűségre kiható módon jelentősége van például:

  • a szándékos elkövetésnek (például a jogsértés rendszerszintű, tehát állandó nem megfelelőségből, és nem pedig egyszeri figyelmetlenségből ered,
  • a jogsértés súlyosságának, amikor is például valamely érintetti joggal kapcsolatos a jogsértés,
  • annak, hogy egy vagy több jogszabályi rendelkezés került megsértésre
  • a kötelezettre (adatkezelőre) előírt technikai és szervezési intézkedések alacsony megvalósulási szintjének, például elavult IT-technológia használatának.

A NAIH GDPR bírságokból levonható következtetések

A technológiai háttér kapcsán érdemes figyelembe venni, hogy a NAIH saját IT-biztonsági munkatárs bevonásával jutott arra a következtetésre, hogy a kifogásolt technikai intézkedés elavult, és nem felel meg a GDPR által hivatkozott „tudomány és technológia állásának megfelelő” szintű technikai intézkedésnek. Vagyis az adatkezelő szubjektív megítélése a valamely technikai intézkedés megfelelőségének a vonatkozásában nem mérvadó.

A vállalkozásokra kiszabható GDPR-bírságok összegszerűsége vonatkozásában az előző pénzügyi év teljes világpiaci forgalma irányadó. Ennek alkalmazása kapcsán a bírságolás körében megjelent az érintett vállalkozás előző évi eredménykimutatásának vizsgálata és az adózás előtti eredményadatok figyelembevétele. A NAIH által a türelmi időszakot követően kiszabott GDPR-bírságok összege eddig párszázezer forint és 30 millió forint közötti értéktartományban mozgott. A bírság összege természetesen a cégek árbevételének és adózás előtti eredményének nagyságával összevetve mutat teljesebb képet.  Az eset körülményeire tekintettel és a társaságok konkrét pénzügyi adatainak relációjában minősül a kiszabott bírság a NAIH értékelése szerint „jelképes összegűnek”, „érezhető mértékűnek” vagy egyébként „arányosnak”. Az, hogy a hatóság mérlegelési jogkörében eljárva jelképes vagy érezhető mértékű bírság kiszabását látja indokoltnak, mindig a konkrét eset egyéb összes körülményeinek a függvénye.

Egy konkrét GDPR-bírságolási esetben a NAIH az enyhítő körülmények számbavételekor rögzítette, hogy az, hogy a kötelezett a hatóság adatközlésre felhívó végzéseire határidőben válaszol önmagában nem enyhítő körülmény, mivel „e körben az ügyfél magatartása nem ment túl a jogszabályi kötelezettségei teljesítésén”. Ebből a megállapításból két következtetés vonható le:

  • az egyik, hogy a bírságolás körében súlyosbító tényező lehet a hatóság végzéseiben foglaltak késedelmes és/vagy hiányos teljesítése,
  • viszont enyhítő körülmény lehet, ha az eljárás alá vont a hozzá intézett felhívások határidőben történő teljesítésén túl valamilyen plusz hozzáadott értéket tud felmutatni.

Ez a hozzáadott érték például lehet olyan többletinformáció-szolgáltatás, amely hozzájárul a tényállás pontos, gyors és hatékony megállapításához, a kockázatok minél teljesebb körű azonosításához; az eljárás alá vont olyan gyors, önkéntes és hatékony proaktív cselekménye, amely minimalizálja a jogsértés hátrányos következményeit (fokozottan együttműködő magatartás stb).

Összességében elmondható tehát, hogy a bírság megállapítása egy komplex értékelési folyamat eredménye, amely érinti:

  • az eljárás alá vont vállalat adatvédelmi megfelelőségi rendszerét (van, nincs, hiányos, teljes stb.)
  • a konkrét problémát, ideértve az annak bekövetkeztéhez vezető folyamatot, a probléma egyedi körülményeit, valós és potenciális hatásait
  • az eljárás alá vont vállalkozás incidens bekövetkezését követően tanúsított magatartását, illetve érinti az eljárás alá vont „előéletét” is abban a vonatkozásban, hogy jelentősége van annak, hogy korábban folyt-e az eljárás alá vonttal szemben adatvédelmi jogsértés miatt, az milyen eredménnyel zárult, és
  • a vállalkozás gazdasági teljesítményét is.
Ha tetszett a cikk, kövesse az ÜZLETEMET
a Facebookon!

Még több friss hír

  BIZNISZPLUSZ PODCAST

2024. 06. 17., 22:50
epizód: 2024 / 12   |   hossz: 24:28
Minden nyári szünetben diákok tízezrei jelennek meg a munkaerőpiacon, hogy pénzt gyűjtsenek és szakmai tapasztalatokat szerezzenek. A 25 év alattiak számára elérhető szja-kedvezmény révén sokan mentesülnek az adófizetés alól, ám a foglalkoztatás jogviszonya eltérő adózási kötelezettségeket róhat rájuk, amiből baj lehet, ha nem figyelnek rá. Horváthné Szabó Beáta, a Moore Hungary adótanácsadó szakértője nemcsak ezeket a szabályokat veszi sorra, de bemutatja az iskolaszövetkezeten keresztüli foglalkoztatás, valamint a külföldön tanuló vagy külföldi diákok hazai munkavégzésének kritériumait is.
A hazai utasbiztosítási piac egyik legalapvetőbb problémáinak egyike az, hogy az ügyfelek még mindig túl sokat akarnak spórolni rajta, holott a nyaralás költségének csak elhanyagolható töredékét teszi ki – hívta fel a figyelmet a PBA Insura Zrt. vezérigazgatója. Dr. Kozma Gábor jelezte: a legolcsóbb és az 1–2 ezer forinttal többért kötött prémium biztosítás szolgáltatásai között óriási különbség tátong, és erre az utolsó pillanatban – mert bizony akkor kötjük – már nem biztos, hogy felfigyelünk.
Női pék, cukrász, kaviárszakértő is helyet kapott a rendezvény nagyszínpadán, hogy a fő téma, a „női energiák” mentén bemutassák a művészi szintre emelt szakmájukat. Nemes Richárd főszervező elárulja, hogy hogyan lehet még fenntarthatóbban működtetni egy műfajából adódóan sok hulladékkal járó gasztronómiai rendezvényt vagy milyen egyszerű ételekkel tudnak nagyot alkotni a Gourmet Fesztiválon bemutatkozó konyhák mesterei. Ha mindez nem lenne elég, kifejti, hogy a fine dining milyen vonásokkal ruházta fel a magyar vendéglátást az utóbbi pár évben és például hogyan lehet „veganizálni” megszokott fogásokat, amelyek ettől csak még jobbak lesznek! Vigyázat, étvágygerjesztő epizód!

  NÉPSZERŰ HÍREK

  Rovathírek: GUSTO

  Rovathírek: ATOMBUSINESS