GDPR: bírságok és tanulságok

2019. 08. 09., 12:31

Az európai cégek 57 százaléka gondolja úgy, hogy már a GDPR-szabályozás előírásainak megfelelően működik, 13 százalék még nem teljesíti teljes körűen az elvárásokat, 30 százalék pedig saját értékelése szerint még nem felel meg az adatvédelmi szabályozásnak – derült ki az European Business Award-on induló cégek körében végzett RSM-felmérés adataiból.

  • Az európai cégek 57 százaléka gondolja úgy, hogy már a GDPR-szabályozás előírásainak megfelelően működik, 13 százalék még nem teljesíti teljes körűen az elvárásokat, 30 százalék pedig saját értékelése szerint még nem felel meg az adatvédelmi szabályozásnak – derült ki az European Business Award-on induló cégek körében végzett RSM-felmérés adataiból.

Eközben a hazai és európai hatóságok már nem csupán a GDPR-szabályok betartásának monitorozását, de a bírságolást is megkezdték – figyelmeztet friss bejegyzésében dr. Oláh Tamás ügyvéd, az RSM Legal szakértője.

A cégek felkészültségének állapotáról a GDPR-szabályoknak való megfeleléssel foglalkozó belső szakemberek nyilatkoztak, akik szerint a GDPR-szabályozás betartásának terhei mellett a pozitív hatásokat is érzékelik a társaságok. A GDPR-nak megfelelően működő cégek közel háromnegyede előnyös vonásként emelte ki, hogy a szabályozási nyomás hatására az ügyféladatok kezelésének módjában sokat fejlődött, megerősítette informatikai biztonsági rendszerét és annak védelmét.  

A GDPR-bírságok főbb szempontjai

A szabályozás az életbelépése előtt nagyrészt a potenciálisan kiszabható bírság nagysága miatt került reflektorfénybe. A rendelkezések megsértése esetén a bírság maximális felső határa 20 millió euróig terjedhet, illetve vállalkozások esetén az előző pénzügyi év teljes világpiaci forgalmának 4 százalékáig van lehetőség bírságot kiszabni. A nemzetközi fórumokat követően a hazai adatvédelmi hatóság gyakorlatában is több GDPR-alapú bírság került kiszabásra, ezek alapján röviden összegezzük az eddigi bírságolási gyakorlat néhány jellemzőjét.

A bírságokkal szemben támasztott alapkövetelmények a hatékonyság, az arányosság és a visszatartó erő. Ez utóbbi, prevenciós követelmény egyrészről a speciális, másrészről a generális prevenciót is magában foglalja, és ez meg is jelenik a bírságolási gyakorlatban. A speciális prevenció célja, hogy ösztönözze a kötelezettet a konkrét jogsértéssel érintett gyakorlatának megváltoztatására, egy egyedi bírság generális prevenciós célja pedig az, hogy a többi piaci szereplő adatkezelési gyakorlatát a jogszerűség felé mozdítsa el. Ezen célok vizsgálata és „beárazása” megjelenik a gyakorlatban.

A kiszabható bírság maximumára is figyelemmel a tényleges bírság összegének megállapítása kapcsán a jogszabály tételesen felsorolja a figyelembe veendő konkrét szempontokat, amelyekre a NAIH következetesen hivatkozik is. Az összegszerűségre kiható módon jelentősége van például:

  • a szándékos elkövetésnek (például a jogsértés rendszerszintű, tehát állandó nem megfelelőségből, és nem pedig egyszeri figyelmetlenségből ered,
  • a jogsértés súlyosságának, amikor is például valamely érintetti joggal kapcsolatos a jogsértés,
  • annak, hogy egy vagy több jogszabályi rendelkezés került megsértésre
  • a kötelezettre (adatkezelőre) előírt technikai és szervezési intézkedések alacsony megvalósulási szintjének, például elavult IT-technológia használatának.

A NAIH GDPR bírságokból levonható következtetések

A technológiai háttér kapcsán érdemes figyelembe venni, hogy a NAIH saját IT-biztonsági munkatárs bevonásával jutott arra a következtetésre, hogy a kifogásolt technikai intézkedés elavult, és nem felel meg a GDPR által hivatkozott „tudomány és technológia állásának megfelelő” szintű technikai intézkedésnek. Vagyis az adatkezelő szubjektív megítélése a valamely technikai intézkedés megfelelőségének a vonatkozásában nem mérvadó.

A vállalkozásokra kiszabható GDPR-bírságok összegszerűsége vonatkozásában az előző pénzügyi év teljes világpiaci forgalma irányadó. Ennek alkalmazása kapcsán a bírságolás körében megjelent az érintett vállalkozás előző évi eredménykimutatásának vizsgálata és az adózás előtti eredményadatok figyelembevétele. A NAIH által a türelmi időszakot követően kiszabott GDPR-bírságok összege eddig párszázezer forint és 30 millió forint közötti értéktartományban mozgott. A bírság összege természetesen a cégek árbevételének és adózás előtti eredményének nagyságával összevetve mutat teljesebb képet.  Az eset körülményeire tekintettel és a társaságok konkrét pénzügyi adatainak relációjában minősül a kiszabott bírság a NAIH értékelése szerint „jelképes összegűnek”, „érezhető mértékűnek” vagy egyébként „arányosnak”. Az, hogy a hatóság mérlegelési jogkörében eljárva jelképes vagy érezhető mértékű bírság kiszabását látja indokoltnak, mindig a konkrét eset egyéb összes körülményeinek a függvénye.

Egy konkrét GDPR-bírságolási esetben a NAIH az enyhítő körülmények számbavételekor rögzítette, hogy az, hogy a kötelezett a hatóság adatközlésre felhívó végzéseire határidőben válaszol önmagában nem enyhítő körülmény, mivel „e körben az ügyfél magatartása nem ment túl a jogszabályi kötelezettségei teljesítésén”. Ebből a megállapításból két következtetés vonható le:

  • az egyik, hogy a bírságolás körében súlyosbító tényező lehet a hatóság végzéseiben foglaltak késedelmes és/vagy hiányos teljesítése,
  • viszont enyhítő körülmény lehet, ha az eljárás alá vont a hozzá intézett felhívások határidőben történő teljesítésén túl valamilyen plusz hozzáadott értéket tud felmutatni.

Ez a hozzáadott érték például lehet olyan többletinformáció-szolgáltatás, amely hozzájárul a tényállás pontos, gyors és hatékony megállapításához, a kockázatok minél teljesebb körű azonosításához; az eljárás alá vont olyan gyors, önkéntes és hatékony proaktív cselekménye, amely minimalizálja a jogsértés hátrányos következményeit (fokozottan együttműködő magatartás stb).

Összességében elmondható tehát, hogy a bírság megállapítása egy komplex értékelési folyamat eredménye, amely érinti:

  • az eljárás alá vont vállalat adatvédelmi megfelelőségi rendszerét (van, nincs, hiányos, teljes stb.)
  • a konkrét problémát, ideértve az annak bekövetkeztéhez vezető folyamatot, a probléma egyedi körülményeit, valós és potenciális hatásait
  • az eljárás alá vont vállalkozás incidens bekövetkezését követően tanúsított magatartását, illetve érinti az eljárás alá vont „előéletét” is abban a vonatkozásban, hogy jelentősége van annak, hogy korábban folyt-e az eljárás alá vonttal szemben adatvédelmi jogsértés miatt, az milyen eredménnyel zárult, és
  • a vállalkozás gazdasági teljesítményét is.
Ha tetszett a cikk, kövesse az ÜZLETEMET
a Facebookon!

Még több friss hír

2023-01-30 17:22:00
Január 26-án, a budapesti SYMBOL-ban adták át a Marketing Diamond Awards 2022-es elismeréseit. Idén ismét a Billingo Technologies Zrt. lett „Az Év Megbízója”, a Kreatív Vonalak Kft. pedig a tavalyi évhez hasonlóan „Az Év Ügynöksége” díjat nyerte el. „Az Év Marketingnagykövete” címet pedig a Pentacom ügynökség érdemelte ki a 29 tagú, meghatározó hazai hirdetőkből és ügynökségi szakemberekből álló zsűri szavazatai alapján.

  BIZNISZPLUSZ PODCAST

2022. 11. 29., 23:30
epizód: 2022 / 12   |   hossz: 24:09
Étvágygerjesztő sikertörténetet tálalunk fel a vendéglátóiparból. Az encsi Anyukám mondta titkát elsősorban nem az olaszos hangulatban, hanem a hazai alapanyagokban, a család- és vendégszeretetben kereshetjük. Dudás Szabolcs, az étterem egyik vezetője arról is beszél, hogy miként lett a főzés szeretetéből, átgondolt stratégiával, üzleti vállalkozás. A sztori 1995-ben egy olaszországi pizzakóstolós utazással kezdődött, és ma már a kiváló helyeknek járó Bib Gourmand-díjnál tart.
A bérrendezés akkor észszerű, ha a vállalkozások megmaradnak és meg tudják tartani a munkahelyeket is – mondja Perlusz László. A Vállalkozók és Munkáltatók Országos Szövetségének főtitkára szerint a vállalkozások „jövőállóságát” nagyszabású állami programokkal lehetne biztosítani.
2022. 10. 11., 06:36
epizód: 2022 / 10   |   hossz: 21:36
A válság mélyülésével egyre nagyobb szükség lehet a KAVOSZ Zrt. által kínált Széchenyi Hitel MAX-ra, amely a mikro-, kis- és középvállalkozások számára, de még a kezdők előtt is nyitott opció – hangsúlyozta Krisán László. A KAVOSZ vezérigazgatójával tovább elemeztük a válságból kivezető európai, illetve magyarországi utakat.

  Rovathírek: GUSTO

  Rovathírek: ATOMBUSINESS