GDPR: bírságok és tanulságok

2019. 08. 09., 12:31

Az európai cégek 57 százaléka gondolja úgy, hogy már a GDPR-szabályozás előírásainak megfelelően működik, 13 százalék még nem teljesíti teljes körűen az elvárásokat, 30 százalék pedig saját értékelése szerint még nem felel meg az adatvédelmi szabályozásnak – derült ki az European Business Award-on induló cégek körében végzett RSM-felmérés adataiból.

  • Az európai cégek 57 százaléka gondolja úgy, hogy már a GDPR-szabályozás előírásainak megfelelően működik, 13 százalék még nem teljesíti teljes körűen az elvárásokat, 30 százalék pedig saját értékelése szerint még nem felel meg az adatvédelmi szabályozásnak – derült ki az European Business Award-on induló cégek körében végzett RSM-felmérés adataiból.

Eközben a hazai és európai hatóságok már nem csupán a GDPR-szabályok betartásának monitorozását, de a bírságolást is megkezdték – figyelmeztet friss bejegyzésében dr. Oláh Tamás ügyvéd, az RSM Legal szakértője.

A cégek felkészültségének állapotáról a GDPR-szabályoknak való megfeleléssel foglalkozó belső szakemberek nyilatkoztak, akik szerint a GDPR-szabályozás betartásának terhei mellett a pozitív hatásokat is érzékelik a társaságok. A GDPR-nak megfelelően működő cégek közel háromnegyede előnyös vonásként emelte ki, hogy a szabályozási nyomás hatására az ügyféladatok kezelésének módjában sokat fejlődött, megerősítette informatikai biztonsági rendszerét és annak védelmét.  

A GDPR-bírságok főbb szempontjai

A szabályozás az életbelépése előtt nagyrészt a potenciálisan kiszabható bírság nagysága miatt került reflektorfénybe. A rendelkezések megsértése esetén a bírság maximális felső határa 20 millió euróig terjedhet, illetve vállalkozások esetén az előző pénzügyi év teljes világpiaci forgalmának 4 százalékáig van lehetőség bírságot kiszabni. A nemzetközi fórumokat követően a hazai adatvédelmi hatóság gyakorlatában is több GDPR-alapú bírság került kiszabásra, ezek alapján röviden összegezzük az eddigi bírságolási gyakorlat néhány jellemzőjét.

A bírságokkal szemben támasztott alapkövetelmények a hatékonyság, az arányosság és a visszatartó erő. Ez utóbbi, prevenciós követelmény egyrészről a speciális, másrészről a generális prevenciót is magában foglalja, és ez meg is jelenik a bírságolási gyakorlatban. A speciális prevenció célja, hogy ösztönözze a kötelezettet a konkrét jogsértéssel érintett gyakorlatának megváltoztatására, egy egyedi bírság generális prevenciós célja pedig az, hogy a többi piaci szereplő adatkezelési gyakorlatát a jogszerűség felé mozdítsa el. Ezen célok vizsgálata és „beárazása” megjelenik a gyakorlatban.

A kiszabható bírság maximumára is figyelemmel a tényleges bírság összegének megállapítása kapcsán a jogszabály tételesen felsorolja a figyelembe veendő konkrét szempontokat, amelyekre a NAIH következetesen hivatkozik is. Az összegszerűségre kiható módon jelentősége van például:

  • a szándékos elkövetésnek (például a jogsértés rendszerszintű, tehát állandó nem megfelelőségből, és nem pedig egyszeri figyelmetlenségből ered,
  • a jogsértés súlyosságának, amikor is például valamely érintetti joggal kapcsolatos a jogsértés,
  • annak, hogy egy vagy több jogszabályi rendelkezés került megsértésre
  • a kötelezettre (adatkezelőre) előírt technikai és szervezési intézkedések alacsony megvalósulási szintjének, például elavult IT-technológia használatának.

A NAIH GDPR bírságokból levonható következtetések

A technológiai háttér kapcsán érdemes figyelembe venni, hogy a NAIH saját IT-biztonsági munkatárs bevonásával jutott arra a következtetésre, hogy a kifogásolt technikai intézkedés elavult, és nem felel meg a GDPR által hivatkozott „tudomány és technológia állásának megfelelő” szintű technikai intézkedésnek. Vagyis az adatkezelő szubjektív megítélése a valamely technikai intézkedés megfelelőségének a vonatkozásában nem mérvadó.

A vállalkozásokra kiszabható GDPR-bírságok összegszerűsége vonatkozásában az előző pénzügyi év teljes világpiaci forgalma irányadó. Ennek alkalmazása kapcsán a bírságolás körében megjelent az érintett vállalkozás előző évi eredménykimutatásának vizsgálata és az adózás előtti eredményadatok figyelembevétele. A NAIH által a türelmi időszakot követően kiszabott GDPR-bírságok összege eddig párszázezer forint és 30 millió forint közötti értéktartományban mozgott. A bírság összege természetesen a cégek árbevételének és adózás előtti eredményének nagyságával összevetve mutat teljesebb képet.  Az eset körülményeire tekintettel és a társaságok konkrét pénzügyi adatainak relációjában minősül a kiszabott bírság a NAIH értékelése szerint „jelképes összegűnek”, „érezhető mértékűnek” vagy egyébként „arányosnak”. Az, hogy a hatóság mérlegelési jogkörében eljárva jelképes vagy érezhető mértékű bírság kiszabását látja indokoltnak, mindig a konkrét eset egyéb összes körülményeinek a függvénye.

Egy konkrét GDPR-bírságolási esetben a NAIH az enyhítő körülmények számbavételekor rögzítette, hogy az, hogy a kötelezett a hatóság adatközlésre felhívó végzéseire határidőben válaszol önmagában nem enyhítő körülmény, mivel „e körben az ügyfél magatartása nem ment túl a jogszabályi kötelezettségei teljesítésén”. Ebből a megállapításból két következtetés vonható le:

  • az egyik, hogy a bírságolás körében súlyosbító tényező lehet a hatóság végzéseiben foglaltak késedelmes és/vagy hiányos teljesítése,
  • viszont enyhítő körülmény lehet, ha az eljárás alá vont a hozzá intézett felhívások határidőben történő teljesítésén túl valamilyen plusz hozzáadott értéket tud felmutatni.

Ez a hozzáadott érték például lehet olyan többletinformáció-szolgáltatás, amely hozzájárul a tényállás pontos, gyors és hatékony megállapításához, a kockázatok minél teljesebb körű azonosításához; az eljárás alá vont olyan gyors, önkéntes és hatékony proaktív cselekménye, amely minimalizálja a jogsértés hátrányos következményeit (fokozottan együttműködő magatartás stb).

Összességében elmondható tehát, hogy a bírság megállapítása egy komplex értékelési folyamat eredménye, amely érinti:

  • az eljárás alá vont vállalat adatvédelmi megfelelőségi rendszerét (van, nincs, hiányos, teljes stb.)
  • a konkrét problémát, ideértve az annak bekövetkeztéhez vezető folyamatot, a probléma egyedi körülményeit, valós és potenciális hatásait
  • az eljárás alá vont vállalkozás incidens bekövetkezését követően tanúsított magatartását, illetve érinti az eljárás alá vont „előéletét” is abban a vonatkozásban, hogy jelentősége van annak, hogy korábban folyt-e az eljárás alá vonttal szemben adatvédelmi jogsértés miatt, az milyen eredménnyel zárult, és
  • a vállalkozás gazdasági teljesítményét is.
Ha tetszett a cikk, kövesse az ÜZLETEMET
a Facebookon!

Még több friss hír

2024-12-05 10:05:00
Nagyon viszik a lakossági hiteleket az ügyfelek a bankoktól. A személyi kölcsönöknél az idei év mindenképpen rekordot hoz, de a lakáshiteleknél is nagy esély van erre. A babaváró támogatás iránti kereslet is megugrott hirtelen, hajrázhatnak azok, akiknek jövőre már nem jár ebből a nulla százalékos hitelből – derül ki a Bank360.hu elemzéséből.

  BIZNISZPLUSZ PODCAST

2024. 12. 04., 12:30
epizód: 2024 / 23   |   hossz: 20:22
A PwC Magyarország által, a Publicis Groupe Hungary megrendelésére készült kutatás szerint a Black Friday a korábbi 1–2 napról mára hosszabb kampányidőszakká nőtte ki magát. A vásárlók jelentős részét ennek ellenére nem befolyásolja az akciókkal teli esemény, az emberek egyre jobban hajlanak a tervezett vásárlásra, ahelyett, hogy hirtelen ingerek hatására költenének. Horváth Rita, a Publicis Groupe Hungary Chief Media Officere részletesen bemutatja, hogy mennyire elégedettek a vásárlók a promóciókkal, mennyire népszerűek a körükben a külföldi webshopok vagy éppen maga az online vásárlás, és hogy milyen körülmények miatt maradhatnak távol az év végi akcióktól.
A nyugdíjpénztárak vagyona nem várt mértékben gyarapodott az idén – jelezte az Önkéntes Pénztárak Országos Szövetsége (ÖPOSZ), amely szerint az öngondoskodók korábban egyetlen esztendő harmadik negyedében sem tettek félre olyan magas összeget egészségügyi és nyugdíjcélra, mint 2024-ben. Dr. Kravalik Gábor, az ÖPOSZ főtitkára ebben az epizódban vezeti le a kedvező tendencia okait, azt, hogy milyen motivációs tényezők vezettek a remek eredményhez, valamint azt is, hogy milyen módon és melyik korosztály pénzügyi tudatosságát lehetne még növelni.
2024. 11. 06., 09:35
epizód: 2024 / 21   |   hossz: 28:39
Az I. Nyílt Magyar Sommelier Bajnokság „Best Young Sommelier” kategóriájának idei győztese, Novák Dávid örömmel kampányol a borfogyasztás mint kulináris élmény mellett, hiszen egy jól kiválasztott ital új dimenzióval gazdagítja az étkezést. Az ízek és aromák összjátékának ismeretéhez hatalmas elméleti tudás kell, de az igazi kihívás az, hogy ráérezzen a vendég személyes preferenciáira. A VIRTU Restaurant sommelier-je cukrász múltjából és külföldi tapasztalataiból merítve vált profivá, pedig még csak a húszas éveit tapossa. Ebben az epizódban e különleges szakma szépségeiről és a borfogyasztás szertartásáról is mesél.

  Rovathírek: GUSTO

Idén már ötödik alkalommal rendezték meg Az Év Szaloncukra versenyt, amin az összes hazai szaloncukrokat gyártó cukrászda és gyártó szaloncukrai ringbe szállhattak.

  Rovathírek: ATOMBUSINESS