A bírság kiszabása során értékelendő szempontok


A Wolters Kluwer Hungary gondozásában, dr. Buzás Péter, dr. Péterfalvi Attila és dr. Révész Balázs szerkesztésében megjelent, Magyarázat a GDPR-ról című könyv a korábbi magyarázat új, hatályosított és bővített kiadása. A kötet célja, hogy közérthetően, mégis a szakértő szemével mutassa be az Európai Unió adatvédelmi keretrendszerének alapját képező rendelet egyes előírásait, jogintézményeit. Mindezt úgy, hogy a leírtakat az adatvédelem iránt elkötelezett szakértők, az adatkezelők és adatfeldolgozók, a jogalkalmazók, illetve a terület iránt érdeklődő laikusok a gyakorlatban is hasznosítani tudják. Az alábbiakban a műnek a bírság kiszabása során értékelendő szempontokra vonatkozó részéből olvashatnak egy részletet.


Az egységes bírságkiszabási gyakorlat elősegítése érdekében a GDPR meghatározza azokat a szempontokat, amelyeket a felügyeleti hatóságok kötelesek figyelembe venni e jogkövetkezmény alkalmazása során. A tényezők alapján vizsgálandó, hogy egyáltalán szükség van-e közigazgatási bírság kiszabására, illetve ha igen, akkor annak mi a felső határa, és a bírság konkrét összege miként állapítható meg [GDPR (150) preambulumbekezdés]. Az értékelésnek figyelemmel kell lennie az adott ügy egyedi jellemzőire is, ugyanakkor a NAIH-nak széles mérlegelési lehetősége van a tekintetben, hogy melyek azok a szempontok, amelyek az adott ügy tekintetében relevánsak lehetnek és melyek nem. A mérlegelés folyamatának, a figyelembe vett szempontok súlyozásának ugyanakkor átláthatónak kell lennie, valamint teljesülnie kell bizonyos alapvető okszerűségi szempontoknak is ahhoz, hogy a hatósági döntés megalapozott legyen (Kf.III.37.998/2019/10.).

  1. táblázat: A bírság szempontrendszere
 A bírság kiszabásának szempontrendszere
 a jogsértés természete
 felróhatóság
 kárenyhítésben való közreműködés
 felelősség
 korábbi jogsértések
 együttműködés a hatósággal
 személyes adatok kategóriái
 a jogsértésről való tudomásszerzés módja
 korrekciós intézkedések végrehajtása
 magatartási kódex alkalmazása
 egyéb súlyosbító vagy enyhítő körülmények

A) A jogsértés természete

A bírságok kiszabása során mindenekelőtt a jogsértés természetéből kell kiindulni, azaz hogy a személyes adatok védelméhez fűződő joggal ellentétes tevékenység milyen jellegű, súlyosságú és időtartamú [GDPR 83. cikk (2) bekezdés a) pont]. Egyrészt maga a GDPR kategorizálja jellegük szerint az adatkezelőket vagy adatfeldolgozókat terhelő kötelezettségeket. Eszerint enyhébb megítélés alá eshet és így alacsonyabb a bírság felső határa, amennyiben az adatkezelő vagy adatfeldolgozó nem tesz eleget a gyermek hozzájárulására, a tanúsító szervezet, illetve az ellenőrző szervezet kötelezettségeire vonatkozó rendelkezéseknek. Súlyosabb a jogsértés viszont, ha nem teljesülnek az adatkezelés elveire, az érintettek jogaira, a személyes adatok külföldi továbbítására, az adatkezelés különös eseteire vonatkozó előírások. Szintén ide sorolandó az az eset is, amikor az adatkezelő vagy adatfeldolgozó nem tesz eleget a felügyeleti hatóság utasításának, felszólításának, vagy pedig nem biztosítja az eljárás során a hozzáférést a szükséges adatokhoz.

A GDPR emellett ismeri a „rendelet kisebb megsértésének” fogalmát is [GDPR (148) preambulumbekezdés]. Ebbe a körbe olyan ügyek tartoznak, amelyek a bírság kiszabására okot adó egy vagy több kötelezettség sérelmét is megvalósítják, de amelyek – az eset körülményeire tekintettel – nem befolyásolják érdemben e kötelezettségek lényegét. Példaként említhető, ha egy incidens nem jelent jelentős kockázatot az érintettek jogaira nézve. Az ilyen esetekben bírság helyett megrovás is alkalmazható lesz (WP 253).

GDPR

A jogsértés jellege, valamint az adatkezelés célja, az érintettek száma, az elszenvedett kár mértéke utal a jogsértés súlyosságára. Egyrészt vizsgálandó, hogy az adatkezelésnek volt-e meghatározott és jogszerű célja, illetve hogy az egyes műveletek mennyiben voltak e céllal összeegyeztethetők. Másrészt mérlegelni kell, hogy egyedi, elszigetelt esetről van-e szó, vagy a jogsértés kiterjedt, rendszerszintű. Végezetül pedig figyelembe kell venni a jogsértés révén érintett adatalanyok által elszenvedett kár mértékét is (WP 253).

A jogsértés lehet folyamatos, bizonyos időközönként vagy meghatározott időpontokban megismételt, vagy akár időszakos is. Az időtartamot azért szükséges figyelembe venni, mert az utalhat az adatkezelő vagy adatfeldolgozó szándékéra, a neki való felróhatóságra, valamint a jogszerű és biztonságos adatkezelés megteremtéséhez szükséges intézkedések hiányára. E tényező ily módon pedig más, a bírság szempontjából releváns indokok meglétét is megalapozhatja.

B) Felróhatóság

Bírság kiszabása esetén mérlegelni kell az adatkezelő vagy adatfeldolgozó felróható magatartását is [GDPR 83. cikk (2) bekezdés b) pont]. Szándékosság tekintetében figyelembe veendő az, hogy az adott személy vagy szerv mennyire volt tisztában az általa elkövetett jogsértés jellemzőivel, illetve, hogy szándéka milyen módon és mértékben terjedt ki a jogsértésre. A gondatlanság esete jellemzően akkor áll fenn, amikor az adatkezelő vagy adatfeldolgozó nem szándékozott jogsértést elkövetni, de elmulasztotta megtenni az elvárható gondosság keretében meghozandó intézkedéseket, ami így a személyes adatok védelméhez fűződő jog sérelméhez vezetett. A szándékos jogsértés súlyosabb megítélés alá esik, mint a gondatlan, ezért nagyobb valószínűséggel teszi szükségessé bírság kiszabását (WP 253).

Az adatkezelő vagy adatfeldolgozó szándékára rendszerint a releváns magatartás objektív elemeinek értékelése és azonosítása alapján lehet következtetni. A szándékos jogsértésre utaló körülmények közé tartozhat az olyan jogellenes adatkezelés, melynek során a külső vagy belső előírásokat és az adatvédelmi tisztviselő véleményét tudatosan semmibe veszik. Nagymértékben felróható az adatkezelőnek, ha a számára a GDPR-ban előírt kötelezettségeket hagyja tudatosan figyelmen kívül. Így szándékosnak minősül a jogsértés, amennyiben az adatkezelő a magas kockázati besorolású incidensről való tudomásszerzést követően nem tesz hatósági bejelentést és az érintetteket sem tájékoztatja az esetről (NAIH/2019/2668/2.).

Gondatlanságra lehet viszont következtetni például nem megfelelő jogértelmezés, emberi hiba előfordulása, a megfelelő ellenőrzések elvégzésének vagy a releváns szabályzatok időben történő megalkotásának elmulasztása esetén. Ilyennek minősül például az a jogsértés, amely egy nemzeti jogban hatályos, de a GDPR rendelkezéseivel ellentétes előíráson alapul. A NAIH ilyen körülménynek tekintette azt, hogy az adatkezelő az Szvtv. – az érintetti jog gyakorlására irányuló kérelem idején még hatályos – 31. § (6) bekezdése alapján az adatalany érintettségének igazolásához kötötte az elektronikus megfigyelőrendszer által rögzített felvételek zárolását. Ez a rendelkezés az uniós jog elsőbbségének elve alapján ugyan nem lett volna alkalmazható, de a hatályos jogszabályi rendelkezés „félrevezethette” az adatkezelőt az érintett kérelmének elbírálása során (NAIH/2018/5559/H.). Nem lehet azonban gondatlanságra hivatkozni akkor, ha nem állnak megfelelő erőforrások az adatkezelők és az adatfeldolgozók rendelkezésére. Az ilyen „kényelmi” szempontokat ugyanis nem lehet figyelembe venni a felelősség alóli mentesülés érdekében (WP 253).

C) A kár enyhítése érdekében tett bármely intézkedések

Amennyiben a jogsértés következtében az érintett kárt szenvedett, akkor az adatkezelő vagy adatfeldolgozó egyrészt – a korábban ismertetett szabályok alapján – köteles a kárt megtéríteni. Ez azonban nem jelenti azt, hogy a kártérítésen kívül ne terhelné az adott személyt vagy szervet további kötelezettség is a jogsértés bekövetkeztét követően. Ilyen esetekben ugyanis az adatkezelő és az adatfeldolgozó köteles minden tőle telhetőt megtenni a hátrányos következmények, különösen a kár elhárítása vagy csökkentése érdekében. E magatartást vagy annak hiányát a felügyeleti hatóságok minden esetben figyelembe veszik a szankció kiszámítása során. A korrekciós intézkedések tehát befolyásolhatják a felelősség mértékét [GDPR 83. cikk (2) bekezdés c) pont].

D) Az adatkezelő vagy az adatfeldolgozó felelősségének mértéke

Szintén a felelősség mértékét befolyásoló tényező az, hogy az adatkezelő vagy adatfeldolgozó mennyiben felelt meg az adatbiztonság követelményének, illetve a beépített vagy alapértelmezett adatvédelem elvének [GDPR 83. cikk (2) bekezdés d) pont]. A vonatkozó előírások arra kötelezik az érintett személyeket vagy szerveket, hogy a tudomány és technológia állása, a megvalósítás költségei, az adatkezelés természete, illetve a kockázatok figyelembevételével megfelelő technikai és szervezeti intézkedésekkel biztosítsák az érintettek jogait és szabadságait, különös tekintettel az adatkezelésre [lásd GDPR 25. cikk (1)-(2) bekezdés és 32. cikk (1) bekezdés]. Szükséges továbbá az is, hogy a szervezet megfelelő módon alkalmazza a releváns adatvédelmi szabályzat rendelkezéseit is [GDPR 24. cikk (2) bekezdés].

E kötelezettségek vizsgálatakor a felügyeleti hatóságnak azt kell mérlegelnie, hogy az adatkezelő vagy adatfeldolgozó végrehajtotta-e, ha igen, akkor milyen módon és mértékben a szóban forgó intézkedéseket (NAIH/2020/1160/10.). Figyelemmel kell továbbá lenni a lehetséges jó gyakorlatokra, az iparági szabványok, valamint a magatartási kódexek rendelkezésire is. Az adatvédelmi hatóságoknak a felelősség mértékének megállapításakor ugyanakkor továbbra is tekintettel kell lenniük az egyes egyedi esetek sajátosságaira (WP 253).

E) A korábban elkövetett releváns jogsértések

A felügyeleti hatóság köteles figyelembe venni a jogsértést elkövető adatkezelő vagy adatfeldolgozó „előéletét” is [GDPR 83. cikk (2) bekezdés e) pont]. E tekintetben elsősorban a korábban elkövetett ugyanolyan vagy ugyanolyan módon elkövetett esetek jöhetnek elsődlegesen számításba. Emellett azonban – az adott ügy körülményeire tekintettel – értékelni lehet a GDPR rendelkezéseinek bármely megsértését is, mivel az az adatvédelmi ismeretek hiányosságaira vagy az előírások tudatos vagy szándékos figyelmen kívül hagyására is utalhatnak (WP 253).

F) A felügyeleti hatósággal folytatott együttműködés

Értékelés tárgyát képezheti az adatkezelő vagy adatfeldolgozó felügyeleti hatósággal való együttműködésének mértéke [GDPR 83. cikk (2) bekezdés f) pont]. E tekintetben elsősorban az vizsgálandó, hogy a vizsgálat alá vont szervezet vagy személy milyen mértékben tett eleget az adatvédelmi hatóság kéréseinek, és hogy ennek következtében elhárultak vagy mérséklődtek-e a hátrányos jogkövetkezmények. Enyhítő körülménynek minősülhet például az, ha az adatkezelő belső vizsgálatot folytat le a vizsgált esettel összefüggésben, amelynek eredményéről a NAIH-ot is tájékoztatja, mivel így hozzájárul az eljárás tárgyát képező jogsértés feltárásához. Ugyanakkor a hozzáférési lehetőség biztosítása a felügyeleti hatóság részére a vizsgálati hatáskör keretében, valamint más, jogszabályban meghatározott együttműködési kötelezettség teljesítése olyan tényező, amelyet nem lehet figyelembe venni (WP 253).

G) A jogsértés által érintett személyes adatok kategóriái

A bírság kiszabását befolyásolja az a tényező, hogy a vizsgált adatkezelés a személyes adatok mely kategóriaira terjed ki [GDPR 83. cikk (2) bekezdés g) pont]. Egyrészt a személyes adatok különleges kategóriáiba tartozó információk jogellenes kezelése rendkívüli mértékű hatást gyakorolhat az érintett magánéletére, társas és más kapcsolataira (lásd GDPR 9-10. cikk). Emellett az ún. „fokozottan személyes jellegű adatok” – például elektronikus hírközlési tevékenységekhez kapcsolódó, helymeghatározó vagy pénzügyi adatok – felhasználása is jelentős mértékben fokozza az egyének jogait és szabadságait érintő lehetséges kockázatokat (WP 248).

H) A felügyeleti hatóság tudomásszerzése a jogsértésről

Vizsgálandó tényező, hogy a felügyeleti hatóság miként szerzett tudomást a jogsértésről [GDPR 83. cikk (2) bekezdés h) pont]. Értesülhet a jogellenes adatkezelésről az érintett panasza, az adatkezelő vagy adatfeldolgozó, esetleg egy harmadik személy bejelentése alapján. Továbbá az információk forrása lehet például a sajtó is. Az olyan jelzés, bejelentés azonban, amelynek megtételére az adatkezelőt jogszabály kötelezi, figyelmen kívül hagyandó (WP 253). Példaként említhető az incidensekkel kapcsolatos bejelentési kötelezettség [lásd GDPR 33. cikk (1) bekezdés].

I) A korrekciós intézkedések végrehajtása

A felügyeleti hatóság mérlegelheti, hogy az adott adatkezelő vagy adatfeldolgozó mennyiben tett eleget egy korábbi eljárás keretében foganatosított, korrekciós hatáskörben hozott intézkedésnek [GDPR 83. cikk (2) bekezdés i) pont]. E tényező is tulajdonképpen az adatvédelmi hatósággal való együttműködésre, kapcsolattartásra utaló információk vizsgálatát teszi szükségessé olyan esetekben, amikor azonos szerv vagy személy korábban már ugyanabban a tárgyban követett el jogsértést (WP 253). Ugyanakkor nem lehet figyelembe venni azt, ha az adatkezelő vagy adatfeldolgozó bíróság előtt támadta meg a felügyeleti hatóság korábbi döntését.

J) Magatartási kódex alkalmazása

A jóváhagyott magatartási kódexek rendelkezései lehetővé teszik adatkezelők vagy adatfeldolgozók ellenőrzését a GDPR előírásainak betartása szempontjából [GDPR 40. cikk (4) bekezdés]. A kódexnek megfelelő eljárás ugyanakkor befolyásolhatja azt is, hogy a felügyeleti hatóság hoz-e, és ha igen, akkor milyen intézkedést hoz korrekciós hatáskörében eljárva [GDPR 83. cikk (2) bekezdés j) pont]. Ez adott esetben azt is jelentheti, hogy az adott magatartási kódex alapján hozott intézkedéseket a felügyeleti hatóság tekintheti kellően hatékonynak, arányosnak vagy visszatartó erejűnek, így eltekinthet a további szankciók alkalmazásától. Az adatvédelmi hatóság ugyanakkor dönthet úgy is, hogy nem veszi figyelembe a kódex szerinti szankciókat (WP 253).

K) Egyéb súlyosbító vagy enyhítő tényezők

Végezetül figyelembe kell venni a jogsértéssel kapcsolatos egyéb súlyosbító vagy enyhítő körülményeket is közigazgatási bírság kiszabásakor [GDPR 83. cikk (2) bekezdés k) pont]. Ilyen például a jogsértés révén közvetlen vagy közvetett módon szerzett pénzügyi nyereség, vagy az ily módon elkerült veszteség. A vonatkozó információk azért jelentősek, mivel a gazdasági haszon nem ellentételezhető olyan intézkedésekkel, amelyeknek nincsen pénzbeli összetevőjük, így a bírság alkalmazása szükséges lehet (WP 253). A NAIH rendszerint megvizsgálja továbbá az adott szervezet rendelkezésére álló pénzeszközöket, azaz az adatkezelő vagy adatfeldolgozó pénzügyi helyzetét is. Így adott esetben a bírság értékét befolyásoló tényező lehet az adózás előtti eredmény, az esetleges árbevétel, valamint az előirányzott vagy aktuális költségvetés mértéke (lásd NAIH/2019/2485/20., NAIH/2019/3633/10.).

Végezetül a bírságkiszabás során figyelembe lehet venni speciális és generális prevenciós célokat is. Előbbi körben egy adott adatkezelő gyakorlatának felülvizsgálatát és az újabb jogsértéstől való visszatartását lehet említeni. A generális prevenciós célok közé pedig egy teljes ágazat jogkövető magatartásának kikényszerítése tartozik (NAIH/2019/2526/2.).

A cikk a Wolters Kluwer Hungary Kft. termékeire/szolgáltatásaira vonatkozó reklámot tartalmaz.





Kapcsolódó cikkek

2022. január 26.

Emberi jogok ez EJEB gyakorlatában VI. – az oktatáshoz való jog

Élethez való, tisztességes eljáráshoz való jog, mozgásszabadság, kártalanításhoz való jog bírói hiba esetén – csak néhány olyan fogalom, amely jelen műben kibontásra vár. A Wolters Kluwer gondozásában megjelenő Emberi jogi kézikönyv az EJEB gyakorlata alapján című kiadványban Dr. Dudás Dóra Virág egészen az alapoktól építi fel az Emberi Jogok Európai Egyezményének megismerését, rendszerét, kialakulási körülményeit, fejlődését, alapértékeit és fókuszát, kikényszerítési mechanizmusát, azt, hogy az Egyezményt hogyan kell alkalmazni. Betekintést nyújt a strasbourgi bíróság szerepéről és működéséről, továbbá elmélyül az abszolút, erős, minősített, gyenge, kiegészítő jogok magyarázatában. Az alábbiakban a műnek az oktatáshoz való joggal foglalkozó részéből olvashatnak egy részletet.

2022. január 26.

Az állami szervek objektív személyiségi jogi felelősségét relativizáló joggyakorlatról 

Vitaindító írásunk témája az a bírói gyakorlat, amely az állami szerv által okozott személyiségi jogi jogsértés megállapításával kapcsolatos perekben a közigazgatási jogkörben okozott kár megtérítésével összefüggésben kialakult joggyakorlatot alkalmazza. Eszerint mérlegelési jogkörben hozott döntés esetén kirívó jogalkalmazási hiba szükséges a hatóság személyiségi jogsértésért való felelősségének megállapításához.