A bírság kiszabása során értékelendő szempontok

Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A Wolters Kluwer Hungary gondozásában, dr. Buzás Péter, dr. Péterfalvi Attila és dr. Révész Balázs szerkesztésében megjelent, Magyarázat a GDPR-ról című könyv a korábbi magyarázat új, hatályosított és bővített kiadása. A kötet célja, hogy közérthetően, mégis a szakértő szemével mutassa be az Európai Unió adatvédelmi keretrendszerének alapját képező rendelet egyes előírásait, jogintézményeit. Mindezt úgy, hogy a leírtakat az adatvédelem iránt elkötelezett szakértők, az adatkezelők és adatfeldolgozók, a jogalkalmazók, illetve a terület iránt érdeklődő laikusok a gyakorlatban is hasznosítani tudják. Az alábbiakban a műnek a bírság kiszabása során értékelendő szempontokra vonatkozó részéből olvashatnak egy részletet.

Az egységes bírságkiszabási gyakorlat elősegítése érdekében a GDPR meghatározza azokat a szempontokat, amelyeket a felügyeleti hatóságok kötelesek figyelembe venni e jogkövetkezmény alkalmazása során. A tényezők alapján vizsgálandó, hogy egyáltalán szükség van-e közigazgatási bírság kiszabására, illetve ha igen, akkor annak mi a felső határa, és a bírság konkrét összege miként állapítható meg [GDPR (150) preambulumbekezdés]. Az értékelésnek figyelemmel kell lennie az adott ügy egyedi jellemzőire is, ugyanakkor a NAIH-nak széles mérlegelési lehetősége van a tekintetben, hogy melyek azok a szempontok, amelyek az adott ügy tekintetében relevánsak lehetnek és melyek nem. A mérlegelés folyamatának, a figyelembe vett szempontok súlyozásának ugyanakkor átláthatónak kell lennie, valamint teljesülnie kell bizonyos alapvető okszerűségi szempontoknak is ahhoz, hogy a hatósági döntés megalapozott legyen (Kf.III.37.998/2019/10.).

8. táblázat: A bírság szempontrendszere

A bírság kiszabásának szempontrendszere

a jogsértés természete

felróhatóság

kárenyhítésben való közreműködés

felelősség

korábbi jogsértések

együttműködés a hatósággal

személyes adatok kategóriái

a jogsértésről való tudomásszerzés módja

korrekciós intézkedések végrehajtása

magatartási kódex alkalmazása

egyéb súlyosbító vagy enyhítő körülmények

A) A jogsértés természete

A bírságok kiszabása során mindenekelőtt a jogsértés természetéből kell kiindulni, azaz hogy a személyes adatok védelméhez fűződő joggal ellentétes tevékenység milyen jellegű, súlyosságú és időtartamú [GDPR 83. cikk (2) bekezdés a) pont]. Egyrészt maga a GDPR kategorizálja jellegük szerint az adatkezelőket vagy adatfeldolgozókat terhelő kötelezettségeket. Eszerint enyhébb megítélés alá eshet és így alacsonyabb a bírság felső határa, amennyiben az adatkezelő vagy adatfeldolgozó nem tesz eleget a gyermek hozzájárulására, a tanúsító szervezet, illetve az ellenőrző szervezet kötelezettségeire vonatkozó rendelkezéseknek. Súlyosabb a jogsértés viszont, ha nem teljesülnek az adatkezelés elveire, az érintettek jogaira, a személyes adatok külföldi továbbítására, az adatkezelés különös eseteire vonatkozó előírások. Szintén ide sorolandó az az eset is, amikor az adatkezelő vagy adatfeldolgozó nem tesz eleget a felügyeleti hatóság utasításának, felszólításának, vagy pedig nem biztosítja az eljárás során a hozzáférést a szükséges adatokhoz.

A GDPR emellett ismeri a „rendelet kisebb megsértésének” fogalmát is [GDPR (148) preambulumbekezdés]. Ebbe a körbe olyan ügyek tartoznak, amelyek a bírság kiszabására okot adó egy vagy több kötelezettség sérelmét is megvalósítják, de amelyek – az eset körülményeire tekintettel – nem befolyásolják érdemben e kötelezettségek lényegét. Példaként említhető, ha egy incidens nem jelent jelentős kockázatot az érintettek jogaira nézve. Az ilyen esetekben bírság helyett megrovás is alkalmazható lesz (WP 253).

A jogsértés jellege, valamint az adatkezelés célja, az érintettek száma, az elszenvedett kár mértéke utal a jogsértés súlyosságára. Egyrészt vizsgálandó, hogy az adatkezelésnek volt-e meghatározott és jogszerű célja, illetve hogy az egyes műveletek mennyiben voltak e céllal összeegyeztethetők. Másrészt mérlegelni kell, hogy egyedi, elszigetelt esetről van-e szó, vagy a jogsértés kiterjedt, rendszerszintű. Végezetül pedig figyelembe kell venni a jogsértés révén érintett adatalanyok által elszenvedett kár mértékét is (WP 253).

A jogsértés lehet folyamatos, bizonyos időközönként vagy meghatározott időpontokban megismételt, vagy akár időszakos is. Az időtartamot azért szükséges figyelembe venni, mert az utalhat az adatkezelő vagy adatfeldolgozó szándékéra, a neki való felróhatóságra, valamint a jogszerű és biztonságos adatkezelés megteremtéséhez szükséges intézkedések hiányára. E tényező ily módon pedig más, a bírság szempontjából releváns indokok meglétét is megalapozhatja.

B) Felróhatóság

Bírság kiszabása esetén mérlegelni kell az adatkezelő vagy adatfeldolgozó felróható magatartását is [GDPR 83. cikk (2) bekezdés b) pont]. Szándékosság tekintetében figyelembe veendő az, hogy az adott személy vagy szerv mennyire volt tisztában az általa elkövetett jogsértés jellemzőivel, illetve, hogy szándéka milyen módon és mértékben terjedt ki a jogsértésre. A gondatlanság esete jellemzően akkor áll fenn, amikor az adatkezelő vagy adatfeldolgozó nem szándékozott jogsértést elkövetni, de elmulasztotta megtenni az elvárható gondosság keretében meghozandó intézkedéseket, ami így a személyes adatok védelméhez fűződő jog sérelméhez vezetett. A szándékos jogsértés súlyosabb megítélés alá esik, mint a gondatlan, ezért nagyobb valószínűséggel teszi szükségessé bírság kiszabását (WP 253).

Az adatkezelő vagy adatfeldolgozó szándékára rendszerint a releváns magatartás objektív elemeinek értékelése és azonosítása alapján lehet következtetni. A szándékos jogsértésre utaló körülmények közé tartozhat az olyan jogellenes adatkezelés, melynek során a külső vagy belső előírásokat és az adatvédelmi tisztviselő véleményét tudatosan semmibe veszik. Nagymértékben felróható az adatkezelőnek, ha a számára a GDPR-ban előírt kötelezettségeket hagyja tudatosan figyelmen kívül. Így szándékosnak minősül a jogsértés, amennyiben az adatkezelő a magas kockázati besorolású incidensről való tudomásszerzést követően nem tesz hatósági bejelentést és az érintetteket sem tájékoztatja az esetről (NAIH/2019/2668/2.).

Gondatlanságra lehet viszont következtetni például nem megfelelő jogértelmezés, emberi hiba előfordulása, a megfelelő ellenőrzések elvégzésének vagy a releváns szabályzatok időben történő megalkotásának elmulasztása esetén. Ilyennek minősül például az a jogsértés, amely egy nemzeti jogban hatályos, de a GDPR rendelkezéseivel ellentétes előíráson alapul. A NAIH ilyen körülménynek tekintette azt, hogy az adatkezelő az Szvtv. – az érintetti jog gyakorlására irányuló kérelem idején még hatályos – 31. § (6) bekezdése alapján az adatalany érintettségének igazolásához kötötte az elektronikus megfigyelőrendszer által rögzített felvételek zárolását. Ez a rendelkezés az uniós jog elsőbbségének elve alapján ugyan nem lett volna alkalmazható, de a hatályos jogszabályi rendelkezés „félrevezethette” az adatkezelőt az érintett kérelmének elbírálása során (NAIH/2018/5559/H.). Nem lehet azonban gondatlanságra hivatkozni akkor, ha nem állnak megfelelő erőforrások az adatkezelők és az adatfeldolgozók rendelkezésére. Az ilyen „kényelmi” szempontokat ugyanis nem lehet figyelembe venni a felelősség alóli mentesülés érdekében (WP 253).

C) A kár enyhítése érdekében tett bármely intézkedések

Amennyiben a jogsértés következtében az érintett kárt szenvedett, akkor az adatkezelő vagy adatfeldolgozó egyrészt – a korábban ismertetett szabályok alapján – köteles a kárt megtéríteni. Ez azonban nem jelenti azt, hogy a kártérítésen kívül ne terhelné az adott személyt vagy szervet további kötelezettség is a jogsértés bekövetkeztét követően. Ilyen esetekben ugyanis az adatkezelő és az adatfeldolgozó köteles minden tőle telhetőt megtenni a hátrányos következmények, különösen a kár elhárítása vagy csökkentése érdekében. E magatartást vagy annak hiányát a felügyeleti hatóságok minden esetben figyelembe veszik a szankció kiszámítása során. A korrekciós intézkedések tehát befolyásolhatják a felelősség mértékét [GDPR 83. cikk (2) bekezdés c) pont].

D) Az adatkezelő vagy az adatfeldolgozó felelősségének mértéke

Szintén a felelősség mértékét befolyásoló tényező az, hogy az adatkezelő vagy adatfeldolgozó mennyiben felelt meg az adatbiztonság követelményének, illetve a beépített vagy alapértelmezett adatvédelem elvének [GDPR 83. cikk (2) bekezdés d) pont]. A vonatkozó előírások arra kötelezik az érintett személyeket vagy szerveket, hogy a tudomány és technológia állása, a megvalósítás költségei, az adatkezelés természete, illetve a kockázatok figyelembevételével megfelelő technikai és szervezeti intézkedésekkel biztosítsák az érintettek jogait és szabadságait, különös tekintettel az adatkezelésre [lásd GDPR 25. cikk (1)-(2) bekezdés és 32. cikk (1) bekezdés]. Szükséges továbbá az is, hogy a szervezet megfelelő módon alkalmazza a releváns adatvédelmi szabályzat rendelkezéseit is [GDPR 24. cikk (2) bekezdés].

E kötelezettségek vizsgálatakor a felügyeleti hatóságnak azt kell mérlegelnie, hogy az adatkezelő vagy adatfeldolgozó végrehajtotta-e, ha igen, akkor milyen módon és mértékben a szóban forgó intézkedéseket (NAIH/2020/1160/10.). Figyelemmel kell továbbá lenni a lehetséges jó gyakorlatokra, az iparági szabványok, valamint a magatartási kódexek rendelkezésire is. Az adatvédelmi hatóságoknak a felelősség mértékének megállapításakor ugyanakkor továbbra is tekintettel kell lenniük az egyes egyedi esetek sajátosságaira (WP 253).

E) A korábban elkövetett releváns jogsértések

A felügyeleti hatóság köteles figyelembe venni a jogsértést elkövető adatkezelő vagy adatfeldolgozó „előéletét” is [GDPR 83. cikk (2) bekezdés e) pont]. E tekintetben elsősorban a korábban elkövetett ugyanolyan vagy ugyanolyan módon elkövetett esetek jöhetnek elsődlegesen számításba. Emellett azonban – az adott ügy körülményeire tekintettel – értékelni lehet a GDPR rendelkezéseinek bármely megsértését is, mivel az az adatvédelmi ismeretek hiányosságaira vagy az előírások tudatos vagy szándékos figyelmen kívül hagyására is utalhatnak (WP 253).

F) A felügyeleti hatósággal folytatott együttműködés

Értékelés tárgyát képezheti az adatkezelő vagy adatfeldolgozó felügyeleti hatósággal való együttműködésének mértéke [GDPR 83. cikk (2) bekezdés f) pont]. E tekintetben elsősorban az vizsgálandó, hogy a vizsgálat alá vont szervezet vagy személy milyen mértékben tett eleget az adatvédelmi hatóság kéréseinek, és hogy ennek következtében elhárultak vagy mérséklődtek-e a hátrányos jogkövetkezmények. Enyhítő körülménynek minősülhet például az, ha az adatkezelő belső vizsgálatot folytat le a vizsgált esettel összefüggésben, amelynek eredményéről a NAIH-ot is tájékoztatja, mivel így hozzájárul az eljárás tárgyát képező jogsértés feltárásához. Ugyanakkor a hozzáférési lehetőség biztosítása a felügyeleti hatóság részére a vizsgálati hatáskör keretében, valamint más, jogszabályban meghatározott együttműködési kötelezettség teljesítése olyan tényező, amelyet nem lehet figyelembe venni (WP 253).

G) A jogsértés által érintett személyes adatok kategóriái

A bírság kiszabását befolyásolja az a tényező, hogy a vizsgált adatkezelés a személyes adatok mely kategóriaira terjed ki [GDPR 83. cikk (2) bekezdés g) pont]. Egyrészt a személyes adatok különleges kategóriáiba tartozó információk jogellenes kezelése rendkívüli mértékű hatást gyakorolhat az érintett magánéletére, társas és más kapcsolataira (lásd GDPR 9-10. cikk). Emellett az ún. „fokozottan személyes jellegű adatok” – például elektronikus hírközlési tevékenységekhez kapcsolódó, helymeghatározó vagy pénzügyi adatok – felhasználása is jelentős mértékben fokozza az egyének jogait és szabadságait érintő lehetséges kockázatokat (WP 248).

H) A felügyeleti hatóság tudomásszerzése a jogsértésről

Vizsgálandó tényező, hogy a felügyeleti hatóság miként szerzett tudomást a jogsértésről [GDPR 83. cikk (2) bekezdés h) pont]. Értesülhet a jogellenes adatkezelésről az érintett panasza, az adatkezelő vagy adatfeldolgozó, esetleg egy harmadik személy bejelentése alapján. Továbbá az információk forrása lehet például a sajtó is. Az olyan jelzés, bejelentés azonban, amelynek megtételére az adatkezelőt jogszabály kötelezi, figyelmen kívül hagyandó (WP 253). Példaként említhető az incidensekkel kapcsolatos bejelentési kötelezettség [lásd GDPR 33. cikk (1) bekezdés].

I) A korrekciós intézkedések végrehajtása

A felügyeleti hatóság mérlegelheti, hogy az adott adatkezelő vagy adatfeldolgozó mennyiben tett eleget egy korábbi eljárás keretében foganatosított, korrekciós hatáskörben hozott intézkedésnek [GDPR 83. cikk (2) bekezdés i) pont]. E tényező is tulajdonképpen az adatvédelmi hatósággal való együttműködésre, kapcsolattartásra utaló információk vizsgálatát teszi szükségessé olyan esetekben, amikor azonos szerv vagy személy korábban már ugyanabban a tárgyban követett el jogsértést (WP 253). Ugyanakkor nem lehet figyelembe venni azt, ha az adatkezelő vagy adatfeldolgozó bíróság előtt támadta meg a felügyeleti hatóság korábbi döntését.

J) Magatartási kódex alkalmazása

A jóváhagyott magatartási kódexek rendelkezései lehetővé teszik adatkezelők vagy adatfeldolgozók ellenőrzését a GDPR előírásainak betartása szempontjából [GDPR 40. cikk (4) bekezdés]. A kódexnek megfelelő eljárás ugyanakkor befolyásolhatja azt is, hogy a felügyeleti hatóság hoz-e, és ha igen, akkor milyen intézkedést hoz korrekciós hatáskörében eljárva [GDPR 83. cikk (2) bekezdés j) pont]. Ez adott esetben azt is jelentheti, hogy az adott magatartási kódex alapján hozott intézkedéseket a felügyeleti hatóság tekintheti kellően hatékonynak, arányosnak vagy visszatartó erejűnek, így eltekinthet a további szankciók alkalmazásától. Az adatvédelmi hatóság ugyanakkor dönthet úgy is, hogy nem veszi figyelembe a kódex szerinti szankciókat (WP 253).

K) Egyéb súlyosbító vagy enyhítő tényezők

Végezetül figyelembe kell venni a jogsértéssel kapcsolatos egyéb súlyosbító vagy enyhítő körülményeket is közigazgatási bírság kiszabásakor [GDPR 83. cikk (2) bekezdés k) pont]. Ilyen például a jogsértés révén közvetlen vagy közvetett módon szerzett pénzügyi nyereség, vagy az ily módon elkerült veszteség. A vonatkozó információk azért jelentősek, mivel a gazdasági haszon nem ellentételezhető olyan intézkedésekkel, amelyeknek nincsen pénzbeli összetevőjük, így a bírság alkalmazása szükséges lehet (WP 253). A NAIH rendszerint megvizsgálja továbbá az adott szervezet rendelkezésére álló pénzeszközöket, azaz az adatkezelő vagy adatfeldolgozó pénzügyi helyzetét is. Így adott esetben a bírság értékét befolyásoló tényező lehet az adózás előtti eredmény, az esetleges árbevétel, valamint az előirányzott vagy aktuális költségvetés mértéke (lásd NAIH/2019/2485/20., NAIH/2019/3633/10.).

Végezetül a bírságkiszabás során figyelembe lehet venni speciális és generális prevenciós célokat is. Előbbi körben egy adott adatkezelő gyakorlatának felülvizsgálatát és az újabb jogsértéstől való visszatartását lehet említeni. A generális prevenciós célok közé pedig egy teljes ágazat jogkövető magatartásának kikényszerítése tartozik (NAIH/2019/2526/2.).

A cikk a Wolters Kluwer Hungary Kft. termékeire/szolgáltatásaira vonatkozó reklámot tartalmaz.

---

---