Az adatvédelmi bírság mértéke


A Wolters Kluwer Hungary gondozásában, dr. Buzás Péter, dr. Péterfalvi Attila és dr. Révész Balázs szerkesztésében megjelent, Magyarázat a GDPR-ról című könyv a korábbi magyarázat új, hatályosított és bővített kiadása. A kötet célja, hogy közérthetően, mégis a szakértő szemével mutassa be az Európai Unió adatvédelmi keretrendszerének alapját képező rendelet egyes előírásait, jogintézményeit. Mindezt úgy, hogy a leírtakat az adatvédelem iránt elkötelezett szakértők, az adatkezelők és adatfeldolgozók, a jogalkalmazók, illetve a terület iránt érdeklődő laikusok a gyakorlatban is hasznosítani tudják. Az alábbiakban a műnek a bírság mértékére vonatkozó részéből olvashatnak egy részletet.


A bírság nem új a magyar joggyakorlat szempontjából. Az Infotv. már a hatálybalépésekor lehetővé tette a NAIH számára, hogy az adatkezelőket százezertől tízmillió forintig terjedő bírsággal sújtsa, amelynek felső határát a jogalkotó később húszmillió forintra emelte [lásd Infotv. 2018. július 25-ig hatályos 61. § (3) bekezdését]. A rendelet azonban e tekintetben is új és egységes szabályokat tartalmaz.

A GDPR számos jogsértés esetén teszi lehetővé közigazgatási bírság kiszabását. A tagállamok joga emellett lehetővé vagy akár kötelezővé is teheti e jogkövetkezmény alkalmazását más rendelkezések megsértése esetén is. Az egyes jogsértések tekintetében ugyanakkor mindössze annak felső határát, a kiszabható legmagasabb összeget határozza meg. A felügyeleti hatóság ugyanakkor az eset körülményeinek és az arányosság elvének figyelembevételével dönt e szankció konkrét mértékéről (Infotv. 75/A. §). Például, amennyiben a felügyeleti hatóság azt észleli, hogy a bírság kiszabására okot adó események különböző bírságkategóriába tartoznak, akkor lehetősége van arra, hogy a legsúlyosabb jogsértés kategóriájának megfelelő bírságot szabjon ki (WP 253).

  1. táblázat: A bírság mértéke
 A bírság mértéke
 legfeljebb 10 000 000 EUR vagy a vállalkozás előző éves világpiaci forgalmának 2%-a  legfeljebb 20 000 000 EUR vagy a vállalkozás előző éves világpiaci forgalmának 4%-a
 gyermek hozzájárulására vonatkozó feltételek az információs társadalommal összefüggő szolgáltatások vonatkozásában  az adatkezelés elvei
 azonosítást nem igénylő adatkezelés  az érintett jogai
 adatkezelő és adatfeldolgozó  személyes adatok harmadik országbeli címzett vagy nemzetközi szervezet részére történő továbbítása
 adatbiztonság  az adatkezelés különös esetei
 tanúsítás  a felügyeleti hatóság utasításának, illetve az adatkezelés átmeneti vagy végleges korlátozására vagy az adatáramlás felfüggesztésére vonatkozó felszólításának be nem tartása, illetve a hozzáférés biztosításának elmulasztása
 jóváhagyott magatartási kódexeknek való megfelelés ellenőrzése  a felügyeleti hatóság utasításának be nem tartása

A fenti táblázatban feltüntetett egyes jogsértések esetén a bírsággal az adatkezelő vagy adatfeldolgozó sújtható, máskor viszont a jóváhagyott magatartási kódexeknek való megfelelést ellenőrző vagy a tanúsító szervezet ellen lehet azt kiszabni [lásd GDPR 83. cikk (4)-(6) bekezdés]. Amennyiben a jogsértést vállalkozás követi el, úgy e fogalom alatt egy olyan, anyavállalatból és valamennyi érintett leányvállalatból álló gazdasági egység értendő, amely kereskedelmi vagy gazdasági tevékenységet folytat [GDPR (150) preambulumbekezdés].

GDPR

Mentesülés a bírság alól

A GDPR felhatalmazza a nemzeti jogalkotót annak megállapítására, hogy – a felügyeleti hatóság korrekciós hatásköreinek sérelme nélkül – kiszabható-e közigazgatási bírság, és ha igen, milyen mértékben az adott tagállamban székhellyel rendelkező közhatalmi vagy egyéb, közfeladatot ellátó szervekkel szemben [GDPR 83. cikk (7) bekezdés]. Az Országgyűlés e tekintetben nem élt a mentesítés lehetőségével, ugyanakkor százezertől húszmillió forintig terjedő összegben maximalizálta a költségvetési szerv által elkövetett jogsértés miatt megállapítható bírság összegét [Infotv. 61. § (4) bekezdés b) pont].

Szintén lényeges szabály, amely bírság helyett megrovás alkalmazását teszi lehetővé akkor, ha az adatkezelő természetes személy, aki számára a kiszabott bírság aránytalan terhet jelentene [GDPR (148) preambulumbekezdés]. A magánszemély adatkezelők esetén a szankció arányosságának követelménye nem teljesülne megfelelő módon. Ezért szükség volt arra, hogy a felügyeleti hatóság számára mérlegelési jogkörben lehetővé tegyék alternatív jogkövetkezmények alkalmazását.

Ebben a tekintetben kiemelendő az Infotv., amely felhatalmazza a NAIH-ot arra, hogy figyelmeztetésben részesítse az adatkezelőt vagy adatfeldolgozót, amennyiben az adatvédelmi előírások első alkalommal történő megsértését észleli (Infotv. 75/A. §). Erre azonban csak akkor kerülhet sor, amennyiben – az ügy összes körülményeinek mérlegelése alapján – a hatóság enyhe jogkövetkezmény kiszabását tartja szükségesnek. Példaként említhető az az eset, amikor a jogsértés bekövetkeztétől számítva hosszú idő telt el, és az eset egyéb körülményei alapján a NAIH azt állapította meg, hogy a figyelmeztetés „megfelelő, kellő visszatartó erővel bíró jogkövetkezménynek tekinthető” (NAIH/2019/890.).

A cikk a Wolters Kluwer Hungary Kft. termékeire/szolgáltatásaira vonatkozó reklámot tartalmaz.




Kapcsolódó cikkek

2022. május 20.

Háborús bűnöket vizsgáló különleges törvényszék létrehozását javasolja az Európai Parlament

Nemzetközi törvényszék létrehozását javasolják európai parlamenti képviselők az ukrajnai háborúban elkövetett háborús bűncselekmények kivizsgálására. Az Európai Parlament (EP) állásfoglalást fogadott el erről, melyben az EP-képviselők felszólítják az uniós intézmények vezetőit, hogy tegyenek meg mindent az orosz és fehérorosz vezetők felelősségre vonásáért emberiesség elleni bűncselekmények, népirtás és az ukrajnai agresszió során elkövetett egyéb bűncselekmények miatt.

2022. május 20.

Megsemmisítette az AB a népszavazási kérdések hitelesítését

Alaptörvény-ellenesnek minősítette és megsemmisítette az Alkotmánybíróság (AB) a Kúria népszavazási kérdés hitelesítése tárgyában hozott végzéseit. Az Alkotmánybíróság döntése szerint a Fudan Egyetem ügyében a nemzetközi szerződés miatt, az álláskeresési járadék ügyében pedig a költségvetés érintettsége miatt nem lehet országos népszavazást tartani.

2022. május 20.

Szabályozott szakszervezeti képviseleti jogosultság

A munkáltatónál képviselettel rendelkező szakszervezet az, amelyik alapszabálya szerint a munkáltatónál képviseletére jogosult szervet működtet, vagy tisztségviselővel rendelkezik. Ennek azon feltétele, hogy az alapszabály szerint a munkáltatónál képviseletre jogosultság szabályozott legyen, egyaránt vonatkozik a munkáltatónál működő szakszervezeti szervre, illetve a szakszervezet munkáltatónál munkaviszonyban álló tisztségviselőjére is – a Kúria eseti döntése.