Az adatvédelmi bírság mértéke


Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.

A Wolters Kluwer Hungary gondozásában, dr. Buzás Péter, dr. Péterfalvi Attila és dr. Révész Balázs szerkesztésében megjelent, Magyarázat a GDPR-ról című könyv a korábbi magyarázat új, hatályosított és bővített kiadása. A kötet célja, hogy közérthetően, mégis a szakértő szemével mutassa be az Európai Unió adatvédelmi keretrendszerének alapját képező rendelet egyes előírásait, jogintézményeit. Mindezt úgy, hogy a leírtakat az adatvédelem iránt elkötelezett szakértők, az adatkezelők és adatfeldolgozók, a jogalkalmazók, illetve a terület iránt érdeklődő laikusok a gyakorlatban is hasznosítani tudják. Az alábbiakban a műnek a bírság mértékére vonatkozó részéből olvashatnak egy részletet.

A bírság nem új a magyar joggyakorlat szempontjából. Az Infotv. már a hatálybalépésekor lehetővé tette a NAIH számára, hogy az adatkezelőket százezertől tízmillió forintig terjedő bírsággal sújtsa, amelynek felső határát a jogalkotó később húszmillió forintra emelte [lásd Infotv. 2018. július 25-ig hatályos 61. § (3) bekezdését]. A rendelet azonban e tekintetben is új és egységes szabályokat tartalmaz.

A GDPR számos jogsértés esetén teszi lehetővé közigazgatási bírság kiszabását. A tagállamok joga emellett lehetővé vagy akár kötelezővé is teheti e jogkövetkezmény alkalmazását más rendelkezések megsértése esetén is. Az egyes jogsértések tekintetében ugyanakkor mindössze annak felső határát, a kiszabható legmagasabb összeget határozza meg. A felügyeleti hatóság ugyanakkor az eset körülményeinek és az arányosság elvének figyelembevételével dönt e szankció konkrét mértékéről (Infotv. 75/A. §). Például, amennyiben a felügyeleti hatóság azt észleli, hogy a bírság kiszabására okot adó események különböző bírságkategóriába tartoznak, akkor lehetősége van arra, hogy a legsúlyosabb jogsértés kategóriájának megfelelő bírságot szabjon ki (WP 253).

  1. táblázat: A bírság mértéke
 A bírság mértéke
 legfeljebb 10 000 000 EUR vagy a vállalkozás előző éves világpiaci forgalmának 2%-a  legfeljebb 20 000 000 EUR vagy a vállalkozás előző éves világpiaci forgalmának 4%-a
 gyermek hozzájárulására vonatkozó feltételek az információs társadalommal összefüggő szolgáltatások vonatkozásában  az adatkezelés elvei
 azonosítást nem igénylő adatkezelés  az érintett jogai
 adatkezelő és adatfeldolgozó  személyes adatok harmadik országbeli címzett vagy nemzetközi szervezet részére történő továbbítása
 adatbiztonság  az adatkezelés különös esetei
 tanúsítás  a felügyeleti hatóság utasításának, illetve az adatkezelés átmeneti vagy végleges korlátozására vagy az adatáramlás felfüggesztésére vonatkozó felszólításának be nem tartása, illetve a hozzáférés biztosításának elmulasztása
 jóváhagyott magatartási kódexeknek való megfelelés ellenőrzése  a felügyeleti hatóság utasításának be nem tartása

A fenti táblázatban feltüntetett egyes jogsértések esetén a bírsággal az adatkezelő vagy adatfeldolgozó sújtható, máskor viszont a jóváhagyott magatartási kódexeknek való megfelelést ellenőrző vagy a tanúsító szervezet ellen lehet azt kiszabni [lásd GDPR 83. cikk (4)-(6) bekezdés]. Amennyiben a jogsértést vállalkozás követi el, úgy e fogalom alatt egy olyan, anyavállalatból és valamennyi érintett leányvállalatból álló gazdasági egység értendő, amely kereskedelmi vagy gazdasági tevékenységet folytat [GDPR (150) preambulumbekezdés].

GDPR

Mentesülés a bírság alól

A GDPR felhatalmazza a nemzeti jogalkotót annak megállapítására, hogy – a felügyeleti hatóság korrekciós hatásköreinek sérelme nélkül – kiszabható-e közigazgatási bírság, és ha igen, milyen mértékben az adott tagállamban székhellyel rendelkező közhatalmi vagy egyéb, közfeladatot ellátó szervekkel szemben [GDPR 83. cikk (7) bekezdés]. Az Országgyűlés e tekintetben nem élt a mentesítés lehetőségével, ugyanakkor százezertől húszmillió forintig terjedő összegben maximalizálta a költségvetési szerv által elkövetett jogsértés miatt megállapítható bírság összegét [Infotv. 61. § (4) bekezdés b) pont].

Szintén lényeges szabály, amely bírság helyett megrovás alkalmazását teszi lehetővé akkor, ha az adatkezelő természetes személy, aki számára a kiszabott bírság aránytalan terhet jelentene [GDPR (148) preambulumbekezdés]. A magánszemély adatkezelők esetén a szankció arányosságának követelménye nem teljesülne megfelelő módon. Ezért szükség volt arra, hogy a felügyeleti hatóság számára mérlegelési jogkörben lehetővé tegyék alternatív jogkövetkezmények alkalmazását.

Ebben a tekintetben kiemelendő az Infotv., amely felhatalmazza a NAIH-ot arra, hogy figyelmeztetésben részesítse az adatkezelőt vagy adatfeldolgozót, amennyiben az adatvédelmi előírások első alkalommal történő megsértését észleli (Infotv. 75/A. §). Erre azonban csak akkor kerülhet sor, amennyiben – az ügy összes körülményeinek mérlegelése alapján – a hatóság enyhe jogkövetkezmény kiszabását tartja szükségesnek. Példaként említhető az az eset, amikor a jogsértés bekövetkeztétől számítva hosszú idő telt el, és az eset egyéb körülményei alapján a NAIH azt állapította meg, hogy a figyelmeztetés „megfelelő, kellő visszatartó erővel bíró jogkövetkezménynek tekinthető” (NAIH/2019/890.).

A cikk a Wolters Kluwer Hungary Kft. termékeire/szolgáltatásaira vonatkozó reklámot tartalmaz.




Kapcsolódó cikkek

2024. június 21.

Az üzletrész öröklése és átszállása a jogutódra

A kft. tagjának halálával az örökös tulajdonosává válik az elhunyt tag hagyatékába tartozó üzletrésznek. A kft.-nek nincs jogszabályi kötelezettsége az örökös tulajdonába került üzletrész megváltására, megvételére – a Kúria eseti döntése.

2024. június 19.

Önkormányzati választás: hosszú út az alakuló ülésig

Az önkormányzatok életében egy furcsa, eddig még nem tapasztalt időszak következik. A választások befejeztével kialakultak az új képviselő-testületek, kiderültek az új polgármesterek, azonban a munkát egészen októberig még nem ők, hanem a korábbi, 2019-ben választott testület végzi.