Jogszabályfigyelő 2024 – 17. hét
Alábbi cikkünkben a 2024/46–47. számú Magyar Közlönyben megjelent szakmai újdonságok közül válogattunk.
Az adatvédelmi bírság mértéke
Ez a cikk több mint egy éve került publikálásra. A cikkben szereplő információk a megjelenéskor pontosak voltak, de mára elavultak lehetnek.
A Wolters Kluwer Hungary gondozásában, dr. Buzás Péter, dr. Péterfalvi Attila és dr. Révész Balázs szerkesztésében megjelent, Magyarázat a GDPR-ról című könyv a korábbi magyarázat új, hatályosított és bővített kiadása. A kötet célja, hogy közérthetően, mégis a szakértő szemével mutassa be az Európai Unió adatvédelmi keretrendszerének alapját képező rendelet egyes előírásait, jogintézményeit. Mindezt úgy, hogy a leírtakat az adatvédelem iránt elkötelezett szakértők, az adatkezelők és adatfeldolgozók, a jogalkalmazók, illetve a terület iránt érdeklődő laikusok a gyakorlatban is hasznosítani tudják. Az alábbiakban a műnek a bírság mértékére vonatkozó részéből olvashatnak egy részletet.
A bírság nem új a magyar joggyakorlat szempontjából. Az Infotv. már a hatálybalépésekor lehetővé tette a NAIH számára, hogy az adatkezelőket százezertől tízmillió forintig terjedő bírsággal sújtsa, amelynek felső határát a jogalkotó később húszmillió forintra emelte [lásd Infotv. 2018. július 25-ig hatályos 61. § (3) bekezdését]. A rendelet azonban e tekintetben is új és egységes szabályokat tartalmaz.
A GDPR számos jogsértés esetén teszi lehetővé közigazgatási bírság kiszabását. A tagállamok joga emellett lehetővé vagy akár kötelezővé is teheti e jogkövetkezmény alkalmazását más rendelkezések megsértése esetén is. Az egyes jogsértések tekintetében ugyanakkor mindössze annak felső határát, a kiszabható legmagasabb összeget határozza meg. A felügyeleti hatóság ugyanakkor az eset körülményeinek és az arányosság elvének figyelembevételével dönt e szankció konkrét mértékéről (Infotv. 75/A. §). Például, amennyiben a felügyeleti hatóság azt észleli, hogy a bírság kiszabására okot adó események különböző bírságkategóriába tartoznak, akkor lehetősége van arra, hogy a legsúlyosabb jogsértés kategóriájának megfelelő bírságot szabjon ki (WP 253).
- táblázat: A bírság mértéke
| A bírság mértéke | |
| legfeljebb 10 000 000 EUR vagy a vállalkozás előző éves világpiaci forgalmának 2%-a | legfeljebb 20 000 000 EUR vagy a vállalkozás előző éves világpiaci forgalmának 4%-a |
| gyermek hozzájárulására vonatkozó feltételek az információs társadalommal összefüggő szolgáltatások vonatkozásában | az adatkezelés elvei |
| azonosítást nem igénylő adatkezelés | az érintett jogai |
| adatkezelő és adatfeldolgozó | személyes adatok harmadik országbeli címzett vagy nemzetközi szervezet részére történő továbbítása |
| adatbiztonság | az adatkezelés különös esetei |
| tanúsítás | a felügyeleti hatóság utasításának, illetve az adatkezelés átmeneti vagy végleges korlátozására vagy az adatáramlás felfüggesztésére vonatkozó felszólításának be nem tartása, illetve a hozzáférés biztosításának elmulasztása |
| jóváhagyott magatartási kódexeknek való megfelelés ellenőrzése | a felügyeleti hatóság utasításának be nem tartása |
A fenti táblázatban feltüntetett egyes jogsértések esetén a bírsággal az adatkezelő vagy adatfeldolgozó sújtható, máskor viszont a jóváhagyott magatartási kódexeknek való megfelelést ellenőrző vagy a tanúsító szervezet ellen lehet azt kiszabni [lásd GDPR 83. cikk (4)-(6) bekezdés]. Amennyiben a jogsértést vállalkozás követi el, úgy e fogalom alatt egy olyan, anyavállalatból és valamennyi érintett leányvállalatból álló gazdasági egység értendő, amely kereskedelmi vagy gazdasági tevékenységet folytat [GDPR (150) preambulumbekezdés].
Mentesülés a bírság alól
A GDPR felhatalmazza a nemzeti jogalkotót annak megállapítására, hogy – a felügyeleti hatóság korrekciós hatásköreinek sérelme nélkül – kiszabható-e közigazgatási bírság, és ha igen, milyen mértékben az adott tagállamban székhellyel rendelkező közhatalmi vagy egyéb, közfeladatot ellátó szervekkel szemben [GDPR 83. cikk (7) bekezdés]. Az Országgyűlés e tekintetben nem élt a mentesítés lehetőségével, ugyanakkor százezertől húszmillió forintig terjedő összegben maximalizálta a költségvetési szerv által elkövetett jogsértés miatt megállapítható bírság összegét [Infotv. 61. § (4) bekezdés b) pont].
Szintén lényeges szabály, amely bírság helyett megrovás alkalmazását teszi lehetővé akkor, ha az adatkezelő természetes személy, aki számára a kiszabott bírság aránytalan terhet jelentene [GDPR (148) preambulumbekezdés]. A magánszemély adatkezelők esetén a szankció arányosságának követelménye nem teljesülne megfelelő módon. Ezért szükség volt arra, hogy a felügyeleti hatóság számára mérlegelési jogkörben lehetővé tegyék alternatív jogkövetkezmények alkalmazását.
Ebben a tekintetben kiemelendő az Infotv., amely felhatalmazza a NAIH-ot arra, hogy figyelmeztetésben részesítse az adatkezelőt vagy adatfeldolgozót, amennyiben az adatvédelmi előírások első alkalommal történő megsértését észleli (Infotv. 75/A. §). Erre azonban csak akkor kerülhet sor, amennyiben – az ügy összes körülményeinek mérlegelése alapján – a hatóság enyhe jogkövetkezmény kiszabását tartja szükségesnek. Példaként említhető az az eset, amikor a jogsértés bekövetkeztétől számítva hosszú idő telt el, és az eset egyéb körülményei alapján a NAIH azt állapította meg, hogy a figyelmeztetés „megfelelő, kellő visszatartó erővel bíró jogkövetkezménynek tekinthető” (NAIH/2019/890.).
A cikk a Wolters Kluwer Hungary Kft. termékeire/szolgáltatásaira vonatkozó reklámot tartalmaz.