Iránymutatás az adatvédelmi bírság kiszabásáról és alkalmazásáról
A 29-es munkacsoport közzétette WP253 számú iránymutatását a GDPR alapján kiszabható közigazgatási bírsággal kapcsolatosan.
A bírság kiszabásának alapelvei
- A rendelet megsértése esetén „azonos szankciókat” kell kiszabni.
- A felügyeleti hatóságok által választott valamennyi korrekciós intézkedéshez hasonlóan a közigazgatási bírságoknak „hatékonynak, arányosnak és visszatartó erejűnek” kell lenniük.
- Az illetékes felügyeleti hatóság „minden egyes esetben” értékelést végez.
- A közigazgatási bírságok harmonizált megközelítése az adatvédelem területén aktív részvételt és információcserét feltételez a felügyeleti hatóságok részéről, illetve között.
A munkacsoport szerint a „lényeg, hogy a bírságokat ne végső lehetőségnek tekintsék, és ne riadjanak vissza a bírságok kiszabásától”.
Szükséges-e a bírság, illetve hogyan állapítják meg az összegét
A bírság helyett megrovás is alkalmazható, a hatóság mérlegeli, hogy szükséges-e a bírság kiszabása.
A bírság mértékének meghatározása során figyelembe kell venni:
- az érintettek számát;
- az adatkezelés célját;
- az érintettek által elszenvedett kárt;
- a jogsértés időtartamát;
- annak szándékos vagy gondatlan jellegét;
- a kár enyhítése érdekében megtett intézkedéseket;
- az adatkezelő és adatfeldolgozó felelősségét, a „tőle elvárhatóság” elvének való megfelelést;
- a szakmai „legjobb gyakorlatok”-tól való eltérés mértékét;
- a korábban elkövetett jogsértéseket;
- a hatósággal való együttműködés minőségét;
- a jogsértéssel érintett adat különleges jellegét, közvetett vagy közvetlen azonosíthatóságát, titkosítását;
- az eset hatóság általi tudomásszerzését (az adatkezelő vagy panaszos jelentette);
- a jogsértés következményeként szerzett pénzügyi hasznot vagy elkerült veszteséget;
- egyéb tényezőket.
Az iránymutatás elolvasható PDF formátumban: wp253 iránymutatás
Tisztelt Szerkesztő!
A 29-es munkacsoport nyilván nem lehet tekintettel a magyar szabályozásra, de vajon a magyar adatkezelőkkel szemben eljáró NAIH alkalmazni fogja-e és meddig a 2004. évi XXXIV. törvény hatálya alá tartozó vállalkozások első esetben előforduló jogsértése esetén a bírság kiszabása helyett figyelmeztetést? És a GDPR hatályba lépése után jogszabályi kollízió alapján döntendő el ugyanezen kkv kedvezmény alkalmazásának sorsa?
Tisztelettel: egy botcsinálta adatvédelmi tisztviselő
A 2004:XXXIV. tv. felejtős. A NAIH elnöke már jó párszor megmondta…
Az EU-s honlapon felsorolják a szankciókat. Ezek:
– Figyelmeztetés
– Megrovás
– Az adatfeldolgozás felfüggesztése
– Bírság
Nálunk majd a bírság lesz az alapértelmezett, és esetleg könyörületből a megrovás?