Iránymutatás az adatvédelmi bírság kiszabásáról és alkalmazásáról

A 29-es munkacsoport közzétette WP253 számú iránymutatását a GDPR alapján kiszabható közigazgatási bírsággal kapcsolatosan.

A bírság kiszabásának alapelvei

  1. A rendelet megsértése esetén „azonos szankciókat” kell kiszabni.
  2. A felügyeleti hatóságok által választott valamennyi korrekciós intézkedéshez hasonlóan a közigazgatási bírságoknak „hatékonynak, arányosnak és visszatartó erejűnek” kell lenniük.
  3. Az illetékes felügyeleti hatóság „minden egyes esetben” értékelést végez.
  4. A közigazgatási bírságok harmonizált megközelítése az adatvédelem területén aktív részvételt és információcserét feltételez a felügyeleti hatóságok részéről, illetve között.

A munkacsoport szerint a “lényeg, hogy a bírságokat ne végső lehetőségnek tekintsék, és ne riadjanak vissza a bírságok kiszabásától”.

Szükséges-e a bírság, illetve hogyan állapítják meg az összegét

A bírság helyett megrovás is alkalmazható, a hatóság mérlegeli, hogy szükséges-e a bírság kiszabása.

A bírság mértékének meghatározása során figyelembe kell venni:

  • az érintettek számát;
  • az adatkezelés célját;
  • az érintettek által elszenvedett kárt;
  • a jogsértés időtartamát;
  • annak szándékos vagy gondatlan jellegét;
  • a kár enyhítése érdekében megtett intézkedéseket;
  • az adatkezelő és adatfeldolgozó felelősségét, a “tőle elvárhatóság” elvének való megfelelést;
  • a szakmai “legjobb gyakorlatok”-tól való eltérés mértékét;
  • a korábban elkövetett jogsértéseket;
  • a hatósággal való együttműködés minőségét;
  • a jogsértéssel érintett adat különleges jellegét, közvetett vagy közvetlen azonosíthatóságát, titkosítását;
  • az eset hatóság általi tudomásszerzését (az adatkezelő vagy panaszos jelentette);
  • a jogsértés következményeként szerzett pénzügyi hasznot vagy elkerült veszteséget;
  • egyéb tényezőket.

Az iránymutatás elolvasható PDF formátumban: wp253 iránymutatás

 

This article has 3 comments

  1. dr. Adamik PÉter Pál Reply

    Tisztelt Szerkesztő!
    A 29-es munkacsoport nyilván nem lehet tekintettel a magyar szabályozásra, de vajon a magyar adatkezelőkkel szemben eljáró NAIH alkalmazni fogja-e és meddig a 2004. évi XXXIV. törvény hatálya alá tartozó vállalkozások első esetben előforduló jogsértése esetén a bírság kiszabása helyett figyelmeztetést? És a GDPR hatályba lépése után jogszabályi kollízió alapján döntendő el ugyanezen kkv kedvezmény alkalmazásának sorsa?
    Tisztelettel: egy botcsinálta adatvédelmi tisztviselő

    • Bártfai Zsolt Reply

      A 2004:XXXIV. tv. felejtős. A NAIH elnöke már jó párszor megmondta…

  2. Ádám Csaba Reply

    Az EU-s honlapon felsorolják a szankciókat. Ezek:
    – Figyelmeztetés
    – Megrovás
    – Az adatfeldolgozás felfüggesztése
    – Bírság

    Nálunk majd a bírság lesz az alapértelmezett, és esetleg könyörületből a megrovás?

Hozzászólok

Az email címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöljük.