ROSSZABB MINT A BÍRSÁG? AZ ADATVÉDELMI HATÓSÁG SZANKCIÓ TÁRHÁZA

2018 Január 29

Az EU Általános Adatvédelmi Rendelete kapcsán a médiában általában az elrettentő, 10-20 Millió Euróig terjedő bírságokról esik szó, pedig a bírságolás az adatvédelmi hatóság 10 eszköze közül csupán az egyik. És van amikor egy nem pénzügyi szankció sokkal fájdalmasabb, mint egyszerűen kifizetni egy bírságot. Jelen cikkben a 9 nem pénzügyi szankciót mutatjuk be röviden, tematikus csoportosításban.

Az Adatvédelmi Rendelettel kapcsolatos tanácsokat, javaslatokat megfogalmazó, az EU bizottság által felállított 29-es Munkacsoport nemrég véleményt adott ki, hogy az adatvédelmi hatóságoknak milyen szempontokat érdemes mérlegelni a GDPR által kiszabható bírságok és egyéb szankciók alkalmazása előtt, annak érdekében, hogy az EU-n belüli jogalkalmazás egységes, a kiszabott szankciók pedig hatékonyak, visszatartó erejűek és arányosak legyenek.

A 29-es Munkacsoport véleménye kiemeli, hogy a nemzeti adatvédelmi hatóság eszközrendszere igen tág, a bírságolás mellett további 9 intézkedésre van lehetőség, melyeket súlyosság szerint 3 csoportba rendezve az alábbiakban ismertetünk.

Figyelmeztetés, elmarasztalás

A figyelmeztetés, mint legenyhébb intézkedés abban áll, hogy az adatvédelmi hatóság felhívja a figyelmet a jogsértésre, és tájékoztatja az adatkezelőt a jogsértés következményeiről.

Az elmarasztalás még szintén egy érezhető joghátránnyal nem járó intézkedés, melyben az adatvédelmi hatóság „csak” megállapítja a jogsértést, további következmények nélkül.

Jóllehet a figyelmeztetés és elmarasztalás közvetlen hátránnyal nem jár, de egy esetleges későbbi jogsértés esetén súlyosbító tényezőként esik latba.

Utasítások, Kötelezések

Egy fokkal komolyabb intézkedés az, amikor az adatvédelmi hatóság valamilyen konkrét cselekmény elvégzésére utasítja az adatkezelőt.

Ilyen lehet például, hogy az adatkezelőnek teljesítenie kell az érintett természetes személy kérését, vagy az adatkezelőnek egy adatvédelmi incidensről kell tájékoztatnia az érintetteket.

Szintén ebbe a körbe tartozik amikor az adatvédelmi hatóság arra kötelezi az adatkezelőt, hogy működését hozza összhangba a GDPR-rel, például belső szabályok elfogadásával, vagy meghatározott adatok helyesbítésével, törlésével, illetve az adatkezelés korlátozásával.

Vegyük észre, hogy egy kötelezésnek való megfelelés legalább annyi költséggel járhat, mint egy bírság, nem beszélve az időről, amit felemészt a megfeleltetés folyamata (pl. szabályzatok módosítása, stb.).

Korlátozás, megtiltás, tanúsítvány visszavonás

Súlyosabb esetekben az adatvédelmi hatóság ideiglenesen vagy véglegesen korlátozhatja, sőt bizonyos esetben meg is tilthatja az adatkezelést, mely az adatkezelő számára már igen komoly üzleti hátrányt jelenthet.

Egy speciális eset az EU-n kívüli adattovábbítás felfüggesztése, mely az olyan cégek üzletmenetét érintheti érzékenyen, akiknek anyavállalata, leányvállalata vagy üzleti partnere EU-n kívüli vállalkozás.

Végül sor kerülhet az adatkezelő cég által korábban elnyert, a GDPR szerinti működést igazoló tanúsítvány visszavonására is.

A fenti intézkedéseknek a cég napi működésre gyakorolt káros következményeit, illetve a cég jó hírnevére gyakorolt hatását nyilván nem kell részletesen elemezni.

Összefoglalás

Az Adatvédelmi Rendelet szankciói közül a bírságnál sokszorta fájdalmasabbak lehetnek a nem pénzügyi szankciók, így például ha az adatvédelmi hatóság megtiltja az adatkezelést, felfüggeszti az adattovábbítást, vagy egy esetlegesen visszavonja a cég tanúsítványát.

A Munkacsoport kiemeli, hogy a fenti intézkedéseket az adatvédelmi bírság alternatívájaként kell kezelni, ugyanakkor nem kell visszariadni a bírságolástól sem, amennyiben az a leginkább célravezető. Természetesen a legjobb, ha vállalkozásunk betartja a GDPR szabályait, így az adatvédelmi hatóságnak el sem kell jutnia odáig, hogy a 10 intézkedés közül válasszon!