Blog
Blog » MEKKORA LESZ AZ ADATVÉDELMI BÍRSÁGOD? 5+5 DOLOG, AMIN MÚLHAT
MEKKORA LESZ AZ ADATVÉDELMI BÍRSÁGOD? 5+5 DOLOG, AMIN MÚLHAT
12 February 2018
Az EU Általános Adatvédelmi Rendelete alapján 20 Millió Euró összeghatárig szabható ki adatvédelmi bírság. De mitől függ, hogy mennyit kell majd fizetned egy jogsértés esetén? És hogyan csökkentheted egy giga bírság kockázatát? Ezekre a kérdésekre adunk választ legújabb cikkünkben.
Az EU Bizottság által létrehozott „29-es Munkacsoport” nemrég egy ajánlást adott ki a GDPR alapján kiszabható bírságokról.
Elöljáróban érdemes megjegyezni, hogy „29-es Munkacsoport” ajánlása szerint az adatvédelmi bírság mindössze egy eszköz a 10 lehetséges intézkedés közül, melyet az adatvédelmi hatóság jogsértés esetén alkalmazhat.
Így a cikkünkben ismertetett 5+5 szempont nem csak a bírság összegének megállapításánál mérvadó, hanem akkor is, amikor az adatvédelmi hatóság azt mérlegeli, hogy bírságra vagy inkább egyéb intézkedésre kerüljön sor.
A szempontok alapvetően két csoportra oszthatók, mely közül az első csoportban a jogsértéshez kapcsolódó 5 objektív szempont, míg a második csoportban a jogsértő személyéhez kapcsolódó 5 szubjektív szempont kap helyet.
Objektív szempontok
Alapvetően a jogsértés típusa a kiindulópontja a bírság összegének meghatározásakor.
Kisebb, adminisztratív jellegű jogsértés esetén legfeljebb az éves árbevétel 2%-áig, illetve 10 Millió Euró összegig terjedő bírság szabható ki, míg komolyabb jogsértéseknél, pl. az adatkezelés alapelveinek, illetve a természetes személyek jogainak megsértésekor magasabb bírságok alkalmazhatók, melyek határa az éves árbevétel 4%, illetve 20 Millió Euró.
A jogsértéssel érintett magánszemélyek száma fontos, hiszen nem mindegy, hogy egy elszigetelt esetről van szó, vagy magánszemélyek százait, illetve ezreit érintő adatvédelmi hibáról.
Fontos, hogy a jogsértéssel okoztak-e kárt, illetve várható-e bármilyen kár bekövetkezése (pl. bankszámla adatok, vagy egyéb érzékeny adatok illetéktelen személyhez juthattak), amennyiben igen, mekkora kárról van szó.
A jogsértés időtartama sem elhanyagolható, hiszen egy egyszeri eset enyhébb megítélés alá esik, mint egy folyamatos, több hónapja, vagy adott esetben több éve tartó adatvédelmi szabálysértés.
Szintén fontos a jogsértéssel érintett adatok típusa, hiszen az érzékeny személyes adatokat (pl, egészségügyi adat) ért sérelem mindig súlyosabb, mint a nem minősített személyes adatra vonatkozó jogsértés.
Szubjektív szempontok
Az adatkezelő szándékos jogsértése nyilvánvalóan szigorúbb megítélés alá esik, mint egy gondatlan szabályszegés. Szándékosságra utalhat, ha a top menedzsment hallgatólagosan engedélyezte a jogsértést, figyelmen kívül hagyva az adatvédelmi tisztviselő tanácsait. Erre utalhat, ha a jogsértő adatkezelésre valamilyen üzleti előny elérése érdekében került sor (pl. kedvező piaci pozíció elérése).
Az adatkezelő által végrehajtott szervezeti, technikai, biztonsági intézkedések szintén befolyásolják a felelősséget, melynek megítélésénél az iparági sztenderdek, illetve az iparágban szokásos gyakorlat szolgál kiindulópontként.
Az adatkezelő együttműködése az adatvédelmi hatósággal, illetve a jogsértés önkéntes bejelentése az adatvédelmi hatósághoz szintén olyan szempontok, melynek fennállása csökkenteni az adatvédelmi bírság mértékét.
Az adatkezelő, vagy adatfeldolgozó által tett kárenyhítő intézkedéseket, így pl. az jogsértéssel érintettek tájékoztatása, további károk bekövetkezésének megelőzésestb. mindig enyhítő szempontként kel figyelembe venni.
Végül az adatkezelő által esetlegesen elkövetett korábbi adatvédelmi jogsértések, valamint az adatvédelmi hatóság által vele szemben foganatosított korábbi adatvédelemi intézkedések tiszteletben tartásának hiánya, nyilvánvalóan olyan tényezők súlyosbítják a felelősséget, különösen akkor, ha hasonló típusú jogsértésről van szó.
Összefoglalás
Ahogy látod, a fenti szempontok több mint fele rajtad múlik, illetve azon, hogy mit tettél (vagy nem tettél) egy adatvédelmi szabálysértés előtt, vagy után.
A jó hír az, hogy a giga bírság kockázatát drámai módon lecsökkentheted, ha megfelelően felkészülsz a GDPR-re, illetve amennyiben céged egy esetleges szabálysértés esetén a hatósággal őszintén, és proaktív módon együttműködik a megfeleltetés során elfogadott szabályzatok alapján.
Egy szó, mint száz, legfőbb ideje, hogy elkezdd a GDPR-re való felkészülést!
-
WE ARE 15!
Recently we celebrated our 15th Anniversary, which is a very important milestone for us. Looking back, our Office went through a long improvement until the formation of our present profile: providing legal support in domestic and international commercial law issues and helping our clients doing business in Hungary.
Read more » -
When should employers pay the consideration for non-compete obligation in Hungary?
The Hungarian Labour Code does not specify the due date of the consideration for non-compete obligation, which resulted in legal uncertainty. Based on the recent case law, the judiciary filled this gap with legal interpretation. In our article we summarize this recent development in Hungarian labour law practice.
Read more » -
ARBITRATION PROCEEDINGS IN HUNGARY
The Hungarian arbitration procedure, compared to the Hungarian state court procedure, is much simpler, less formal. However, it is still necessary to know these simpler procedural rules, to conclude the dispute successfully. Consequently, we summarize below the most important procedural principles and rules based on the Hungarian Arbitration Act and on the Rules of Procedure.
Read more »