A törvénymódosítás tervezet kizárólag azt rögzíti, hogy első, jogsértés esetén a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a vállalkozást nem bírságban, hanem elsősorban figyelmeztetésben részesíti. A törvénymódosítás szövege ráadásul nem említi kifejezetten a kis- és közepes vállalkozásokat (kkv), azaz a multinacionális gazdasági társaságokra is vonatkozik.

Maga a GDPR rendelet alapján, első alkalommal történő, de enyhe jogsértés esetén sem kötelező bírságot kiszabni, illetve figyelembe kell venni, ha a jogsértő vállalkozás kkv. A törvénymódosítás tehát nem tér el a GDPR rendelet előírásaitól - hívja fel a figyelmet Zempléni Kinga, ügyvéd.

A törvénymódosítás és a GDPR rendelet szövege azonban nem értelmezhető úgy, hogy első jogsértés esetén sose bírságol a NAIH. Első, súlyos jogsértés (például nagyszámú fogyasztókat érintő, folyamatos és szándékos adatvédelmi előírások megszegése) esetén minden vállalkozás - kkv-k és multinacionális vállalatok egyaránt - bírságot kockáztathat - hangsúlyozza az ügyvéd.

Súlyos jogsértésnek minősülhetnek egyebek mellett az alábbi, nagy számú magánszemélyt érintő, hosszú időtartamú esetek, amikor a NAIH feltehetően az első alkalommal is bírságot szabhat ki, még kkv-kra is:

 

  • ha egy webáruház semmilyen adatvédelmi tájékoztatás nem nyújt a fogyasztóknak;
  • ha egy társaság felelőtlenül nyilvánosságra hoz érzékeny adatokat;
  • ha egy vállalat kamerákat helyez el öltözőkben;
  • ha egy társaság nem tartja be az alapvető adatbiztonsági követelményeket;
  • ha egy vállalat jogellenesen harmadik félnek értékesít személyes adatokat;
  • ha egy online portál úgy kezeli a fizetési adatokat, hogy ahhoz bárki könnyen hozzáférhet.

 

Zempléni Kinga továbbá kiemeli: jogsértés esetén a NAIH-nak eleve több eszköze van. Jogosult figyelmeztetni a társaságot, korlátozni az adatkezelést, kötelezni a társaságot, hogy tájékoztassa az adatkezelőt stb. és akár bírságot is kiróhat.

A bírságoknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. Annak eldöntésekor, hogy szükség van-e bírság kiszabására, illetve a bírság összegének megállapításakor a GDPR alapján minden egyes esetben kellőképpen figyelembe kell venni: hányadik alakommal történik a jogsértés, a jogsértés természete, súlyossága, időtartama, szándékos jellege, tett-e a társaság intézkedéseket az elszenvedett kár mértékének csökkentésére, arra, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, valamint minden egyéb súlyosbító vagy enyhítő körülményt. A GDPR ugyanakkor arra ösztönzi a felügyeleti hatóságot, hogy vegye figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit.

Képünk forrása: Shutterstock