Az új európai adatvédelmi rendelet (GDPR) kapcsán a legtöbb szó talán a hatalmas összegű bírságról esik. A GDPR rendelkezéseinek megsértését ugyanis - súlyosabb esetben - akár 20 millió euró összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel kell sújtani.
De vajon milyen jogsértésekért esetén járhat a magasabb (20 millió euró vagy világpiaci forgalom legfeljebb 4 %-a), illetve melyekért az alacsonyabb (10 millió euró vagy világpiaci forgalom legfeljebb 2 %-a) bírságplafoning terjedő bírság?
Ökölszabályként azt mondhatjuk, hogy a „kisebb” összegű bírság inkább az adminisztratív kötelezettségek megsértéséért jár, míg a magasabb összegű bírságot a súlyosabb jogsértések, úgymint az adatkezelés elveinek megsértése (beleértve azt is, ha nincs vagy nem megfelelő a jogalap), az érintett jogainak sérelme, a harmadik országba történő adattovábbítás szabályainak megsértése, az adatkezelés különös eseteire vonatkozó tagállami szabályok sérelme, illetve a felügyeleti hatóság intézkedéseivel való "ellenszegülésért" lehet kiszabni.
A GDPR a rendelet egyes szakaszaira lebontva meghatározza, hogy azok megsértése esetén melyik bírságplafon alkalmazandó. Nézzük meg az egyes cikkekre lebontva, hogy az adott rendelkezések megsértése esetén mennyire mélyen kell az adatkezelőknek a zsebükbe nyúlniuk.
1. Az alábbi rendelkezések megsértése legfeljebb 10 millió euró összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggel sújtható (a kettő közül a magasabb összeget kell kiszabni):
a) az adatkezelő és az adatfeldolgozó tekintetében
- a 8. (a gyermek hozzájárulására vonatkozó feltételek az információs társadalommal összefüggő szolgáltatások vonatkozásában),
- a 11. (azonosítást nem igénylő adatkezelés),
- a 25-39. (25.: beépített és alapértelmezett adatvédelem; 26. : közös adatkezelők; 27.: az Unióban tevékenységi hellyel nem rendelkező adatkezelők vagy adatfeldolgozók képviselői; 28.: az adatfeldolgozó; 29.: az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés; 30.: az adatkezelési tevékenységek nyilvántartása; 31.: együttműködés a felügyeleti hatósággal; 32.: az adatkezelés biztonsága; 33.: az adatvédelmi incidens bejelentése a felügyeleti hatóságnak; 34.: az érintett tájékoztatása az adatvédelmi incidensről; 35.: adatvédelmi hatásvizsgálat; 36.: előzetes konzultáció; 37.: az adatvédelmi tisztviselő kijelölése; 38.: az adatvédelmi tisztviselő jogállása; 39.: az adatvédelmi tisztviselő feladatai ),
- a 42. (tanúsítás) és
- a 43. cikkben (tanúsító szervezetek)
meghatározott kötelezettségek;
b) a tanúsító szervezet tekintetében
- a 42. (tanúsítás) és
- 43. cikkben (tanúsító szervezetek)
meghatározott kötelezettségek;
c) az ellenőrző szervezet tekintetében a 41. cikk (4) bekezdésében (a jóváhagyott magatartási kódexeknek való megfelelés ellenőrzése kapcsán: a magatartási kódexnek való megfelelést ellenőrző szervezet a kódex valamely adatkezelő vagy adatfeldolgozó általi megsértése esetén – megfelelő garanciák mellett – megfelelő intézkedéseket tesz, beleértve az érintett adatkezelő vagy adatfeldolgozó felfüggesztését vagy kizárását a kódex alkalmazásából. Ezekről az intézkedésekről és azok indokairól az illetékes felügyeleti hatóságot tájékoztatja.)
meghatározott kötelezettségek.
2. Az alábbi rendelkezések megsértését legfeljebb 20 millió euró összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel kell sújtani (a kettő közül a magasabb összeget kell kiszabni):
a) az adatkezelés elvei – ideértve a hozzájárulás feltételeit –
- az 5. (a személyes adatok kezelésére vonatkozó elvek),
- 6. (az adatkezelés jogszerűsége),
- 7. (a hozzájárulás feltételei) és
- 9. cikknek (a személyes adatok különleges kategóriáinak kezelése)
megfelelően;
b) az érintettek jogai a 12–22. cikknek (12.: átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések; 13.: rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik; 14.: rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg; 15.: az érintett hozzáférési joga; 16.: a helyesbítéshez való jog; 17.: a törléshez való jog („az elfeledtetéshez való jog”); 18.: az adatkezelés korlátozásához való jog; 19.: a személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség; 20.: az adathordozhatósághoz való jog; 21.: a tiltakozáshoz való jog; 22.: automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást) megfelelően;
c) személyes adatoknak harmadik országbeli címzett vagy nemzetközi szervezet részére történő továbbítása a 44–49. cikknek (44.: az adattovábbításra vonatkozó általános elv; 45.: adattovábbítás megfelelőségi határozat alapján; 46.: megfelelő garanciák alapján történő adattovábbítások; 47.: kötelező erejű vállalati szabályok; 48.: az uniós jog által nem engedélyezett továbbítás és közlés; 49.: különös helyzetekben biztosított eltérések) megfelelően;
d) a IX. fejezet (az adatkezelés különös eseteire vonatkozó rendelkezések) alapján elfogadott tagállami jog szerinti kötelezettségek;
e) a felügyeleti hatóság 58. cikk (2) bekezdése (felügyeleti hatóság korrekciós hatáskörének gyakorlása) szerinti utasításának, illetve az adatkezelés átmeneti vagy végleges korlátozására vagy az adatáramlás felfüggesztésére vonatkozó felszólításának be nem tartása vagy az 58. cikk (1) bekezdését (felügyeleti hatóság vizsgálati hatásköre) megsértve a hozzáférés biztosításának elmulasztása.
Összefoglalva tehát az látszik, hogy a „kisebb” összegű bírság inkább az adminisztratív kötelezettségek megsértéséért jár (pl. adatvédelmi nyilvántartás, hatásvizsgálat, DPO stb.), míg a magasabb összegű bírságot az alapelvi rendelkezések megsértéséért, az adatkezelés jogszerűségének sérelme esetén (azaz, ha nincs vagy nem megfelelő a jogalap), az érintett jogainak sérelme miatt, a harmadik országba történő adattovábbítás kapcsán, az adatkezelés különös eseteire vonatkozó tagállami szabályok sérelme esetén, valamint a felügyeleti hatóság intézkedéseivel való "ellenszegülésért" lehet kiszabni.
A bírságolás kapcsán várhatóan a WP29, illetve majdani utódja az Európai Adatvédelmi Testület is kiad majd valamiféle iránymutatást annak érdekében, hogy hasonló súlyú jogsértéseket, hasonlóan ítéljenek meg az Európai Unió különböző tagállamaiban.