GDPR

Adatvédelem mindenkinek / Data protection for everyone

Bírságkiszabás az adatvédelmi rendelet alapján I.

2017. november 17. 11:30 - poklaszlo

A WP29 Iránymutatásának áttekintése

A súlyosabb esetben akár 20 millió euró összegű, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összegű közigazgatási bírsággal való fenyegetettség ad különösen nagy súlyt az új európai adatvédelmi rendeletre (GDPR) való felkészülésnek. 

Éppen a bírság összegének nagyságára tekintettel nagy várakozás előzte meg a 29-es Cikk szerinti Munkacsoport (WP 29) bírságolási szempontokra vonatkozó iránymutatását, amelyet október végén tettek közzé.    

A GDPR tételesen meghatározza azt, hogy milyen jogsértésekért esetén járhat a magasabb (20 millió euró vagy világpiaci forgalom legfeljebb 4 %-a), illetve melyekért az alacsonyabb (10 millió euró vagy világpiaci forgalom legfeljebb 2 %-a) plafonig terjedő összegű bírság. (Ezt korábbi posztunkban már áttekintettük.)

A Rendelet tartalmazza továbbá azokat a szempontokat is, amelyeket a bírság kiszabása során figyelembe kell venni (lásd a GDPR 83. cikk (2) bekezdését). A bírság kiszabása kapcsán azonban kulcskérdés, hogy ezeket a szempontokat a felügyeleti hatóságok miként töltik meg tartalommal. A WP 29 a bírságolással kapcsolatban megjelent iránymutatása, ehhez nyújt kapaszkodókat. Az alábbiakban röviden áttekintjük az iránymutatás főbb megállapításait.

A WP29 abból indul ki, hogy a GDPR rendelkezéseinek konzisztens alkalmazása elengedhetetlen feltétele annak, hogy harmonizált adatvédelmi rezsim alakuljon ki Európában. Az adatvédelmi szabályok érvényesítésének pedig kiemelkedően fontos eszköze a bírság. (A hatóságok által alkalmazható jogérvényesítési eszközöket a hatóságok egyes hatásköreihez kapcsolódóan a GDPR 58. cikke tartalmazza.)

Az iránymutatás legfontosabb szerepe tehát, hogy megmutatja, milyen közös nevezőt fogadnak el a tagállami hatóságok és az Európai Adatvédelmi Testület (a Testület lényegében a WP29 helyét veszi majd át, még szélesebb és sokkal rendezettebb, részletezettebb jog- és feladatkörökkel) a közigazgatási bírságok kiszabására vonatkozó általános feltételek értékelése során.

Az iránymutatás mindenekelőtt rögzíti azokat az alapelveket, amelyeket a hatóságok a Rendelet 58. cikk (2) bekezdés b)-j) pontjaiban szereplő intézkedések (ezek között szerepel a bírság kiszabásának a lehetősége is) meghozatala során figyelembe vesznek. Ezek az alapelvek az alábbiak:

1. A Rendelet megsértése esetén azonos szankciókat kell alkalmazni. Ebben a körben a Munkacsoport hivatkozik a GDPR Preambulumának 10., 11. és 13. pontjaira.

2. Hasonlóan valamennyi, a felügyeleti hatóságok által választott korrekciós hatáskörében hozott intézkedéshez, a közigazgatási bírságoknak "hatékonyak, arányosak és visszatartó erejűnek" kell lenniük. (Lásd a Rendelet 83. cikk (1) bekezdését.) Az iránymutatás kiemeli, hogy a hatékony, arányos és visszatartó erejű bírságok kiszabása érdekében a vállalkozás fogalmát a felügyeleti hatóságnak az EUMSZ 101. és 102. cikkében meghatározott vállalkozásokra vonatkozó szabályoknak megfelelően kell értelmeznie. Nevezetesen, a vállalkozás fogalmát úgy kell érteni, hogy az egy gazdasági egységet jelent, amely állhat egy anyavállalatból és valamennyi érintett leányvállalatból. Nem a jogi személyek szerinti elkülönítés a lényeges tehát, hanem a kereskedelmi/gazdasági tevékenységekben való részvétel. (Lásd a GDPR Preambulumának 150. pontját és a C-41/90. sz. ügy 21. pontját, illetve a C-217/05. sz. ügy 40. pontját, amely rögzíti, hogy "[a] Bíróság azt is megállapította, hogy ugyanebben az összefüggésben a vállalkozás fogalmát úgy kell értelmezni, mint amely a szóban forgó megállapodás szempontjából gazdasági egységet jelent, még akkor is, ha jogi szempontból ez az egység több természetes vagy jogi személyből áll.") Kérdésként merülhet fel, hogy ez az értelmezés miként hat majd ki például a vállalkozás fogalmának értelmezésére, amikor a bírság plafon meghatározása kapcsán a világpiaci forgalom 2, illetve 4%-nak meghatározására kerül sor.

3. Az illetékes hatóságnak minden egyes esetben el kell végezni a szempontok értékelését. Az iránymutatás kiemeli, hogy a hatóságoknak a legmegfelelőbb intézkedést vagy intézkedéseket kell alkalmazniuk és az összes lehetséges szankció közül kell kiválasztaniuk a legmegfelelőbbet. Ebben a körben kell értékelni a bírság kiszabásának szükségességét is.

4. A közigazgatási bírság harmonizált alkalmazása az adatvédelem területén az kívánja meg, hogy a felügyeleti hatóságok között aktív részvétel és információcsere működjön.      

A fenti alapelvek rögzítése után az iránymutatás végigveszi a Rendelet 83. cikk (2) bekezdésében szereplő alábbi szempontokat:

a)

a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke;

b)

a jogsértés szándékos vagy gondatlan jellege;

c)

az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés;

d)

az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa a 25. és 32. cikk alapján foganatosított technikai és szervezési intézkedéseket;

e)

az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések;

f)

a felügyeleti hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke;

g)

a jogsértés által érintett személyes adatok kategóriái;

h)

az, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette-e be a jogsértést, és ha igen, milyen részletességgel;

i)

ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban – ugyanabban a tárgyban – elrendelték az 58. cikk (2) bekezdésében említett intézkedések valamelyikét, a szóban forgó intézkedéseknek való megfelelés;

j)

az, hogy az adatkezelő vagy az adatfeldolgozó tartotta-e magát a 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmusokhoz; valamint

k)

az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség.

Az egyes szempontok kapcsán az iránymutatásban tett értelmező megjegyzéseket egy külön posztban mutatom be.