A bírságolási szempontokra vonatkozó iránymutatást október végén tette közzé a 29-es Cikk szerinti Munkacsoport (WP 29). Előző posztomban az iránymutatásban megfogalmazott alapelveket mutattam be.
Ebben a posztban a Rendelet 83. cikk (2) bekezdésében szereplő alábbi szempontokhoz fűzött munkacsoporti észrevételeket tekintem át.
a) |
a jogsértés jellege, súlyossága és időtartama, figyelembe véve a szóban forgó adatkezelés jellegét, körét vagy célját, továbbá azon érintettek száma, akiket a jogsértés érint, valamint az általuk elszenvedett kár mértéke; |
b) |
a jogsértés szándékos vagy gondatlan jellege; |
c) |
az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés; |
d) |
az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa a 25. és 32. cikk alapján foganatosított technikai és szervezési intézkedéseket; |
e) |
az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések; |
f) |
a felügyeleti hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke; |
g) |
a jogsértés által érintett személyes adatok kategóriái; |
h) |
az, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette-e be a jogsértést, és ha igen, milyen részletességgel; |
i) |
ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban – ugyanabban a tárgyban – elrendelték az 58. cikk (2) bekezdésében említett intézkedések valamelyikét, a szóban forgó intézkedéseknek való megfelelés; |
j) |
az, hogy az adatkezelő vagy az adatfeldolgozó tartotta-e magát a 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmusokhoz; valamint |
k) |
az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség. |
A fenti szempontok értelmezésével kapcsolatban az alábbiak érdemelnek mindenképpen kiemelést:
a) a jogsértés jellege, súlyossága és időtartama:
A jogsértés jellege kapcsán vizsgálandó - a Rendelet Preambulumának 148. pontja alapján -, hogy a Rendelet rendelkezéseinek "kisebb megsértésére" került-e sor, mivel ilyen esetekben a hatóság eltekinthet a bírságolástól és helyette megelégedhet a figyelmeztetés alkalmazásával. (Ez persze nem kötelezettség a hatóság részére, csak lehetőség.) Ugyanez a lehetőség fennáll akkor is, ha az adatkezelő természetes személy és "a valószínűsíthetően kiszabásra kerülő bírság egy természetes személy számára aránytalan terhet jelentene".
Az iránymutatás felhívja arra is a figyelmet, hogy olyan jogsértések, amelyek jellegüknél fogva a 10 milliós (vagy világpiaci forgalom legfeljebb 2 %-a) kategóriába esnének a súlyosabb bírsággal (20 millió euró vagy világpiaci forgalom legfeljebb 4 %-a) sújtható kategóriába kerülhetnek bizonyos körülmények fennállása esetén. Ilyen eset lehet, ha korábban hasonló jogsértés miatt a hatóság már valamire utasította az adatkezelőt vagy adatfeldolgozót (a Rendelet 58. cikk (2) bekezdése alapján) vagy ha az adatkezelő vagy adatfeldolgozó nem tett eleget a hatóság korábbi utasításában foglaltaknak (lásd Rendelet 83. cikk (6) bekezdés).
A súlyosság kapcsán figyelembe veszik a hatóságok, hogy egyszerre több jogsértésre is sor került-e. Továbbá a hatóságok figyelembe veszik az alábbi szempontokat is, mégpedig ezek egymással való összefüggésére is tekintettel:
- Jogsértéssel érintettek száma (azaz elszigetelt jelenségről vagy inkább szisztematikus jogsértés megjelenéséről, illetve a megfelelő eljárások hiányáról van-e szó). Természetesen egy elszigetelt eset is hatással lehet nagyszámú érintettre. Ilyen esetekben ez meghatározható lehet - az eset körülményeitől függően - például a vizsgált adatbázisban regisztráltak számára, egy szolgáltatás felhasználóinak számára, az ügyfelek számára, vagy éppen az adott ország lakosságához viszonyított számarányra tekintettel.
- Az adatkezelés célját is értékelni szükséges. (Lásd a WP 29 3/2013 sz. véleményét ezzel kapcsolatban.)
- Ha az érintettek kárt szenvedtek el, akkor ennek mértékét is figyelembe kell venni (ezzel kapcsolatban lásd a Rendelet Preambulumának 75. pontját).
A jogsértés időtartama utalhat például az adatkezelő szándékos magatartására vagy a megfelelő megelőző intézkedések elmulasztására vagy a szükséges technikai és szervezési intézkedések foganatosítására való képtelenségre.
b) a jogsértés szándékos vagy gondatlan jellege:
Szándékos jogsértés esetén természetesen nagyobb a valószínűsége a bírság alkalmazásának. Szándékosságra utalhat például, ha az adatkezelő felső vezetésének tudtával került sor a jogellenes adatkezelésre vagy ha az adatvédelmi tisztviselő tanácsai ellenére vagy a szabályzatok figyelmen kívül hagyásával kezelték jogellenesen az adatokat.
Az iránymutatás szerint a szándékosság példái lehetnek:
- versenytárs munkavállalóira vonatkozó adatok megszerzése és kezelése abból a célból, hogy a versenytársat hiteltelenítsék a piacon;
- személyes adatok marketing célú kereskedelme (azaz az érintettek adatainak anélkül történő eladása, hogy az érintetteknek az adataik kezelésére vonatkozó rendelkezését nem ellenőrizték vagy figyelmen kívül hagyták).
Gondatlanságra utalhatnak például az alábbi tényezők:
- emberi mulasztás,
- közzétett információk ellenőrzésének elmulasztása abból a szempontból, hogy tartalmaznak-e személyes adatot,
- frissítések megfelelő időben történő alkalmazásának elmulasztása,
- szabályzatok elfogadásának elmulasztása.
Fontos, hogy az adatkezelők a Rendelet kockázatalapú megközelítéséből kiindulva a tevékenységükhöz illeszkedő struktúrákat és erőforrásokat alkalmazzanak.
c) az adatkezelő vagy az adatfeldolgozó részéről az érintettek által elszenvedett kár enyhítése érdekében tett bármely intézkedés:
Az alábbi példák említhetők:
- kapcsolatfelvétel azokkal a további adatkezelőkkel, illetve adatfeldolgozókkal, amelyek szintén érintettek lehettek az adatkezelés kiterjesztésében (pl. az adatok egy része tévedésből harmadik személyekkel is megosztásra került),
- időben megtett intézkedés a jogsértés megszüntetése vagy annak megakadályozása érdekében, hogy a jogsértés olyan szintet érjen el, amely súlyosabb következményekkel jár.
d) az adatkezelő vagy az adatfeldolgozó felelősségének mértéke, figyelembe véve az általa a 25. és 32. cikk alapján foganatosított technikai és szervezési intézkedéseket:
A GDPR az elszámoltathatóság elvének hangsúlyosabb megjelenését eredményezte. Ennek is megfelelően az alábbi kérdések merülhetnek fel - többek között - ebben a körben:
- A beépített és az alapértelmezett adatvédelem elveinek megfelelő technikai intézkedések bevezetéséről gondoskodott-e az adatkezelő (25. cikk)?
- A beépített és az alapértelmezett adatvédelem elveinek megfelelő szervezési intézkedések bevezetéséről gondoskodott az adatkezelő a szervezet minden szintjén (25. cikk)?
- Megfelelő biztonsági szintről gondoskodott-e az adatkezelő, illetve az adatfeldolgozó (32. cikk)?
- A megfelelő adatvédelmi eljárások és szabályzatok ismertek-e és alkalmazásra kerültek-e a szervezet megfelelő szintjein (24. cikk)?
A fentiek megítélése kapcsán figyelembe kell venni a "jó gyakorlatokat", iparági szabványokat, magatartási kódexeket (ha vannak ilyenek) is.
e) az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések:
A jogsértést elkövető adatkezelő, illetve adatfeldolgozó "múltja" kerülhet itt górcső alá. A hatóság elég széles körű értékelést végezhet, mivel az iránymutatás szerint lényegében a Rendelet bármely rendelkezésének a megsértése "releváns" lehet.
f) a felügyeleti hatósággal a jogsértés orvoslása és a jogsértés esetlegesen negatív hatásainak enyhítése érdekében folytatott együttműködés mértéke:
Ennek a szempontnak az értékelésére elsősorban a bírság összegének meghatározásakor kerül sor (azaz lényegében akkor, amikor az már eldőlt, hogy bírság kiszabására mindenképpen sor kerül).
Önmagában valamely jogszabályi kötelezettség teljesítése (pl. a hatóság helyszíni vizsgálatának "lehetővé tétele") önmagában nem jelenthet enyhíti körülményt.
g) a jogsértés által érintett személyes adatok kategóriái:
Az alábbi kérdések merülhetnek fel ezzel kapcsolatban:
- Adatok különleges kategóriái (9. és 10. cikk) érintettek-e?
- Az adatok elterjedése közvetlen kárt okoz-e az érintetteknek?
- Az adat közvetlenül elérhető mindenféle technikai védelem nélkül vagy kódolt?
h) az, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, különös tekintettel arra, hogy az adatkezelő vagy az adatfeldolgozó jelentette-e be a jogsértést, és ha igen, milyen részletességgel:
Önmagában az adatvédelmi incidens Rendelet szerinti kötelező bejelentése nem minősülhet enyhítő körülménynek.
i) ha az érintett adatkezelővel vagy adatfeldolgozóval szemben korábban – ugyanabban a tárgyban – elrendelték az 58. cikk (2) bekezdésében említett intézkedések valamelyikét, a szóban forgó intézkedéseknek való megfelelés:
Itt - szemben az e) pontban foglaltakkal - "ugyanabban a tárgyban" elrendelt intézkedés értékeléséről van szó. (Azaz szűkebb körben értékel a hatóság, mint az e) pont esetében.)
j) az, hogy az adatkezelő vagy az adatfeldolgozó tartotta-e magát a 40. cikk szerinti jóváhagyott magatartási kódexekhez vagy a 42. cikk szerinti jóváhagyott tanúsítási mechanizmusokhoz:
Bizonyos esetekben a hatóság megelégedhet azzal, hogy a magatartási kódex végrehajtásáért felelős közösség maga teszi meg a szükséges intézkedéseket. (Szerepet kaphat tehát az önszabályozás, ugyanakkor természetesen a hatóságot az önszabályozó testület által hozott esetleges döntés nem köti.)
k) az eset körülményei szempontjából releváns egyéb súlyosbító vagy enyhítő tényezők, például a jogsértés közvetlen vagy közvetett következményeként szerzett pénzügyi haszon vagy elkerült veszteség:
Ez a pont ad lehetőséget egyéb, a fentiekben külön nem említett szempontok értékelésére. Az iránymutatás szerint, ha az adatkezelő pénzügyi előnyt szerzett a jogsértés révén, akkor az egy erős jelzés lehet atekintetben, hogy bírság kiszabására kerüljön sor.