Jelentős változást és akár a bírságok összegének komoly emelkedését is hozhatja a német adatvédelmi hatóságok konferenciája (DSK) által közösen elfogadott és közzétett bírságolási koncepció. Az általánosan alkalmazandó elvek rögzítésével a német hatóságok követik a holland hatóságot (Autoriteit Persoonsgegevens), amely néhány hónapja (elsőként az EU-ban) közzétett egy bírságolási politikát, amelyben részletesen bemutatta azokat az elveket, amelyek alapján a konkrét ügyekben a bírság mértékét meghatározza (erről itt írtam korábban).
A német adatvédelmi jogalkalmazás sajátossága, hogy szövetségi tagállamonként független adatvédelmi hatóságok működnek, így az egységes jogalkalmazás megteremtése (ami a GDPR alapján az egész EU-t érintő kihívás) már országos (szövetségi) szinten is komoly kihívást jelenthet. Még a GDPR alkalmazandóvá válását megelőzően a WP29 adott ki a bírságolásra vonatkozó iránymutatást (erről itt és itt írtam részletesen), azzal a céllal, hogy elősegítse az egységesebb jogalkalmazást, aminek a bírságösszegek egymáshoz legalább közelítő mértékében is meg kellene mutatkoznia. A WP29 iránymutatása azonban a GDPR 83. cikkének kicsit részletesebb magyarázatán nem igazán lépett túl, nem adott kézzel fogható, illetve számszerűsíthető támpontokat a bírságtételek meghatározásához. Ezt a hiányosságot igyekeznek pótolni egyes tagállami hatóságok addig is, amíg esetleg az Európai Adatvédelmi Testület az egész EU-ra nézve konkrétabb bírságolási szempontokat is meghatároz. (A német hatósági koncepció kifejezetten rögzíti is, hogy a koncepció hatályát veszti abban az esetben, ha az Európai Adatvédelmi Testület kiad egy egész EU-ra vonatkozó iránymutatást.)
Mit tud a német bírságolási modell?
A koncepció azt a célt szolgálja, hogy az adatvédelmi jogsértések esetén alkalmazott bírságok hatékonyak, arányosak és kellő visszatartó erővel rendelkezők legyenek. A koncepció kizárólag vállalkozások tekintetében alkalmazandó, egyesületek, illetve gazdasági tevékenységük körén kívül eljáró magánszemélyek esetében nem. A koncepció egy 5 lépéses, komplex modellt határoz meg a bírság kiszabása kapcsán:
- éves árbevétel szerinti kategóriákat rögzít,
- meghatározásra került az egyes alcsoportokra nézve az átlagos éves árbevétel értéke, ezt követően
- egy alapérték került meghatározásra (ami lényegében az átlagos éves árbevétel 360-al elosztott, napi értéke),
- az alapérték megfelelő szorzóval történő megnövelése a jogsértés súlyának megfelelően (figyelemmel a GDPR 83. cikkében meghatározott szempontokra), végül
- a fentiek szerint meghatározott összeg korrekciója történik meg az eset körülményeire tekintettel (enyhítő és súlyosító körülmények alkalmazása a hatóság mérlegelése alapján).
Nézzük az egyes lépéseket egy kicsit részletesebben:
Ad 1. Vállalkozások kategóriákba sorolása
A koncepció összesen négy kategóriát határozott meg (A-D-ig). Az első három kategóriába kis- és középvállalkozások tartoznak (A: mikrovállalkozások, B: kisvállalkozások, C: középvállalkozások), míg a negyedik kategóriát a nagyvállalkozások jelentik (D). Ezeken belül további alkategóriák kerültek kialakításra (A és B kategórián belül 3 alkategória, míg C és D kategórián belül 7 alkategória szerepel).
A vállalkozások besorolása kapcsán a GDPR 83. cikk (4)-(6) bekezdése alapján az előző pénzügyi év teljes éves világpiaci forgalmát veszik figyelembe.
A kis- és középvállalkozások a Bizottság 2003-as ajánlására figyelemmel kerülnek kategorizálásra (2003/361/EK). A vállalkozás fogalmát pedig - a GDPR 150. preambulum bekezdésére is figyelemmel - az EUMSZ 101. és 102. cikkében meghatározott vállalkozásokra vonatkozó szabályoknak megfelelően kell értelmezni. Nevezetesen, a vállalkozás fogalmát úgy kell érteni, hogy az egy gazdasági egységet jelent, amely állhat egy anyavállalatból és valamennyi érintett leányvállalatból. Nem a jogi személyek szerinti elkülönítés a lényeges tehát, hanem a kereskedelmi/gazdasági tevékenységekben való részvétel. (Erről korábban a WP29 bírságolásra vonatkozó iránymutatása kapcsán írtam részletesebben.)
Ad 2. Átlagos éves árbevétel meghatározása
Az alcsoportokon belüli átlag számítása (pl. a B.II. alcsoportba az 5 millió - 7.5 millió eurós éves árbevétel közötti vállalkozások tartoznak, így az átlagos éves árbevétel értékekeként 6.25 millió euró került meghatározásra). Az egyes kategóriákban az alábbi átlagos éves árbevételi értékek kerültek rögzítésre:
| A | B | C | D |
| A.I. 350.000 € | B.I. 3.500.000 € | C.I. 11.250.000 € | D.I. 62.500.000 € |
| A.II. 1.050.000 € | B.II. 6.250.000 € | C.II. 13.750.000 € | D.II. 87.500.000 € |
| A.III. 1.700.000 € | B.III. 8.750.000 € | C.III. 17.500.000 € | D.III. 150.000.000 € |
| C.IV. 22.500.000 € | D.IV. 250.000.000 € | ||
| C.V. 27.500.000 € | D.V. 350.000.000 € | ||
| C.VI. 35.000.000 € | D.VI. 450.000.000 € | ||
| C.VII. 45.000.000 € | D.VII. konkrét éves árbevétel* |
*Konkrét éves árbevétel kerül meghatározásra az évi 500 millió eurót meghaladó árbevételű vállalkozás esetén
Ad 3. Alapérték meghatározása
Ebben a lépésben az átlagos éves árbevételt elosztották 360-al, így kerekítve kijön a bírság napi értéke (az előző példa alapján a B.II. alcsoportban: 6,25 millió euró / 360 = 17.361 euró). Az alábbi napi alap bírságtételek kerültek meghatározásra az 1. pont szerinti kategóriákban:
| A | B | C | D |
| A.I. 972 € | B.I. 9.722 € | C.I. 31.250 € | D.I. 173.611 € |
| A.II. 2.917 € | B.II. 17.361 € | C.II. 38.194 € | D.II. 243.056 € |
| A.III. 4.722 € | B.III. 24.306 € | C.III. 48.611 € | D.III. 416.667 € |
| C.IV. 62.500 € | D.IV. 694.444 € | ||
| C.V. 76.389 € | D.V. 972.222 € | ||
| C.VI. 97.222 € | D.VI. 1.250.000 € | ||
| C.VII. 125.000 € | D.VII. konkrét napi összeg* |
*Konkrét napi összeg kerül meghatározásra az adott évi 500 millió eurót meghaladó árbevételű vállalkozás esetén
Ad 4. Alapérték megfelelő szorzóval történő növelése a jogsértés súlyának megfelelően
A jogsértések az alábbi kategóriákba kerülnek besorolásra, és ehhez kapcsolódóan a táblázat szerinti szorzók alkalmazandók:
| Jogsértés súlyossága | GDPR 83. cikk (4) bek. esetében alkalmazandó szorzó | GDPR 83. cikk (5) és (6) bek. esetében alkalmazandó szorzó |
| Enyhe | 1-2 | 1-4 |
| Közepes | 2-4 | 4-8 |
| Súlyos | 4-6 | 8-12 |
| Nagyon súlyos | 6 < | 12 < |
A jogsértés súlyosságának a meghatározás a GDPR 83. cikk (2) bekezdésében szereplő szempontokra figyelemmel történik. A szorzóknak az alapértékekre történő alkalmazása kijelöl "bírságolási sávokat", amelyeken belül a bírság összege az adott jogsértés kapcsán meghatározásra kerülhet.
Ad 5. Enyhítő és súlyosító körülmények figyelembevétele
Az adott ügyben a fenti 4. pont kapcsán még nem értékelt esetleges további enyhítő és súlyosító körülmények itt vehetők figyelembe a hatóság mérlegelése alapján. A bírságkiszabással kapcsolatos egyéb általános szempontok is itt értékelhetők, pl. megfelelő visszatartó erőt jelent-e, hatékony és arányos-e a meghatározott bírság. Ebben a lépésben kerülhet ellenőrzésre az is, hogy a bírság a megfelelő bírságolási sávba esik-e, illetve a GDPR-nak megfelelő-e (pl. adott esetben az alkalmazható maximumot nem lépi-e túl).
Összefoglalóan, azt állapíthatjuk meg, hogy az első négy lépés lényegében a stabil kereteit teremti meg a bírságok kiszabásának. Az első három lépés lényegében állandó bírságtarifákat eredményez, amely alapján bárki számára már előre világos, hogy egy adott vállalkozás esetében milyen nagyságrendű tétellel kell számolni. A negyedik lépés pedig - a jogsértés súlyától függően - kijelöl egy sávot, amin belül a bírság kiszabására sor kerülhet. Az ötödik lépés a "bírságolási sávon" belüli korrekciókra ad lehetőséget.
Nézzünk egy konkrét példát!
Vegyünk egy B.II. kategóriába tartozó kisvállalkozást, amely a GDPR 83. cikk (5) bekezdése szerinti jogsértést követett el (pl. alapelvek sérelme, jogalap nélküli adatkezelés, érintetti jogok megsértése, stb.) és a jogsértés közepes súlyúnak minősül. Tekintettel arra, hogy az alapérték a B.II. kategóriában 17.361 euró, ezt kerülhet - a közepes súlyúnak minősített jogsértésre tekintettel - megszorzásra 4-8 közötti szorzóval. A bírságolási sáv tehát 69.444 euró és 138.888 euró között alakul ebben az esetben. Tegyük fel, hogy a hatóság 6-os szorzót (medián) alkalmaz, így 104.166 euró jön ki. Ha további enyhítő vagy súlyosító körülmény nem merül fel, akkor ez lehet a bírság összege.
A konkrét példa is jól mutatja, hogy a 3. és a 4. lépés alapján minden kategória tekintetében, figyelemmel a különböző súlyú jogsértésekre kialakul a bírságolási sáv, amin belül a konkrét bírságkiszabás történik.
Mi várható az új koncepció alapján?
A koncepció alkalmazása átláthatóbb kereteket teremthet a vállalkozások számára, ugyanakkor az eddigi gyakorlathoz képest a bírságok összegének jelentős emelkedését vetíti előre. A koncepció szerint kiszabható magasabb összegek különösen arra tekintettel jelentenek majd nagy ugrást, hogy 2019. májusáig a német hatóságok összesen 81 ügyben 485.000 euró összegű bírságot szabtak ki. Az új megközelítés alapján ez az összeg már egy ügyben is könnyen kiszabásra kerülhet. A holland bírságolási irányelvekkel összevetve az látszik, hogy a német hatóságok ceruzája igen vastagon foghat és ez akár a többi tagállami hatóság esetében is felfelé mozdíthatja el a bírságok összegét. A berlini adatvédelmi hatóság egyébként már augusztusban kinyilvánította, hogy a korábbiakhoz képest jóval komolyabb összegű, akár millió eurós nagyságrendű bírságok kiszabására is számítani lehet tőle (és egy ügyben meg is állapított összesen 200.000 euró összegű bírságot, amely összevetve a korábbi német bírságok összegével, már komoly nagyságrendi ugrást jelezhet előre).
Kérdés, hogy a német és a holland iránymutatásokat további tagállami bírságolási politikák közzététele is követi-e, illetve, hogy az Európai Adatvédelmi Testület elfogad-e olyan iránymutatást, amely alkalmas lehet arra, hogy a tagállami szintű megoldások helyett az egész EU-ra egységesen rögzítsen bírságolási szempontrendszert. Az egységesítés ezen a területen nagyon komoly kihívást jelenthet, hiszen az egyes tagállamok között meglévő különbségeket figyelmen kívül hagyó rendszer az adatvédelmen messze túlmutató hatással járhat és alapvető gazdasági hatásai is lehetnek.
