GDPR

Adatvédelem mindenkinek / Data protection for everyone

Német bírságolási koncepció a GDPR alapján

2019. október 21. 11:30 - poklaszlo

Szállítószalagon érkezhetnek az óriási bírságok?

Jelentős változást és akár a bírságok összegének komoly emelkedését is hozhatja a német adatvédelmi hatóságok konferenciája (DSK) által közösen elfogadott és közzétett bírságolási koncepció. Az általánosan alkalmazandó elvek rögzítésével a német hatóságok követik a holland hatóságot (Autoriteit Persoonsgegevens), amely néhány hónapja (elsőként az EU-ban) közzétett egy bírságolási politikát, amelyben részletesen bemutatta azokat az elveket, amelyek alapján a konkrét ügyekben a bírság mértékét meghatározza (erről itt írtam korábban). 

A német adatvédelmi jogalkalmazás sajátossága, hogy szövetségi tagállamonként független adatvédelmi hatóságok működnek, így az egységes jogalkalmazás megteremtése (ami a GDPR alapján az egész EU-t érintő kihívás) már országos (szövetségi) szinten is komoly kihívást jelenthet. Még a GDPR alkalmazandóvá válását megelőzően a WP29 adott ki a bírságolásra vonatkozó iránymutatást (erről itt és itt írtam részletesen), azzal a céllal, hogy elősegítse az egységesebb jogalkalmazást, aminek a bírságösszegek egymáshoz legalább közelítő mértékében is meg kellene mutatkoznia. A WP29 iránymutatása azonban a GDPR 83. cikkének kicsit részletesebb magyarázatán nem igazán lépett túl, nem adott kézzel fogható, illetve számszerűsíthető támpontokat a bírságtételek meghatározásához. Ezt a hiányosságot igyekeznek pótolni egyes tagállami hatóságok addig is, amíg esetleg az Európai Adatvédelmi Testület az egész EU-ra nézve konkrétabb bírságolási szempontokat is meghatároz. (A német hatósági koncepció kifejezetten rögzíti is, hogy a koncepció hatályát veszti abban az esetben, ha az Európai Adatvédelmi Testület kiad egy egész EU-ra vonatkozó iránymutatást.)

Mit tud a német bírságolási modell?

A koncepció azt a célt szolgálja, hogy az adatvédelmi jogsértések esetén alkalmazott bírságok hatékonyak, arányosak és kellő visszatartó erővel rendelkezők legyenek. A koncepció kizárólag vállalkozások tekintetében alkalmazandó, egyesületek, illetve gazdasági tevékenységük körén kívül eljáró magánszemélyek esetében nem. A koncepció egy 5 lépéses, komplex modellt határoz meg a bírság kiszabása kapcsán: 

  1. éves árbevétel szerinti kategóriákat rögzít,
  2. meghatározásra került az egyes alcsoportokra nézve az átlagos éves árbevétel értéke, ezt követően 
  3. egy alapérték került meghatározásra (ami lényegében az átlagos éves árbevétel 360-al elosztott, napi értéke),
  4. az alapérték megfelelő szorzóval történő megnövelése a jogsértés súlyának megfelelően (figyelemmel a GDPR 83. cikkében meghatározott szempontokra), végül
  5. a fentiek szerint meghatározott összeg korrekciója történik meg az eset körülményeire tekintettel (enyhítő és súlyosító körülmények alkalmazása a hatóság mérlegelése alapján). 

Nézzük az egyes lépéseket egy kicsit részletesebben: 

Ad 1. Vállalkozások kategóriákba sorolása

A koncepció összesen négy kategóriát határozott meg (A-D-ig). Az első három kategóriába kis- és középvállalkozások tartoznak (A: mikrovállalkozások, B: kisvállalkozások, C: középvállalkozások), míg a negyedik kategóriát a nagyvállalkozások jelentik (D). Ezeken belül további alkategóriák kerültek kialakításra (A és B kategórián belül 3 alkategória, míg C és D kategórián belül 7 alkategória szerepel).

A vállalkozások besorolása kapcsán a GDPR 83. cikk (4)-(6) bekezdése alapján az előző pénzügyi év teljes éves világpiaci forgalmát veszik figyelembe. 

A kis- és középvállalkozások a Bizottság 2003-as ajánlására figyelemmel kerülnek kategorizálásra (2003/361/EK). A vállalkozás fogalmát pedig - a GDPR 150. preambulum bekezdésére is figyelemmel - az EUMSZ 101. és 102. cikkében meghatározott vállalkozásokra vonatkozó szabályoknak megfelelően kell értelmezni. Nevezetesen, a vállalkozás fogalmát úgy kell érteni, hogy az egy gazdasági egységet jelent, amely állhat egy anyavállalatból és valamennyi érintett leányvállalatból. Nem a jogi személyek szerinti elkülönítés a lényeges tehát, hanem a kereskedelmi/gazdasági tevékenységekben való részvétel. (Erről korábban a WP29 bírságolásra vonatkozó iránymutatása kapcsán írtam részletesebben.) 

Ad 2. Átlagos éves árbevétel meghatározása   

Az alcsoportokon belüli átlag számítása (pl. a B.II. alcsoportba az 5 millió - 7.5 millió eurós éves árbevétel közötti vállalkozások tartoznak, így az átlagos éves árbevétel értékekeként 6.25 millió euró került meghatározásra). Az egyes kategóriákban az alábbi átlagos éves árbevételi értékek kerültek rögzítésre:  

A B C D
A.I.        350.000 € B.I.       3.500.000 € C.I.    11.250.000 € D.I.     62.500.000 €
A.II.     1.050.000 € B.II.      6.250.000 € C.II.   13.750.000 € D.II.    87.500.000 €
A.III.    1.700.000 € B.III.     8.750.000 € C.III.  17.500.000 € D.III. 150.000.000 €
C.IV.   22.500.000 € D.IV.  250.000.000 €
C.V.    27.500.000 € D.V.   350.000.000 €
C.VI.  35.000.000 € D.VI.  450.000.000 €
C.VII. 45.000.000 € D.VII. konkrét éves árbevétel*

*Konkrét éves árbevétel kerül meghatározásra az évi 500 millió eurót meghaladó árbevételű vállalkozás esetén

Ad 3. Alapérték meghatározása   

Ebben a lépésben az átlagos éves árbevételt elosztották 360-al, így kerekítve kijön a bírság napi értéke (az előző példa alapján a B.II. alcsoportban: 6,25 millió euró / 360 = 17.361 euró). Az alábbi napi alap bírságtételek kerültek meghatározásra az 1. pont szerinti kategóriákban:  

A B C D
A.I.           972 € B.I.            9.722 € C.I.           31.250 € D.I.        173.611 €
A.II.       2.917 € B.II.         17.361 € C.II.          38.194 € D.II.       243.056 €
A.III.      4.722 € B.III.        24.306 € C.III.         48.611 € D.III.      416.667 €
C.IV.          62.500 € D.IV.       694.444 €
C.V.           76.389 € D.V.        972.222 €
C.VI.         97.222 €  D.VI.    1.250.000 €
C.VII.      125.000 € D.VII. konkrét napi összeg*

*Konkrét napi összeg kerül meghatározásra az adott évi 500 millió eurót meghaladó árbevételű vállalkozás esetén

Ad 4. Alapérték megfelelő szorzóval történő növelése a jogsértés súlyának megfelelően    

A jogsértések az alábbi kategóriákba kerülnek besorolásra, és ehhez kapcsolódóan a táblázat szerinti szorzók alkalmazandók: 

Jogsértés súlyossága GDPR 83. cikk (4) bek. esetében alkalmazandó szorzó  GDPR 83. cikk (5) és (6) bek. esetében alkalmazandó szorzó 
Enyhe  1-2 1-4
Közepes 2-4 4-8
Súlyos 4-6  8-12
Nagyon súlyos 6 <  12 <

 

A jogsértés súlyosságának a meghatározás a GDPR 83. cikk (2) bekezdésében szereplő szempontokra figyelemmel történik. A szorzóknak az alapértékekre történő alkalmazása kijelöl "bírságolási sávokat", amelyeken belül a bírság összege az adott jogsértés kapcsán meghatározásra kerülhet. 

Ad 5. Enyhítő és súlyosító körülmények figyelembevétele 

Az adott ügyben a fenti 4. pont kapcsán még nem értékelt esetleges további enyhítő és súlyosító körülmények itt vehetők figyelembe a hatóság mérlegelése alapján. A bírságkiszabással kapcsolatos egyéb általános szempontok is itt értékelhetők, pl. megfelelő visszatartó erőt jelent-e, hatékony és arányos-e a meghatározott bírság. Ebben a lépésben kerülhet ellenőrzésre az is, hogy a bírság a megfelelő bírságolási sávba esik-e, illetve a GDPR-nak megfelelő-e (pl. adott esetben az alkalmazható maximumot nem lépi-e túl). 

Összefoglalóan, azt állapíthatjuk meg, hogy az első négy lépés lényegében a stabil kereteit teremti meg a bírságok kiszabásának. Az első három lépés lényegében állandó bírságtarifákat eredményez, amely alapján bárki számára már előre világos, hogy egy adott vállalkozás esetében milyen nagyságrendű tétellel kell számolni. A negyedik lépés pedig - a jogsértés súlyától függően - kijelöl egy sávot, amin belül a bírság kiszabására sor kerülhet. Az ötödik lépés a "bírságolási sávon" belüli korrekciókra ad lehetőséget.      

Nézzünk egy konkrét példát!  

Vegyünk egy B.II. kategóriába tartozó kisvállalkozást, amely a GDPR 83. cikk (5) bekezdése szerinti jogsértést követett el (pl. alapelvek sérelme, jogalap nélküli adatkezelés, érintetti jogok megsértése, stb.) és a jogsértés közepes súlyúnak minősül. Tekintettel arra, hogy az alapérték a B.II. kategóriában 17.361 euró, ezt kerülhet - a közepes súlyúnak minősített jogsértésre tekintettel - megszorzásra 4-8 közötti szorzóval. A bírságolási sáv tehát 69.444 euró és 138.888 euró között alakul ebben az esetben. Tegyük fel, hogy a hatóság 6-os szorzót (medián) alkalmaz, így 104.166 euró jön ki. Ha további enyhítő vagy súlyosító körülmény nem merül fel, akkor ez lehet a bírság összege.

A konkrét példa is jól mutatja, hogy a 3. és a 4. lépés alapján minden kategória tekintetében, figyelemmel a különböző súlyú jogsértésekre kialakul a bírságolási sáv, amin belül a konkrét bírságkiszabás történik.   

Mi várható az új koncepció alapján?

A koncepció alkalmazása átláthatóbb kereteket teremthet a vállalkozások számára, ugyanakkor az eddigi gyakorlathoz képest a bírságok összegének jelentős emelkedését vetíti előre. A koncepció szerint kiszabható magasabb összegek különösen arra tekintettel jelentenek majd nagy ugrást, hogy 2019. májusáig a német hatóságok összesen 81 ügyben 485.000 euró összegű bírságot szabtak ki. Az új megközelítés alapján ez az összeg már egy ügyben is könnyen kiszabásra kerülhet. A holland bírságolási irányelvekkel összevetve az látszik, hogy a német hatóságok ceruzája igen vastagon foghat és ez akár a többi tagállami hatóság esetében is felfelé mozdíthatja el a bírságok összegét. A berlini adatvédelmi hatóság egyébként már augusztusban kinyilvánította, hogy a korábbiakhoz képest jóval komolyabb összegű, akár millió eurós nagyságrendű bírságok kiszabására is számítani lehet tőle (és egy ügyben meg is állapított összesen 200.000 euró összegű bírságot, amely összevetve a korábbi német bírságok összegével, már komoly nagyságrendi ugrást jelezhet előre).  

Kérdés, hogy a német és a holland iránymutatásokat további tagállami bírságolási politikák közzététele is követi-e, illetve, hogy az Európai Adatvédelmi Testület elfogad-e olyan iránymutatást, amely  alkalmas lehet arra, hogy a tagállami szintű megoldások helyett az egész EU-ra egységesen rögzítsen bírságolási szempontrendszert. Az egységesítés ezen a területen nagyon komoly kihívást jelenthet, hiszen az egyes tagállamok között meglévő különbségeket figyelmen kívül hagyó rendszer az adatvédelmen messze túlmutató hatással járhat és alapvető gazdasági hatásai is lehetnek. 

Szólj hozzá!

A bejegyzés trackback címe:

https://gdpr.blog.hu/api/trackback/id/tr415234056

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása