És hogy mire lehet konkrétan számítani? Erre hívja fel a figyelmet a Szecskay Ügyvédi Iroda ügyvédje, dr. Kovács Zoltán Balázs (képünkön):
Mire számíthatunk?
- A bírság maximális összege 20 millió Euró, de egy multinacionális vállalat esetén ennél nagyobb összeggel is számolhatnak.
- Az Európai Uniós tagországok adatvédelmi hatóságai már a közelmúltban is kiszabtak rendkívül nagy összegű bírságokat adatvédelmi jogsértésekért. Az olasz adatvédelmi hatóság 2017 első negyedévében szabta ki az Európai Unióban alkalmazott eddigi legmagasabb összegűt; összesen több mint 11 millió Euró (3.4 milliárd(!) forint) összegű büntetést azért, mert jogellenesen használtak fel személyes adatokat pénzmosási gyanút felvető banki átutalásokhoz. A spanyol hatóság a Facebook-ot bírságolta tavaly 1.2 millió Euróra nem megfelelő tájékoztatás nyújtás miatt.
- Nyártól megnövekedett számú ellenőrzésre és komolyabb bírságokra lehet számítani, , a Szecskay Ügyvédi Iroda ügyvédje szerint.
Talán még mindig sokak
számára nem ismert, de a rendelet a családi vállalkozásoktól
kezdve a legnagyobb multinacionális cégekig mindenkire kiterjed,
hiszen valamilyen szinten minden vállalkozás kezel személyes
adatokat (pl. vannak munkavállalói, ügyfelei, szerződéses
partnerei stb.).
Tekintettel a
rendeletben előírt kötelezettségekre és az értelmezési
bizonytalanságokra, a bírságnak való kitettség mértéke magas
lehet. Az Európai Unió adatvédelmi munkacsoportjának
iránymutatása alapján sem lehet prognosztizálni, hogy egy-egy
jogsértés esetén milyen összegű bírságot szabhatnak ki.
Hogyan bukhat le egy vállalat?
Május 25-e után
számolni kell azzal, hogy megnövekszik az adatvédelmi hatósághoz
tett bejelentések száma. Könnyen megeshet, hogy egy volt
munkavállaló, üzleti partner, egy ügyfél vagy versenytárs
bejelentést tesz a hatóságnál jogsértés gyanújával, amelyet
követően a hatóság eljárást indít.
Mennyi lehet a bírság?
A bírság maximális összege 20
millió Euró, illetve vállalkozások esetében az előző pénzügyi
év teljes éves világpiaci forgalmának legfeljebb 4%-a lehet; a
kettő közül a magasabb összeg jelenti a maximumot.
Az Európai Bíróság
korábban kialakított gyakorlata alapján a bírság maximumának
százalékos mértéke nem a konkrét jogsértő vállalkozás, hanem
az adott vállalkozás csoport előző pénzügyi évének teljes
árbevételére vetítendő. Mindez azt jelenti, hogy a büntetés
maximális összege egy multinacionális cég esetében akár meg is
haladhatja a 20 millió Eurót (500 millió Euró előző évi
világpiaci forgalom fölött már ez a helyzet).
Mit ellenőriznek?
A hatóság eljárásának
pontos eljárási szabályait az Országgyűlésnek május 25-e előtt
el kell fogadnia. A jogalkotónak a jelenlegi szabályok
módosításakor többek között ki kell jelölnie a hatóságot,
amely a rendeletben foglaltak ellenőrzéséért felel. Ez a mai
napig nem történt meg, azonban a személyes adatok kezelését
végzők számára ajánlott a felkészülés, hiszen a nyártól a
hatóság eddig nem látott szigorral élhet a jogsértőkkel
szemben.
A rendelet szerint az
eljárás során a hatóság tájékoztatást kérhet a személyes
adatok kezeléséről, hozzáférést kérhet a személyes adatokhoz,
az adatkezelő, illetve adatfeldolgozó helyiségeihez és
eszközeihez, továbbá dokumentumok átadására hívhat fel. Az,
hogy pontosan milyen információk és dokumentumok nyújtására hív
fel a hatóság, elsősorban az eljárás tárgyát képező
kérdésektől függ.
Amennyiben például egy
állítólagos adatvédelmi incidenst (pl. egy személyes adatokat
tartalmazó emailt tévedésből olyan személynek is elküldtek,
akinek nem lett kellett volna vagy pl. egy vállalkozás ügyfelei
adatait tartalmazó adatbázisát illetéktelenek feltörik vagy pl.
egy munkavállaló elveszti a munkavégzéshez használt laptopját)
jelentenek be a hatósághoz, akkor a hatóság az incidenssel
érintett adatkezelőnél rá fog kérdezni többek között arra,
hogy történt-e a bejelentésben foglaltak szerinti incidens,
amennyiben igen, akkor kérdés, hogy bejelentette-e az incidenst
maga az adatkezelő is a hatósághoz vagy nem, ha nem, miért nem.
Kérdés az is, hogy
milyen intézkedéseket tett az adatkezelő az adatvédelmi incidens
következményeinek enyhítésére, illetve tájékoztatta-e az
érintetteket az incidensről és, ha nem, miért nem. A hatóság
minden bizonnyal elkéri az adatvédelmi incidensekről kötelezően
vezetendő nyilvántartást is, illetve az incidens szabályzatot is
bekérné, továbbá megvizsgálná, hogy az adatkezelő megtette-e a
megfelelő technikai és szervezési intézkedéseket az incidens
megelőzése érdekében, illetve, ha az bekövetkezett, akkor
alkalmazott-e egy előre kialakított megfelelő incidens-kezelési
rendszert.
Az üggyel kapcsolatos NAIH véleményt dr. Péterfalvi Attila, a hatóság elnöke foglalta össze. Vonatkozó közleményünk ide kattintva olvasható.
A bírságról és az adatvédelmi rendeletben (GDPR) foglaltakról hasznos információkat talál az eugdpr.blog.hu oldalon.