Az Európai Unió adatvédelmi reformja 2018 májusától vált alkalmazandóvá. Az új adatvédelmi szabályozás része az általános adatvédelmi rendelet, angol rövidítéssel: a GDPR. Az új adatvédelmi rendelet közvetlenül alkalmazandó az Unió területén, mélyreható változásokat hoz az adatkezelések, az érintetti joggyakorlás és az adatvédelmi felügyeleti hatóságok tevékenységének terén. A GDPR egyik legmarkánsabb újítása az egységes adatvédelmi bírság bevezetése minden tagállamban, amelynek mértéke mindenhol azonos, és jelentősen magasabb a korábbi bírságösszegekhez képest. A kiszabható bírságok 10 millió euróig, illetve vállalatok esetében a teljes világpiaci forgalom 2%-áig terjedhetnek, súlyosabb esetben ezek duplája jelenti a bírság legmagasabb összegét. A bírságkiszabás szempontjait a GDPR pontosan meghatározza, részletezi, hogy mi minősül súlyosbító, illetve enyhítő körülménynek. Az új szabályokat a határon átnyúló ügyekben a tagállami hatóságok együttműködésében fogják alkalmazni, az adatkezelők számára egyablakos ügyintézés keretében. Amennyiben bármilyen releváns kérdésben, így a bírságkiszabás tekintetében vita alakul ki az együttműködő hatóságok között, akkor az Európai Adatvédelmi Testület dönt az ügyben. A Testületnek az Unió valamennyi adatvédelmi hatóságának képviselője tagja, döntése kötelező erejű. A határon átnyúló és a határon át nem nyúló ügyekből épülő esetjog kívánatos esetben egységes joggyakorlatot fog felépíteni, amely a GDPR harmonizált alkalmazásán alapul. Amennyiben ez megvalósul, úgy az új szabályok alkalmazása hozzá fog járulni a személyes adatok magas szintű védelméhez.
Tárgyszavak: GDPR, adatvédelem, bírság, Európai Unió, Európai Adatvédelmi Testület, hatóságok közötti együttműködés, egyablakos ügyintézés, vitarendezési eljárás.
Az Európai Unió 2018. május 25-étől alkalmazandó általános adatvédelmi rendelete, a GDPR[1] számos új szabályt tartalmaz a korábbi magyar szabályozáshoz képest. Idetartozik az adatvédelmi hatásvizsgálat, a kötelező incidensjelentési rendszer bevezetése vagy az adatvédelmi hatóságok szoros együttműködésére épülő kikényszerítési modell.
Az adatvédelmi bírság uniós szinten újdonságot jelent, ugyanakkor több tagállamban a bírság alkalmazása már eddig is a gyakorlat része volt.[2] Újdonságát az jelenti mégis, hogy az egész EU területén azonos hatáskört állapít meg az adatvédelmi felügyeleti hatóságok számára, és ennek egyik fontos eleme a közigazgatási bírság. A jogalkotói cél világos: a közigazgatási szankciók szigorítása és harmonizálása a GDPR által előírt szabályok betartásának erősítése érdekében.[3]
A személyes adatok védelmének kontextusában értékelhetjük úgy is, hogy az uniós jogalkotó egy mércét hozott létre, ami akkor válik kitapinthatóvá, amikor a jogalkalmazó hatóság azt mérlegeli a GDPR alapján, vajon szükséges-e a bírság kiszabása az adott ügyben. Amennyiben igen, úgy ezt a mércét a jogsértés jogi értelemben átlépte, ha pedig nem szab ki bírságot, akkor e küszöb alatt marad a jogsértés mértéke. A következő években a hatósági gyakorlat alapján tudjuk majd alaposabban bemutatni ezt a mércét, tehát azt, hogy milyen típusú és súlyú jogsértések váltanak ki pénzügyi szankciót és melyek nem. Jelenleg ilyen gyakorlatra még nem támaszkodhatunk, ezért az alábbiakban a jogi szabályozás és az annak alapján készült európai adatvédelmi testületi[4] iránymutatás alapján
- 27/28 -
mutatjuk be az adatvédelmi bírságra vonatkozó szabályozást. Az Európai Adatvédelmi Testület (a továbbiakban: Testület) tagjai egyetértettek abban, hogy az iránymutatást mint közös megközelítést alkalmazzák.
Az uniós jogalkotó az egyes tagállamokban biztosított védelmi szintet eltérőnek látja, és ezt arra vezeti vissza, hogy a GDPR által hatályon kívül helyezett 95/46/EK adatvédelmi irányelv[5] tagállami átültetése és gyakorlata országonként eltérő volt.[6] Annak érdekében, hogy a személyek magas szintű védelme szavatolható legyen, az érintetti jogokat az egész Európai Unióban azonos szintű védelemben kell részesíteni, a széttagolt szabályozást tehát fel kell számolni. Ennek eszköze és garanciája, hogy a "szabályok betartásának ellenőrzéséhez és biztosításához egyenértékű hatáskört is biztosítani szükséges, és a jogsértőkre azonos szankciókat kell kiszabni".[7] A GDPR közvetlenül alkalmazandó jogalkotási aktusként ennek a jogalkotói szándéknak a keretét teremti meg.
A GDPR az adatvédelmi felügyeleti hatóságok hatáskörét hármas tagolás szerint vizsgálati, korrekciós, valamint engedélyezési és tanácsadási kategóriába sorolja. Korrekciós hatáskörének alkalmazása során tíz különböző jogkövetkezmény közül választhat a hatóság: még meg nem történt, de valószínűsíthető jogsértés esetén figyelmeztetést alkalmazhat; megtörtént, de bírság kiszabását nem igénylő jogsértés esetén elmarasztalja az adatkezelőt vagy az adatfeldolgozótt[8] (a továbbiakban egységesen: adatkezelő); utasítja az adatkezelőt, hogy teljesítse az érintett jogai gyakorlására irányuló kérelmét, vagy nyújtson tájékoztatást az érintett számára az adatvédelmi incidensről; utasíthatja az adatkezelőt arra, hogy adatkezelését hozza összhangba a rendelettel; korlátozhatja vagy meg is tilthatja az adatkezelést; elrendelheti az adatok helyesbítését, törlését vagy az adatkezelés korlátozását - ilyenkor az érintett jogának érvényesítése érdekében lép fel; visszavonhatja vagy a tanúsító szervezetet utasítva visszavonatja a tanúsítványt; közigazgatási bírságot szabhat ki és elrendelheti a harmadik országbeli címzett felé irányuló adattovábbítás felfüggesztését.[9]
Közigazgatási bírság kiszabására a többi szankció alkalmazása mellett, vagy azok helyett is sor kerülhet.[10] Az eljáró hatóság felelőssége arról dönteni, hogy alkalmaz-e szankciót az adott eljárás során, és amennyiben így dönt, akkor a lehetséges jogkövetkezmények közül melyiket, illetve melyek kombinációját alkalmazza.
A GDPR részletes kritériumrendszert határoz meg annak mérlegelésére, hogy szükség van-e bírság kiszabására, a bírság összegének megállapítására. Ez a két mérlegelés azonos szempontok alapján történik, a jogalkotó nem hozott létre két eltérő szempontrendszert.[11] A hatóság tehát ugyanazokat a körülményeket vizsgálja akkor, amikor arról dönt, hogy kiszabjon-e bírságot, és akkor is, amikor a bírság mértékéről határoz.
A mérlegelés során az anyagi jogi jogsértés jellegét, súlyosságát és időtartamát vizsgálja a hatóság, továbbá az érintettek számát és az általuk elszenvedett kár mértékét. A jogsértés jellege és súlya döntő befolyást gyakorol a bírság mértékének meghatározására, hiszen - amint azt a bírság mértéke kapcsán be fogjuk mutatni - a GDPR egyes rendelkezéseinek megsértése enyhébbnek, illetve súlyosabbnak minősülhet, és ez az alkalmazandó szankcióra is hatással van.
A Jogkódex-előfizetéséhez tartozó felhasználónévvel és jelszóval is be tud jelentkezni.
Az ORAC Kiadó előfizetéses folyóiratainak „valós idejű” (a nyomtatott lapszámok megjelenésével egyidejű) eléréséhez kérjen ajánlatot a Szakcikk Adatbázis Plusz-ra!
Visszaugrás
