Még 21 nap- Tényleg 20 millió euró lesz a GDPR büntetés?

A cikk olvasási ideje 10 perc

 Ha egy e-kereskedelmi cég több EU-s országba kívánja eljuttatni terméket, vagy ha egy online szolgáltató több EU-s országba kínálja szolgáltatásait, nem kell többé 28 különböző ország eltérő adatvédelmi törvényének megfelelni – a cég fogyasztói és felhasználói adatait a GDPR szabályai szerint kell kezelje, függetlenül attól, melyik tagállamban végzi tevékenységét – május 25-től az adatvédelem általános szabályait az EU új, Általános Adatvédelmi Rendelet formájában szabályozza (az angol General Data Protection Regulation elnevezés után egyszerűen csak “GDPR”). Tényleg 20 millió euró lesz a GDPR büntetés?

A GDPR-ral részletesen korábbi cikkünkben foglalkoztunk, valamint jó áttekintést nyújt az Pakkhordar.hu oldalán elérhető, 12 pontban összeszedett GDPR kisokos.

Az elmúlt hónapokban rengeteg kérdés merült fel a rendelet gyakorlati alkalmazásával kapcsolatban, amelyekre az érintettek a Nemzeti Adatvédelmi és Információbiztonsági Hatóságtól várják a válaszokat. A NAIH elkezdte közzétenni az első, ilyen kérdésekre adott válaszait, valamint a GDPR rendelet alkalmazásával kapcsolatos első iránymutatásokat, amelyek elérhetők a hivatal weboldalán: Az adatvédelmi reformmal kapcsolatos állásfoglalások.

Aki még nem csinálta meg érdemes mielőbb elkezdenie, mert a határídő a nyomunkban liheg. A büntetés nagyon nagy összeg, amely cégeket egyik napról a másikra meg is semmisíthet.

Az új európai adatvédelmi rendelet (GDPR) kapcsán a legtöbb szó talán a hatalmas összegű bírságról esik. A GDPR rendelkezéseinek megsértését ugyanis – súlyosabb esetben – akár 20 millió euró összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel kell sújtani.

Tényleg 20 millió euró lesz a GDPR büntetés?

De vajon milyen jogsértésekért esetén járhat a magasabb (20 millió euró vagy világpiaci forgalom legfeljebb 4 %-a), illetve melyekért az alacsonyabb (10 millió euró vagy világpiaci forgalom legfeljebb 2 %-a) bírságplafoning terjedő bírság?

Mondhatjuk tehát, hogy a „kisebb” összegű bírság inkább az adminisztratív kötelezettségek megsértéséért jár, míg a magasabb összegű bírságot a súlyosabb jogsértések, úgymint az adatkezelés elveinek megsértése (beleértve azt is, ha nincs vagy nem megfelelő a jogalap), az érintett jogainak sérelme, a harmadik országba történő adattovábbítás szabályainak megsértése, az adatkezelés különös eseteire vonatkozó tagállami szabályok sérelme, illetve a felügyeleti hatóság intézkedéseivel való „ellenszegülésért” lehet kiszabni.

A GDPR a rendelet egyes szakaszaira lebontva meghatározza, hogy azok megsértése esetén melyik bírságplafon alkalmazandó. Nézzük meg az egyes cikkekre lebontva, hogy az adott rendelkezések megsértése esetén mennyire mélyen kell az adatkezelőknek a zsebükbe nyúlniuk.

  1. Az alábbi rendelkezések megsértése legfeljebb 10 millió euró összegűközigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggelsújtható (a kettő közül a magasabb összeget kell kiszabni):
  2. a) az adatkezelő és az adatfeldolgozótekintetében
  • 8. (a gyermek hozzájárulására vonatkozó feltételek az információs társadalommal összefüggő szolgáltatások vonatkozásában),
  • 11. (azonosítást nem igénylő adatkezelés),
  • 25-39. (25.: beépített és alapértelmezett adatvédelem; 26. : közös adatkezelők; 27.: az Unióban tevékenységi hellyel nem rendelkező adatkezelők vagy adatfeldolgozók képviselői; 28.: az adatfeldolgozó; 29.: az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés; 30.: az adatkezelési tevékenységek nyilvántartása; 31.: együttműködés a felügyeleti hatósággal; 32.: az adatkezelés biztonsága; 33.: az adatvédelmi incidens bejelentése a felügyeleti hatóságnak; 34.: az érintett tájékoztatása az adatvédelmi incidensről; 35.: adatvédelmi hatásvizsgálat; 36.: előzetes konzultáció; 37.: az adatvédelmi tisztviselő kijelölése; 38.: az adatvédelmi tisztviselő jogállása; 39.: az adatvédelmi tisztviselő feladatai ),
  • 42. (tanúsítás) és
  • 43. cikkben (tanúsító szervezetek)

meghatározott kötelezettségek;

  1. b) a tanúsító szervezettekintetében
  • a 42. (tanúsítás) és
  • 43. cikkben (tanúsító szervezetek)

meghatározott kötelezettségek;

  1. c) az ellenőrző szervezettekintetében a  cikk (4) bekezdésében(a jóváhagyott magatartási kódexeknek való megfelelés ellenőrzése kapcsán: a magatartási kódexnek való megfelelést ellenőrző szervezet a kódex valamely adatkezelő vagy adatfeldolgozó általi megsértése esetén – megfelelő garanciák mellett – megfelelő intézkedéseket tesz, beleértve az érintett adatkezelő vagy adatfeldolgozó felfüggesztését vagy kizárását a kódex alkalmazásából. Ezekről az intézkedésekről és azok indokairól az illetékes felügyeleti hatóságot tájékoztatja.)

meghatározott kötelezettségek.

  1. Az alábbi rendelkezések megsértését legfeljebb 20 millió euró összegűközigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggelkell sújtani (a kettő közül a magasabb összeget kell kiszabni):
  2. a) az adatkezelés elvei– ideértve a hozzájárulás feltételeit –
  • az 5. (a személyes adatok kezelésére vonatkozó elvek),
  • 6. (az adatkezelés jogszerűsége),
  • 7. (a hozzájárulás feltételei) és
  • 9. cikknek (a személyes adatok különleges kategóriáinak kezelése)

megfelelően;

  1. b) az érintettek jogaia 12–22. cikknek(12.: átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések; 13.: rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik; 14.: rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg; 15.: az érintett hozzáférési joga; 16.: a helyesbítéshez való jog; 17.: a törléshez való jog („az elfeledtetéshez való jog”); 18.: az adatkezelés korlátozásához való jog; 19.: a személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség; 20.: az adathordozhatósághoz való jog; 21.: a tiltakozáshoz való jog; 22.: automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást) megfelelően;
  2. c) személyes adatoknak harmadik országbeli címzett vagy nemzetközi szervezet részére történő továbbítása44–49. cikknek(44.: az adattovábbításra vonatkozó általános elv; 45.: adattovábbítás megfelelőségi határozat alapján; 46.: megfelelő garanciák alapján történő adattovábbítások; 47.: kötelező erejű vállalati szabályok; 48.: az uniós jog által nem engedélyezett továbbítás és közlés; 49.: különös helyzetekben biztosított eltérések) megfelelően;
  3. d) a fejezet (az adatkezelés különös eseteire vonatkozó rendelkezésekalapján elfogadotttagállami jog szerinti kötelezettségek;
  4. e) a felügyeleti hatóság 58. cikk (2) bekezdése(felügyeleti hatóság korrekciós hatáskörének gyakorlása) szerinti utasításának, illetve az adatkezelés átmeneti vagy végleges korlátozására vagy az adatáramlás felfüggesztésére vonatkozó felszólításának be nem tartásavagy az  cikk (1) bekezdését (felügyeleti hatóság vizsgálati hatásköre) megsértve a hozzáférés biztosításának elmulasztása.

 

Ha Önt sem hagyja nyugodni a GDPR, és a vele kapcsolatos szabályozások,
kérdéseit tegye fel megjegyzésben vagy keressék szakértőnket, hogy segíthessen!

 

Az adatvédelmi reformmal kapcsolatos állásfoglalások

 

Ügyszám Állásfoglalás tárgya .pdf file
közzétéve
NAIH-2018-1034-2-K Tájékoztatás adatvédelmi nyilvántartásba történő bejelentési kötelezettséggel
és a várható hazai adatvédelmi szabályozással kapcsolatban
2018.04.19
NAIH-2018-1068-2-K Tájékoztatás gyermekotthon adatkezelési tevékenységével kapcsolatban 2018.04.19
NAIH-2018-1095-2-K Tájékoztatás munkahelyi adatkezelésre vonatkozó szabályozásról 2018.04.19
NAIH-2018-1132-2-K Tájékoztatás adatbiztonsági kérdéssel kapcsolatban 2018.04.19
NAIH-2018-1212-2-K Tájékoztatás adatvédelmi szabályzat meglétének értékelésével kapcsolatban 2018.04.19
NAIH-2018-1310-2-K Tájékoztatás szálláshely szolgáltatás adatkezelésével kapcsolatban 2018.04.19
NAIH-2018-1380-2-K Tájékoztatás a GDPR kötelező alkalmazásáról ügyvédi tevékenység során 2018.04.19
NAIH-2018-1514-2-K Tájékoztatás idősek otthona adatkezelési tevékenységével kapcsolatban 2018.04.19
NAIH-2018-1594-2-K Tájékoztatás adatvédelmi szabályalkotási kötelezettségről 2018.04.19
NAIH-2018-1596-2-K Tájékoztatás adatvédelmi nyilvántartással kapcsolatban, valamint adatkezelési engedélyezésről és bírságolásról 2018.04.19
NAIH-2018-1619-2-K Tájékoztatás számítógép szerviz tevékenységével kapcsolatban 2018.04.19
NAIH-2018-2068-2-K Részletes tájékoztatás GDPR-ra felkészülésről, különös tekintettel
a kis- és középvállalkozásokat érintő adatkezelések nyilvántartási kötelezettségére
2018.04.19
NAIH-2018-2233-2-K Tájékoztatás fotográfus tevékenységgel kapcsolatban 2018.04.19
NAIH-2018-2234-2-K Tájékoztatás a GDPR-hoz kapcsolódó várható hazai szabályozásról 2018.04.19
NAIH-2018-1761-V Külföldi vállalkozás magyarországi fióktelepének adatkezelői minőségével kapcsolatos tájékoztató 2018.04.12
NAIH-2018-1082-2-V Tájékoztató az adatvédelmi nyilvántartásról a GDPR hatálybalépését követően 2018.04.12
NAIH-2018-603-2-V Tájékoztató a hírgyűjtő portál kapcsán alkalmazandó hírlevél-szolgáltatás keretében történő
adatkezelés adatvédelmi nyilvántartásba történő bejelentésével kapcsolatban
2018.04.12
NAIH-2018-1318-3-K Állásfoglalás a magatartási kódexről és a hatásvizsgálatról a jogalkotási eljárásban 2018.04.11
NAIH-2018-1617-2-K Állásfoglalás iratkezelési tevékenység megítélésével kapcsolatban 2018.04.11
NAIH-2017-5364-2-V A helyi önkormányzat adatkezelői minőségéről és a szabályzat-alkotási kötelezettséggel kapcsolatos állásfoglalás 2018.04.11
NAIH-2018-664-2-V Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény
módosításának állásával kapcsolatos tájékoztatás
2018.04.11
NAIH-2018-665-2-V Magatartási kódexekkel kapcsolatos állásfoglalás 2018.04.11
NAIH-2018-766-2-V Általános tájékoztatás GDPR alkalmazásáról 2018.04.11
NAIH-2018-788-2-K Helyi önkormányzat felkészülésével kapcsolatos tájékoztatás 2018.04.11
NAIH-2018-789-2-K Szakmai kamara adatkezelésével kapcsolatos állásfoglalás 2018.04.11
NAIH-2018-929-2-K Adatvédelmi tisztviselővé válással kapcsolatos tájékoztatás 2018.04.11
NAIH-2018-942-2-K Az adatkezelő fogalmával kapcsolatban és a szabályzat-alkotási kötelezettséggel kapcsolatos állásfoglalás 2018.04.11
NAIH-2018-1683-2-K Nyilvántartási kötelezettségekkel kapcsolatos tájékoztatás 2018.04.11
NAIH-2017-5364-2-V Adatvédelmi tisztviselővel kapcsolatos állásfoglalás 2018.03.17
NAIH-2017-5890-V Adatvédelmi tisztviselővel kapcsolatos állásfoglalás 2018.03.17
NAIH-2017-6175-V Adatvédelmi tisztviselővel kapcsolatos állásfoglalás 2018.03.17
NAIH-2018-0361-2-K Adatvédelmi tisztviselővel kapcsolatos állásfoglalás 2018.03.17
NAIH-2018-0731-2-V Állami tulajdonú közfeladatot ellátó szerveknél adatvédelmi tisztviselő alkalmazásával kapcsolatos állásfoglalás 2018.03.17
NAIH-2018-0926-2-K Általános tájékoztatás a kötelezettségekről és a segédanyagok elérhetőségéről 2018.03.17
NAIH-2018-1272-V Adatvédelmi tisztviselővel kapcsolatos állásfoglalás 2018.03.17
NAIH-2018-1553-V Adatvédelmi tisztviselővel kapcsolatos állásfoglalás 2018.03.17
NAIH-2018-204-V Adatvédelmi tisztviselővel kapcsolatos állásfoglalás 2018.03.17

Fotó: Pixabay

Címke