Ha egy e-kereskedelmi cég több EU-s országba kívánja eljuttatni terméket, vagy ha egy online szolgáltató több EU-s országba kínálja szolgáltatásait, nem kell többé 28 különböző ország eltérő adatvédelmi törvényének megfelelni – a cég fogyasztói és felhasználói adatait a GDPR szabályai szerint kell kezelje, függetlenül attól, melyik tagállamban végzi tevékenységét – május 25-től az adatvédelem általános szabályait az EU új, Általános Adatvédelmi Rendelet formájában szabályozza (az angol General Data Protection Regulation elnevezés után egyszerűen csak “GDPR”). Tényleg 20 millió euró lesz a GDPR büntetés?
A GDPR-ral részletesen korábbi cikkünkben foglalkoztunk, valamint jó áttekintést nyújt az Pakkhordar.hu oldalán elérhető, 12 pontban összeszedett GDPR kisokos.
Az elmúlt hónapokban rengeteg kérdés merült fel a rendelet gyakorlati alkalmazásával kapcsolatban, amelyekre az érintettek a Nemzeti Adatvédelmi és Információbiztonsági Hatóságtól várják a válaszokat. A NAIH elkezdte közzétenni az első, ilyen kérdésekre adott válaszait, valamint a GDPR rendelet alkalmazásával kapcsolatos első iránymutatásokat, amelyek elérhetők a hivatal weboldalán: Az adatvédelmi reformmal kapcsolatos állásfoglalások.
Aki még nem csinálta meg érdemes mielőbb elkezdenie, mert a határídő a nyomunkban liheg. A büntetés nagyon nagy összeg, amely cégeket egyik napról a másikra meg is semmisíthet.
Az új európai adatvédelmi rendelet (GDPR) kapcsán a legtöbb szó talán a hatalmas összegű bírságról esik. A GDPR rendelkezéseinek megsértését ugyanis – súlyosabb esetben – akár 20 millió euró összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel kell sújtani.
Tényleg 20 millió euró lesz a GDPR büntetés?
De vajon milyen jogsértésekért esetén járhat a magasabb (20 millió euró vagy világpiaci forgalom legfeljebb 4 %-a), illetve melyekért az alacsonyabb (10 millió euró vagy világpiaci forgalom legfeljebb 2 %-a) bírságplafoning terjedő bírság?
Mondhatjuk tehát, hogy a „kisebb” összegű bírság inkább az adminisztratív kötelezettségek megsértéséért jár, míg a magasabb összegű bírságot a súlyosabb jogsértések, úgymint az adatkezelés elveinek megsértése (beleértve azt is, ha nincs vagy nem megfelelő a jogalap), az érintett jogainak sérelme, a harmadik országba történő adattovábbítás szabályainak megsértése, az adatkezelés különös eseteire vonatkozó tagállami szabályok sérelme, illetve a felügyeleti hatóság intézkedéseivel való “ellenszegülésért” lehet kiszabni.
A GDPR a rendelet egyes szakaszaira lebontva meghatározza, hogy azok megsértése esetén melyik bírságplafon alkalmazandó. Nézzük meg az egyes cikkekre lebontva, hogy az adott rendelkezések megsértése esetén mennyire mélyen kell az adatkezelőknek a zsebükbe nyúlniuk.
- Az alábbi rendelkezések megsértése legfeljebb 10 millió euró összegűközigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggelsújtható (a kettő közül a magasabb összeget kell kiszabni):
- a) az adatkezelő és az adatfeldolgozótekintetében
- a 8. (a gyermek hozzájárulására vonatkozó feltételek az információs társadalommal összefüggő szolgáltatások vonatkozásában),
- a 11. (azonosítást nem igénylő adatkezelés),
- a 25-39. (25.: beépített és alapértelmezett adatvédelem; 26. : közös adatkezelők; 27.: az Unióban tevékenységi hellyel nem rendelkező adatkezelők vagy adatfeldolgozók képviselői; 28.: az adatfeldolgozó; 29.: az adatkezelő vagy az adatfeldolgozó irányítása alatt végzett adatkezelés; 30.: az adatkezelési tevékenységek nyilvántartása; 31.: együttműködés a felügyeleti hatósággal; 32.: az adatkezelés biztonsága; 33.: az adatvédelmi incidens bejelentése a felügyeleti hatóságnak; 34.: az érintett tájékoztatása az adatvédelmi incidensről; 35.: adatvédelmi hatásvizsgálat; 36.: előzetes konzultáció; 37.: az adatvédelmi tisztviselő kijelölése; 38.: az adatvédelmi tisztviselő jogállása; 39.: az adatvédelmi tisztviselő feladatai ),
- a 42. (tanúsítás) és
- a 43. cikkben (tanúsító szervezetek)
meghatározott kötelezettségek;
- b) a tanúsító szervezettekintetében
- a 42. (tanúsítás) és
- 43. cikkben (tanúsító szervezetek)
meghatározott kötelezettségek;
- c) az ellenőrző szervezettekintetében a cikk (4) bekezdésében(a jóváhagyott magatartási kódexeknek való megfelelés ellenőrzése kapcsán: a magatartási kódexnek való megfelelést ellenőrző szervezet a kódex valamely adatkezelő vagy adatfeldolgozó általi megsértése esetén – megfelelő garanciák mellett – megfelelő intézkedéseket tesz, beleértve az érintett adatkezelő vagy adatfeldolgozó felfüggesztését vagy kizárását a kódex alkalmazásából. Ezekről az intézkedésekről és azok indokairól az illetékes felügyeleti hatóságot tájékoztatja.)
meghatározott kötelezettségek.
- Az alábbi rendelkezések megsértését legfeljebb 20 millió euró összegűközigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggelkell sújtani (a kettő közül a magasabb összeget kell kiszabni):
- a) az adatkezelés elvei– ideértve a hozzájárulás feltételeit –
- az 5. (a személyes adatok kezelésére vonatkozó elvek),
- 6. (az adatkezelés jogszerűsége),
- 7. (a hozzájárulás feltételei) és
- 9. cikknek (a személyes adatok különleges kategóriáinak kezelése)
megfelelően;
- b) az érintettek jogaia 12–22. cikknek(12.: átlátható tájékoztatás, kommunikáció és az érintett jogainak gyakorlására vonatkozó intézkedések; 13.: rendelkezésre bocsátandó információk, ha a személyes adatokat az érintettől gyűjtik; 14.: rendelkezésre bocsátandó információk, ha a személyes adatokat nem az érintettől szerezték meg; 15.: az érintett hozzáférési joga; 16.: a helyesbítéshez való jog; 17.: a törléshez való jog („az elfeledtetéshez való jog”); 18.: az adatkezelés korlátozásához való jog; 19.: a személyes adatok helyesbítéséhez vagy törléséhez, illetve az adatkezelés korlátozásához kapcsolódó értesítési kötelezettség; 20.: az adathordozhatósághoz való jog; 21.: a tiltakozáshoz való jog; 22.: automatizált döntéshozatal egyedi ügyekben, beleértve a profilalkotást) megfelelően;
- c) személyes adatoknak harmadik országbeli címzett vagy nemzetközi szervezet részére történő továbbításaa 44–49. cikknek(44.: az adattovábbításra vonatkozó általános elv; 45.: adattovábbítás megfelelőségi határozat alapján; 46.: megfelelő garanciák alapján történő adattovábbítások; 47.: kötelező erejű vállalati szabályok; 48.: az uniós jog által nem engedélyezett továbbítás és közlés; 49.: különös helyzetekben biztosított eltérések) megfelelően;
- d) a fejezet (az adatkezelés különös eseteire vonatkozó rendelkezések) alapján elfogadotttagállami jog szerinti kötelezettségek;
- e) a felügyeleti hatóság 58. cikk (2) bekezdése(felügyeleti hatóság korrekciós hatáskörének gyakorlása) szerinti utasításának, illetve az adatkezelés átmeneti vagy végleges korlátozására vagy az adatáramlás felfüggesztésére vonatkozó felszólításának be nem tartásavagy az cikk (1) bekezdését (felügyeleti hatóság vizsgálati hatásköre) megsértve a hozzáférés biztosításának elmulasztása.
Ha Önt sem hagyja nyugodni a GDPR, és a vele kapcsolatos szabályozások,
kérdéseit tegye fel megjegyzésben vagy keressék szakértőnket, hogy segíthessen!
Az adatvédelmi reformmal kapcsolatos állásfoglalások
| Ügyszám | Állásfoglalás tárgya | .pdf file |
közzétéve |
| NAIH-2018-1034-2-K | Tájékoztatás adatvédelmi nyilvántartásba történő bejelentési kötelezettséggel és a várható hazai adatvédelmi szabályozással kapcsolatban |
2018.04.19 | |
| NAIH-2018-1068-2-K | Tájékoztatás gyermekotthon adatkezelési tevékenységével kapcsolatban | 2018.04.19 | |
| NAIH-2018-1095-2-K | Tájékoztatás munkahelyi adatkezelésre vonatkozó szabályozásról | 2018.04.19 | |
| NAIH-2018-1132-2-K | Tájékoztatás adatbiztonsági kérdéssel kapcsolatban | 2018.04.19 | |
| NAIH-2018-1212-2-K | Tájékoztatás adatvédelmi szabályzat meglétének értékelésével kapcsolatban | 2018.04.19 | |
| NAIH-2018-1310-2-K | Tájékoztatás szálláshely szolgáltatás adatkezelésével kapcsolatban | 2018.04.19 | |
| NAIH-2018-1380-2-K | Tájékoztatás a GDPR kötelező alkalmazásáról ügyvédi tevékenység során | 2018.04.19 | |
| NAIH-2018-1514-2-K | Tájékoztatás idősek otthona adatkezelési tevékenységével kapcsolatban | 2018.04.19 | |
| NAIH-2018-1594-2-K | Tájékoztatás adatvédelmi szabályalkotási kötelezettségről | 2018.04.19 | |
| NAIH-2018-1596-2-K | Tájékoztatás adatvédelmi nyilvántartással kapcsolatban, valamint adatkezelési engedélyezésről és bírságolásról | 2018.04.19 | |
| NAIH-2018-1619-2-K | Tájékoztatás számítógép szerviz tevékenységével kapcsolatban | 2018.04.19 | |
| NAIH-2018-2068-2-K | Részletes tájékoztatás GDPR-ra felkészülésről, különös tekintettel a kis- és középvállalkozásokat érintő adatkezelések nyilvántartási kötelezettségére |
2018.04.19 | |
| NAIH-2018-2233-2-K | Tájékoztatás fotográfus tevékenységgel kapcsolatban | 2018.04.19 | |
| NAIH-2018-2234-2-K | Tájékoztatás a GDPR-hoz kapcsolódó várható hazai szabályozásról | 2018.04.19 | |
| NAIH-2018-1761-V | Külföldi vállalkozás magyarországi fióktelepének adatkezelői minőségével kapcsolatos tájékoztató | 2018.04.12 | |
| NAIH-2018-1082-2-V | Tájékoztató az adatvédelmi nyilvántartásról a GDPR hatálybalépését követően | 2018.04.12 | |
| NAIH-2018-603-2-V | Tájékoztató a hírgyűjtő portál kapcsán alkalmazandó hírlevél-szolgáltatás keretében történő adatkezelés adatvédelmi nyilvántartásba történő bejelentésével kapcsolatban |
2018.04.12 | |
| NAIH-2018-1318-3-K | Állásfoglalás a magatartási kódexről és a hatásvizsgálatról a jogalkotási eljárásban | 2018.04.11 | |
| NAIH-2018-1617-2-K | Állásfoglalás iratkezelési tevékenység megítélésével kapcsolatban | 2018.04.11 | |
| NAIH-2017-5364-2-V | A helyi önkormányzat adatkezelői minőségéről és a szabályzat-alkotási kötelezettséggel kapcsolatos állásfoglalás | 2018.04.11 | |
| NAIH-2018-664-2-V | Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény módosításának állásával kapcsolatos tájékoztatás |
2018.04.11 | |
| NAIH-2018-665-2-V | Magatartási kódexekkel kapcsolatos állásfoglalás | 2018.04.11 | |
| NAIH-2018-766-2-V | Általános tájékoztatás GDPR alkalmazásáról | 2018.04.11 | |
| NAIH-2018-788-2-K | Helyi önkormányzat felkészülésével kapcsolatos tájékoztatás | 2018.04.11 | |
| NAIH-2018-789-2-K | Szakmai kamara adatkezelésével kapcsolatos állásfoglalás | 2018.04.11 | |
| NAIH-2018-929-2-K | Adatvédelmi tisztviselővé válással kapcsolatos tájékoztatás | 2018.04.11 | |
| NAIH-2018-942-2-K | Az adatkezelő fogalmával kapcsolatban és a szabályzat-alkotási kötelezettséggel kapcsolatos állásfoglalás | 2018.04.11 | |
| NAIH-2018-1683-2-K | Nyilvántartási kötelezettségekkel kapcsolatos tájékoztatás | 2018.04.11 | |
| NAIH-2017-5364-2-V | Adatvédelmi tisztviselővel kapcsolatos állásfoglalás | 2018.03.17 | |
| NAIH-2017-5890-V | Adatvédelmi tisztviselővel kapcsolatos állásfoglalás | 2018.03.17 | |
| NAIH-2017-6175-V | Adatvédelmi tisztviselővel kapcsolatos állásfoglalás | 2018.03.17 | |
| NAIH-2018-0361-2-K | Adatvédelmi tisztviselővel kapcsolatos állásfoglalás | 2018.03.17 | |
| NAIH-2018-0731-2-V | Állami tulajdonú közfeladatot ellátó szerveknél adatvédelmi tisztviselő alkalmazásával kapcsolatos állásfoglalás | 2018.03.17 | |
| NAIH-2018-0926-2-K | Általános tájékoztatás a kötelezettségekről és a segédanyagok elérhetőségéről | 2018.03.17 | |
| NAIH-2018-1272-V | Adatvédelmi tisztviselővel kapcsolatos állásfoglalás | 2018.03.17 | |
| NAIH-2018-1553-V | Adatvédelmi tisztviselővel kapcsolatos állásfoglalás | 2018.03.17 | |
| NAIH-2018-204-V | Adatvédelmi tisztviselővel kapcsolatos állásfoglalás | 2018.03.17 |
Fotó: Pixabay
