Első, súlyos, folyamatos, nagy számú érintettet érintő jogsértés esetén minden vállalkozás – kkv-k és multinacionálisok egyaránt – számíthat bírságra, ha nem tartja be az új adatvédelmi rendeletet (GDPR). Első, enyhe jogsértés esetén a vállalkozásokat – kkv-kat és multinacionálisokat egyaránt – elsősorban figyelmeztetésben részesíthetik és nem bírságban. Nem igazak azok a hírek a médiában, amelyek egy tegnapelőtti* törvénymódosítás tervezet kapcsán azt állították, hogy a kis-és középvállalkozóknak nem kell bírságot fizetni, ha nem tartják be az új adatvédelmi rendelet előírásait (GDPR).
A törvénymódosítás tervezet kizárólag azt rögzíti, hogy első jogsértés esetén a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a vállalkozást nem bírságban, hanem elsősorban figyelmeztetésben részesíti. Ráadásul, a törvénymódosítás szövege nem említi kifejezetten a kkv-at, azaz a multinacionális gazdasági társaságokra is vonatkozik.
Maga a GDPR rendelet alapján, első alkalommal történő, de enyhe jogsértés esetén sem kötelező bírságot kiszabni, illetve figyelembe kell venni, ha a jogsértő vállalkozás kkv. A törvénymódosítás tehát nem tér el a GDPR rendelet előírásaitól.
Zempléni Kinga, ügyvéd szerint azonban a törvénymódosítás és a GDPR rendelet szövege nem értelmezhető úgy, hogy első jogsértés esetén sose bírságol a NAIH. Első, súlyos jogsértés (például nagyszámú fogyasztókat érintő, folyamatos és szándékos adatvédelmi előírások megszegése) esetén minden vállalkozás – kkv-k és multinacionálisok egyaránt – bírságot kockáztathat.
Súlyos jogsértésnek minősülhetnek az alábbi, nagy számú magánszemélyt érintő, hosszú időtartamú esetek; ilyenkor a NAIH feltehetően az első alkalommal is bírságot szabhat ki, még kkv-knak is. (a felsorolás nem teljeskörű)
- Ha egy webáruház semmilyen adatvédelmi tájékoztatás nem nyújt a fogyasztóknak,
- Ha egy társaság felelőtlenül nyilvánosságra hoz érzékeny adatokat,
- Ha egy vállalat kamerákat helyez el öltözőkben,
- Ha egy társaság nem tartja be az alapvető adatbiztonsági követelményeket,
- Ha egy vállalat jogellenesen harmadik félnek értékesít személyes adatokat,
- Ha egy online portál úgy kezeli a fizetési adatokat, hogy ahhoz bárki könnyen hozzáférhet.
A szakértő hozzáteszi, hogy jogsértés esetén a NAIH-nak eleve több eszköze van; jogosult figyelmeztetni a társaságot, korlátozni az adatkezelést, kötelezni a társaságot, hogy tájékoztassa az adatkezelőt stb. és akár bírságot is kiróhat.
A bírságoknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. Annak eldöntésekor, hogy szükség van-e bírság kiszabására, illetve a bírság összegének megállapításakor a GDPR alapján minden egyes esetben kellőképpen figyelembe kell venni a következőket: hányadik alakommal történik a jogsértés, jogsértés természete, súlyossága, időtartama, szándékos jellege, tett-e a társaság intézkedéseket az elszenvedett kár mértékének csökkentésére, arra, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, valamint minden egyéb súlyosbító vagy enyhítő körülményt.
A GDPR ösztönzi a felügyeleti hatóságot, hogy vegye figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit.
