GDPR-büntetés 2024: mégis bárki számíthat adatvédelmi bírságra? Ennyi a GDPR-bírság mértéke 2024. január 1-től. Sajnos valótlanok azok a hírek, melyek szerint egyáltalán nem számíthatnak adatvédelmi büntetésre azok a hazai közepes cégek és kisvállalkozások, melyek nem tartják be a GDPR rendelet előírásait. Az új európai adatvédelmi szabályok betartása tehát mindenkire vonatkozik, és büntetni is fognak a hiányosságokért, bár első körben talán csak figyelmeztetni fog a magyar adatvédelmi hatóság. Ez azonban nem azt jelenti, hogy súlyosabb adatkezelési incidens esetén nem szabhat ki a NAIH azonnali GDPR-bírságot bármely magyarországi mikro-, kis- és közepes vállalkozás esetén.
Miután világossá vált az elmúlt hetekben a magyarországi szervezetek, intézmények és vállalkozások számára is, hogy a GDPR életbe lépésével 2018. május 25-től új korszak köszönt be az adatvédelem terén az Európai Unióban és hazánkban is, a többség a bírságtól tartva elkezdett aggódni. Ebből következően az adatvédelmi és adatkezelési hiányosságokat mindenki az utolsó pillanatban igyekezett pótolni. A nagy kapkodás közben jött aztán az a "megnyugtató hír", mely szerint a magyar kormány máris olyan törvénymódosításra készül, mely alapján nem fogják az itthoni kisvállalkozásokat megbüntetni a GDPR kapcsán. Azonban sajnos korai volt az öröm, hiszen a parlament honlapján megjelent törvénytervezet nem is említi meg név szerint a kisvállalkozásokat, és nem is arról szól, hogy senkit nem fognak adatvédelmi bírsággal sújtani a jövőben. Nézzük meg pontosan hogy akkor mi adott okot a félreértésre, és milyen mértékű és összegű GDPR-büntetésre lehet a jövőben számítani.
A kormány tehát valószínűleg napokon belül elfogadja azt a törvényjavaslatot, melynek a címe: Az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény jogharmonizációs célú módosításáról. Vagyis ez lesz az új 2018-as infótörvény, melybe átültetik az európai adatvédelmi rendelet rendelkezéseit. Az új törvényi szövegben valóban szerepel az a nagyon fontos bekezdés, mely arról szól, hogy a GDPR életbe lépése után a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) azt a vállalkozást, mely nem tartja be az adatvédelmi törvény előírásait, első alkalommal figyelmeztetésben részesíti és a hatóság arra törekszik, hogy ne azonnali bírságot szabjon ki.
Akár az első alkalommal is büntethetnek
Ez azonban a jogászi értelmezés szerint egyáltalán nem jelenti azt, hogy adatvédelmi szabálytalanság esetén a NAIH első alkalommal sohasem büntet a jövőben. Vagyis nem érdemes hátradőlni a karosszékben, azt feltételezve, hogy a magyar hatóság a kis cégeket és a nagy hazai vállalatokat sem fogja első alkalommal büntetni, és megvédi őket az európai szabályoktól és bürokráciától. Azok a hírek, melyek arról szóltak, hogy elmaradhat a kis cégeket érintő GDPR-bírág, tehát sajnos nem voltak teljesen megalapozottak. Arra hivatkoztak, hogy az elfogadás előtt álló új magyar infotörvény szövegében szerepel a következő a kitétel (Infotv. 75/A. §): az előírások első alkalommal történő megsértése esetén a jogsértés orvoslása iránt - az általános adatvédelmi rendelet 58. cikkével összhangban - elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik.
Ha ez utóbbi mondatot elemezzük, akkor is látható, hogy említésre kerül ugyan, hogy elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik a hatóság a GDPR be nem tartása esetén, de ez természetesen nem zárja ki az azonnali büntetés kiszabását sem. Ezért nem szabad azt hinni, hogy az adatvédelmi hatóság nem fog büntetni. Várhatóan kisebb szabályszegés esetén első alkalommal valóban csak figyelmeztetést fognak a vállalkozások kapni, azonban a második alkalommal már bírságra is számíthatnak, súlyos esetekben pedig azonnali szankciók várhatóak. A GDPR által meghatározott adatvédelmi bírság mértéke pedig attól is függ majd, hogy az adott vállalkozás hányszor sérti meg az adatkezelési előírásokat.
Súlyos esetekben lehet azonnali bírság
De mik számítanak súlyos adatvédelmi és adatkezelési hibáknak, melyet a vállalkozások munkáltatóként vagy éppen weblap tulajdonosaként elkövethetnek? A súlyos adatkezelési hiányosságokért azonnali bírságot szabhat ki a magyar hatóság, ez többek között az alábbi esetekben merülhet fel. Ha egy üzleti weboldal semmilyen adatkezelési tájékoztatóval nem rendelkezik, vagy webáruház esetén nem biztonságos az online fizetési megoldás. Adatvédelmi büntetés jár abban az esetben is, ha a vállalkozás nem kezeli megfelelően a munkavállalói személyes adatait (ehhez szüksége lehet adatvédelmi szabályzatra), vagy személyes adatokat hoz az érintettek beleegyezése nélkül nyilvánosságra, vagy ad át harmadik félnek.
A magyar adatvédelmi hatóságnak (NAIH) tehát 2018. május 25-től számos olyan jogköre van, mellyel felléphet az adatvédelmi szabályokat nem betartó vállalkozások ellen. Így például joga van az adott céget vagy intézményt figyelmeztetésben részesíteni, az adatkezelést korlátozni, de bírságot is kiszabhat, amennyiben úgy ítéli meg, hogy szükséges. A Nemzeti Adatvédelmi és Információszabadság Hatóság belátására van tehát bízva, hogy mely esetekben és milyen módon módon alkalmazza a GDPR szankciós rendszerét.
Első alkalommal figyelmeztetés vagy bírság?
Írásunk végéhez közeledve érdemes összefoglalni, hogy ki és mikor számítson bírságra, vagy éppen mikor alhat nyugodtan a GDPR bevezetése után. Szinte biztosan csupán figyelmeztetést kaphat az a vállalkozás vagy szervezet, aki eleget próbál tenni a GDPR követelményeinek. Ez azt jelenti, hogy már rendelkezik adatvédelmi szabályzat vagy adatkezelési tájékoztató dokumentumokkal, kamera használata esetén pedig GDPR kamera szabályzattal. Azonban sajnos azonnali bírságra is számíthat a magyar adatvédelmi hatóságoktól az, aki semmilyen módon nem veszi figyelembe a GDPR előírásait, nem tájékoztatja megfelelő módon munkavállalóit vagy cége online felületén olvasóit az adatkezelés elveiről.
Várhatóan első alkalommal sokan megússzák majd az adatkezelési vizsgálatot egy figyelmeztetéssel, ami viszont éppen azt jelenti majd, hogy azonnali cselekvésre lesz szükség, hiszen második alkalommal már biztosan büntetés kiszabására kerül majd sor. Így nem érdemes megvárni a hatóság hivatalos figyelmeztetését, hiszen a vállalkozásoknak mindenképpen foglalkozniuk kell a GDPR rendelet előírásaival, a bírság lehetősége pedig ott lebeg a fejük felett. Azzal valószínűleg mindenki egyetért, hogy a büntetés akkor is fájó, ha nem első, hanem a második vagy harmadik alkalommal kerül kiszabásra az adatvédelmi hatóság megállapításai alapján. A NAIH tehát mindenképpen be fogja tartatni itthon az uniós GDPR szabályait, a kérdés csupán az, hogy a magyarországi érintettek milyen gyorsan reagálnak erre a kihívásra.
Adatkezelési és adatvédelmi szabályzat 2024 minta letöltése a GDPR alapján
Bővebben: Adatkezelési és adatvédelmi szabályzat 2024...