Május 25-től az Európai Unió minden országában alkalmazni kell az általános adatvédelmi rendeletet (GDPR) és ez alapján a tagállami adatvédelmi hatóságok eddig nem látott összegű bírságokat szabhatnak ki. A bírság maximális összege 20 millió Euró, de egy multinacionális vállalat esetén ennél nagyobb összeggel is számolhatnak.
Az Európai Uniós tagországok adatvédelmi hatóságai már a közelmúltban is kiszabtak rendkívül nagy összegű bírságokat adatvédelmi jogsértésekért. Az olasz adatvédelmi hatóság 2017 első negyedévében szabta ki az Európai Unióban alkalmazott eddigi legmagasabb összegűt; összesen több mint 11 millió Euró (3,4 milliárd(!) forint) összegű büntetést azért, mert jogellenesen használtak fel személyes adatokat pénzmosási gyanút felvető banki átutalásokhoz. A spanyol hatóság a Facebook-ot bírságolta tavaly 1,2 millió Euróra nem megfelelő tájékoztatás nyújtás miatt.
Nyártól megnövekedett számú ellenőrzésre és komolyabb bírságokra lehet számítani, Kovács Zoltán Balázs, a Szecskay Ügyvédi Iroda ügyvédje szerint.
Talán még mindig sokak számára nem ismert, de a rendelet a családi vállalkozásoktól kezdve a legnagyobb multinacionális cégekig mindenkire kiterjed, hiszen valamilyen szinten minden vállalkozás kezel személyes adatokat (pl. vannak munkavállalói, ügyfelei, szerződéses partnerei stb.).
Kovács Zoltán Balázs, a Szecskay Ügyvédi Iroda ügyvédje szerint, tekintettel a rendeletben előírt kötelezettségekre és az értelmezési bizonytalanságokra, a bírságnak való kitettség mértéke magas lehet. Az Európai Unió adatvédelmi munkacsoportjának iránymutatása alapján sem lehet prognosztizálni, hogy egy-egy jogsértés esetén milyen összegű bírságot szabhatnak ki.
Hogyan bukhat le egy vállalat?
Május 25-e után számolni kell azzal, hogy megnövekszik az adatvédelmi hatósághoz tett bejelentések száma. Könnyen megeshet, hogy egy volt munkavállaló, üzleti partner, egy ügyfél vagy versenytárs bejelentést tesz a hatóságnál jogsértés gyanújával, amelyet követően a hatóság eljárást indít.
Mennyi lehet a bírság?
A bírság maximális összege 20 millió Euró, illetve vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-a lehet; a kettő közül a magasabb összeg jelenti a maximumot.
Az Európai Bíróság korábban kialakított gyakorlata alapján a bírság maximumának százalékos mértéke nem a konkrét jogsértő vállalkozás, hanem az adott vállalkozás csoport előző pénzügyi évének teljes árbevételére vetítendő. Mindez azt jelenti, hogy a büntetés maximális összege egy multinacionális cég esetében akár meg is haladhatja a 20 millió Eurót (500 millió Euró előző évi világpiaci forgalom fölött már ez a helyzet).
Mit ellenőriznek?
A hatóság eljárásának pontos eljárási szabályait az Országgyűlésnek május 25-e előtt el kell fogadnia. A jogalkotónak a jelenlegi szabályok módosításakor többek között ki kell jelölnie a hatóságot, amely a rendeletben foglaltak ellenőrzéséért felel. Ez a mai napig nem történt meg, azonban a személyes adatok kezelését végzők számára ajánlott a felkészülés, hiszen a nyártól a hatóság eddig nem látott szigorral élhet a jogsértőkkel szemben.
A rendelet szerint az eljárás során a hatóság tájékoztatást kérhet a személyes adatok kezeléséről, hozzáférést kérhet a személyes adatokhoz, az adatkezelő, illetve adatfeldolgozó helyiségeihez és eszközeihez, továbbá dokumentumok átadására hívhat fel. Az, hogy pontosan milyen információk és dokumentumok nyújtására hív fel a hatóság, elsősorban az eljárás tárgyát képező kérdésektől függ.
Amennyiben például egy állítólagos adatvédelmi incidenst (pl. egy személyes adatokat tartalmazó emailt tévedésből olyan személynek is elküldtek, akinek nem lett kellett volna vagy pl. egy vállalkozás ügyfelei adatait tartalmazó adatbázisát illetéktelenek feltörik vagy pl. egy munkavállaló elveszti a munkavégzéshez használt laptopját) jelentenek be a hatósághoz, akkor a hatóság az incidenssel érintett adatkezelőnél rá fog kérdezni többek között arra, hogy történt-e a bejelentésben foglaltak szerinti incidens, amennyiben igen, akkor kérdés, hogy bejelentette-e az incidenst maga az adatkezelő is a hatósághoz vagy nem, ha nem, miért nem.
Kérdés az is, hogy milyen intézkedéseket tett az adatkezelő az adatvédelmi incidens következményeinek enyhítésére, illetve tájékoztatta-e az érintetteket az incidensről és, ha nem, miért nem. A hatóság minden bizonnyal elkéri az adatvédelmi incidensekről kötelezően vezetendő nyilvántartást is, illetve az incidens szabályzatot is bekérné, továbbá megvizsgálná, hogy az adatkezelő megtette-e a megfelelő technikai és szervezési intézkedéseket az incidens megelőzése érdekében, illetve, ha az bekövetkezett, akkor alkalmazott-e egy előre kialakított megfelelő incidens-kezelési rendszert.