Több, mint egy éve van hatályban az Európai Adatvédelmi Rendelet (GDPR), a hatóság már több ízben szabott ki bírságot bejelentett adatvédelmi incidens szankcionálása tárgyában. A szigor fokozódik. „Egy évvel a GDPR türelmi idejének lejárta után nem lesz olyan be nem jelentett adatvédelmi incidenssel kapcsolatos ügy, amelyben nem szab ki bírságot a NAIH.” – hangsúlyozza Péterfalvi Attila NAIH elnök.
Az adatvédelem területén kiemelt szakértelemmel bíró hazai jogászok számos regionális jelentést és globális szintű szakmai kitekintést tettek meg annak érdekében, hogy az adatvédelmi megfelelés hiányában kiszabott bírságok gyakorlatát elemezzék. Az elemzés egyrészt segít útmutatást adni a piaci szereplők számára, másrészt a jogalkalmazóknak is perspektívaként szolgál az adatvédelmi bírságolás területén.
A GDPR tavaly május 25-én lépett hatályba, így egy év elteltével a tagállami felügyeleti hatóság – hazánkban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) – szigorú bírságot szab ki az adatkezelőknek és adatfeldolgozóknak a szabályok be nem tartása miatt. A kiszabott bírságok összegére vonatkozóan az alábbi 10 kritériumot kell alkalmazni az adatvédelmi előírásokat be nem tartó vállalkozás esetében:
- A jogsértés jellege: az érintett személyek száma, a jogsérelem mértéke, a jogsértés időtartama és a feldolgozás célja
- Szándék: a jogsértés szándékos vagy gondatlan jellege
- Enyhítés: az érintettek kárának mérséklése érdekében tett intézkedések
- Megelőző intézkedések: mennyi műszaki és szervezeti előkészítést hajtott végre a cég a szabályok be nem tartásának megelőzése érdekében
- Előzmények: a múltbeli releváns jogsértések – amelyek értelmezhetők az adatvédelmi irányelv szerinti jogsértésekre, és nem csak a GDPR-ra – és a GDPR szerinti korábbi adminisztratív korrekciós intézkedések – a figyelmeztetésektől a feldolgozási tilalmakig és a bírságokig
- Együttműködés: milyen mértékben működött együtt a cég a felügyeleti hatósággal a jogsértés orvoslása érdekében
- Adattípus: milyen típusú adatokat érint a jogsértés (lásd a személyes adatok különleges kategóriáit)
- Értesítés: a jogsértést proaktívan jelentette-e a felügyeleti hatóság irányába a vállalkozás vagy egy harmadik fél
- Tanúsítás: a cég jóváhagyott tanúsítás alapján betartotta-e az elfogadott magatartási kódexet
- Egyéb: egyéb súlyosító vagy enyhítő tényezők között szerepelhet a jogsértés vállalkozásra gyakorolt pénzügyi hatása
A GDPR nem csak tagállami-szintű jogharmonizációs törekvéseket indított el, annak globális hatásai miatt a harmadik országok is fokozott jogharmonizációs tendenciákat vezetnek be az adatvédelmi és adatkezelési szabályzatok GDPR-hoz való közelítése érdekében.
A European Business Award-on induló cégek körében végzett RSM-felmérés adataiból kiderül, hogy az európai cégeknek csupán közel 60 százaléka gondolja úgy, hogy a GDPR előírásainak megfelelően működik. A felmérésben részt vevő vállalatok több mint 10 százaléka álláspontja szerint még nem teljesíti teljes körűen az elvárásokat, 30 százalék pedig saját értékelése szerint még nem felel meg az adatvédelmi szabályozásnak.