Bírságolhat, vagy nem bírságolhat első vizsgálata során a NAIH?

Gulyás Gergelynek a május 24-i kormányinfón elhangzott nyilatkozata alapján futótűzként terjedt a hír, miszerint „a kormány olyan, a Nemzeti Adatvédelmi és Információs Hatósággal közösen kidolgozott szabályozást akar, amelyben osztrák mintára a szankcionálás nem, csak a figyelmeztetés joga lenne meg a NAIH-nak a kkv-szektor felé”.

Tegnap este Semjén Zsolt benyújtott egy módosító javaslatot az Infotv.-hez az Országgyűléshez. Egy magyar törvény azonban nem korlátozhatja a NAIH, mint GDPR szerinti felügyeleti hatóság bírságolásra vonatkozó jogköreit és kötelezettségeit.

Ahogy azt Péterfalvi Attila, a NAIH elnöke is megjegyezte egy korábbi interjújában (kiemelés tőlünk):

… a GDPR uniós rendeletként felette áll a magyar szabályozásnak, így a szabályokat megszegő kis- és középvállalkozások esetén nincs lehetőség a mentesítésre, vagyis annak a szabálynak az alkalmazására, amely megtiltotta első alkalommal a bírság kiszabását. Május huszonötödike után ez a kör nem számíthat erre a védelemre.

Véleményünk szerint a tegnap benyújtott törvényjavaslat szövege egyébként sem értelmezhető úgy, hogy kifejezetten megtiltaná a NAIH számára KKV-k bírságolását az első jogsértés esetén. A GDPR bírságolásra vonatkozó szabályai között eddig is szerepelt, hogy a jogsértés súlyát, valamint az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértéseket is figyelembe kell venni annak eldöntésekor, hogy a NAIH bírságot szab-e ki az adatkezelővel szemben. Így a korábbi jogsértés hiánya a GDPR alatt, azaz továbbra is enyhítő tényező lehet. Ennek mérlegelését azonban kizárólag a GDPR szabályai alapján végezheti független hatóságként a NAIH.

Gyorselemzésünk

Tegnap 20 óra 48 perckor a Miniszterelnökség benyújtotta az Országgyűléshez a T/335. számú törvényjavaslatot az Infotv. jogharmonizációs célú módosításáról. A javaslat itt érhető el, adatlapja pedig itt.  A javaslat szerint az Infotv. az alábbiakban módosul:

  • a NAIH kijelölésre kerül mint GDPR szerinti felügyeleti hatóság
  • a NAIH a jogsértések esetén a szankciókat “arányosság elvének figyelembevételével gyakorolja, különösen azzal, hogy [jogsértés esetén] elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik.”
  • az Infotv. a GDPR végrehajtásához szükséges rendelkezéseket tartalmaz
  • három apróbb módosítás, amely a NAIH feladatkörével kapcsolatos: egy egyik a szeméyles adatok EU-n belüli adatáramlásával kapcsolatos, a másik kettő pedig megteremti,hogy a NAIH a GDPR szerinti eljárásrendben is eljárhasson

Az első jogsértés esetén történő figyelmeztetés háttéreben a 2018. május 24-i kormányinfón tett bejelentés áll, miszerint a kormány szeretné, ha valamilyen formában a GDPR alatt is fennmaradna az a KKV-k részére biztosított kivétel, hogy első jogsértés esetén a  hatóságok, így a NAIH sem bírságolhatja őket.

Ez a kérdés az elmúlt két évben szakmai körökben többször felmerült és a vélemények túlnyomó többsége szerint a kivétel fenntartása ellentétes lenne a GDPR-ral, mert abban nincs ilyen kivétel. A GDPR egységes elvárásokat fogalmaz meg, és nem tesz kivételt KKV-k és nagyobb adatkezelők között. Ugyanakkor erős túlzás az, hogy a hatóságok a kisebb súlyú jogsértések esetén is a maximális összegű bírságokat kell, hogy kiszabják. A GDPR  ilyen rendelkezést nem tartalmaz, sőt a 83. cikk tizenegy szempontot sorol fel, amelyeket a hatóságoknak figyelembe kell venniük akkor, amikor mérlegelik, hogy szükséges-e bírságok kiszabni és ha igen, akkor mekkora legyen annak a mértéke (83. cikk). A szempontok között kifejezetten megjelenik az arányosság követelménye és az adott szervezet előélete (kiemelések tőlünk):

(1) Valamennyi felügyeleti hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.

(2)   A közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket: […]

e) az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések; […]

Tehát, ha az adott szervezet korábban nem követett el jogsértést, akkor ezt a NAIH-nak a GDPR szerint is figyelembe kell vennie.

A fenti szabályoktól nemzeti jogszabály eltérést nem állapíthat meg. A KKV-k bírságmentességére vonatkozó jelenleg is hatályos szabály (2004. évi XXXIV. törvény 12/A. §) ezért nem alkalmazható a GDPR szabályai tekintetében. A  T/335. számú törvényjavaslatban létrehozni kívánt szabály sem állapíthat meg eltérést, hiszen az Infotv. is azonos helyet foglal el a jogszabályi hierarchiában.

Valószínűleg éppen ezért a T/335. számú törvényjavaslat kérdéses része is óvatosan fogalmaz, hiszen tartalmazza a “különösen” és az “elsősorban” fordulatokat. Tehát a törvényjavaslat semmiképpen sem értelmezhető úgy, hogy kifejezetten megtiltaná a NAIH számára KKV-k elsőre történő bírságolását.

Az Európai Bizottság korábban egyértelművé tette, hogy a tagállamok csak ott térhetnek el a GDPR-tól, ahol az ezt kifejezetten megengedi. Az egyéb eltérések esetén pedig a tagállamok számíthatnak arra, hogy az Európai Bizottság kötelezettség szegési eljárást fog indítani.

Halász Bálint, ügyvéd, partner
balint.halasz@twobirds.com
Simon Ádám, ügyvédjelölt 
simon.adam@twobirds.com
Bird & Bird
+36 1 799 2000



Kategóriák:Adatvédelem

Címkék:, , , , , ,

1 hozzászólás

Visszakövetés

  1. GDPR hírek – Twobirdsideas.hu – a Bird & Bird jogi blogja