Gulyás Gergelynek a május 24-i kormányinfón elhangzott nyilatkozata alapján futótűzként terjedt a hír, miszerint „a kormány olyan, a Nemzeti Adatvédelmi és Információs Hatósággal közösen kidolgozott szabályozást akar, amelyben osztrák mintára a szankcionálás nem, csak a figyelmeztetés joga lenne meg a NAIH-nak a kkv-szektor felé”.
Tegnap este Semjén Zsolt benyújtott egy módosító javaslatot az Infotv.-hez az Országgyűléshez. Egy magyar törvény azonban nem korlátozhatja a NAIH, mint GDPR szerinti felügyeleti hatóság bírságolásra vonatkozó jogköreit és kötelezettségeit.
Ahogy azt Péterfalvi Attila, a NAIH elnöke is megjegyezte egy korábbi interjújában (kiemelés tőlünk):
… a GDPR uniós rendeletként felette áll a magyar szabályozásnak, így a szabályokat megszegő kis- és középvállalkozások esetén nincs lehetőség a mentesítésre, vagyis annak a szabálynak az alkalmazására, amely megtiltotta első alkalommal a bírság kiszabását. Május huszonötödike után ez a kör nem számíthat erre a védelemre.
Véleményünk szerint a tegnap benyújtott törvényjavaslat szövege egyébként sem értelmezhető úgy, hogy kifejezetten megtiltaná a NAIH számára KKV-k bírságolását az első jogsértés esetén. A GDPR bírságolásra vonatkozó szabályai között eddig is szerepelt, hogy a jogsértés súlyát, valamint az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértéseket is figyelembe kell venni annak eldöntésekor, hogy a NAIH bírságot szab-e ki az adatkezelővel szemben. Így a korábbi jogsértés hiánya a GDPR alatt, azaz továbbra is enyhítő tényező lehet. Ennek mérlegelését azonban kizárólag a GDPR szabályai alapján végezheti független hatóságként a NAIH.
Gyorselemzésünk
Tegnap 20 óra 48 perckor a Miniszterelnökség benyújtotta az Országgyűléshez a T/335. számú törvényjavaslatot az Infotv. jogharmonizációs célú módosításáról. A javaslat itt érhető el, adatlapja pedig itt. A javaslat szerint az Infotv. az alábbiakban módosul:
- a NAIH kijelölésre kerül mint GDPR szerinti felügyeleti hatóság
- a NAIH a jogsértések esetén a szankciókat “arányosság elvének figyelembevételével gyakorolja, különösen azzal, hogy [jogsértés esetén] elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik.”
- az Infotv. a GDPR végrehajtásához szükséges rendelkezéseket tartalmaz
- három apróbb módosítás, amely a NAIH feladatkörével kapcsolatos: egy egyik a szeméyles adatok EU-n belüli adatáramlásával kapcsolatos, a másik kettő pedig megteremti,hogy a NAIH a GDPR szerinti eljárásrendben is eljárhasson
Az első jogsértés esetén történő figyelmeztetés háttéreben a 2018. május 24-i kormányinfón tett bejelentés áll, miszerint a kormány szeretné, ha valamilyen formában a GDPR alatt is fennmaradna az a KKV-k részére biztosított kivétel, hogy első jogsértés esetén a hatóságok, így a NAIH sem bírságolhatja őket.
Ez a kérdés az elmúlt két évben szakmai körökben többször felmerült és a vélemények túlnyomó többsége szerint a kivétel fenntartása ellentétes lenne a GDPR-ral, mert abban nincs ilyen kivétel. A GDPR egységes elvárásokat fogalmaz meg, és nem tesz kivételt KKV-k és nagyobb adatkezelők között. Ugyanakkor erős túlzás az, hogy a hatóságok a kisebb súlyú jogsértések esetén is a maximális összegű bírságokat kell, hogy kiszabják. A GDPR ilyen rendelkezést nem tartalmaz, sőt a 83. cikk tizenegy szempontot sorol fel, amelyeket a hatóságoknak figyelembe kell venniük akkor, amikor mérlegelik, hogy szükséges-e bírságok kiszabni és ha igen, akkor mekkora legyen annak a mértéke (83. cikk). A szempontok között kifejezetten megjelenik az arányosság követelménye és az adott szervezet előélete (kiemelések tőlünk):
(1) Valamennyi felügyeleti hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.
(2) A közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket: […]
e) az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések; […]
Tehát, ha az adott szervezet korábban nem követett el jogsértést, akkor ezt a NAIH-nak a GDPR szerint is figyelembe kell vennie.
A fenti szabályoktól nemzeti jogszabály eltérést nem állapíthat meg. A KKV-k bírságmentességére vonatkozó jelenleg is hatályos szabály (2004. évi XXXIV. törvény 12/A. §) ezért nem alkalmazható a GDPR szabályai tekintetében. A T/335. számú törvényjavaslatban létrehozni kívánt szabály sem állapíthat meg eltérést, hiszen az Infotv. is azonos helyet foglal el a jogszabályi hierarchiában.
Valószínűleg éppen ezért a T/335. számú törvényjavaslat kérdéses része is óvatosan fogalmaz, hiszen tartalmazza a “különösen” és az “elsősorban” fordulatokat. Tehát a törvényjavaslat semmiképpen sem értelmezhető úgy, hogy kifejezetten megtiltaná a NAIH számára KKV-k elsőre történő bírságolását.
Az Európai Bizottság korábban egyértelművé tette, hogy a tagállamok csak ott térhetnek el a GDPR-tól, ahol az ezt kifejezetten megengedi. Az egyéb eltérések esetén pedig a tagállamok számíthatnak arra, hogy az Európai Bizottság kötelezettség szegési eljárást fog indítani.
Update #01 2018. június 20.
Ma az Országgyűlés elfogadta az Infotv-t módosító T/335 javaslatot, amely így a köztársasági elnök aláírására vár, majd a kihirdetését követő napon hatályba is lép.
Halász Bálint, ügyvéd, partner
balint.halasz@twobirds.com
Simon Ádám, ügyvédjelölt
simon.adam@twobirds.com
Bird & Bird
+36 1 799 2000
Categories: Adatvédelem