Bírságolhat, vagy nem bírságolhat első vizsgálata során a NAIH?

Gulyás Gergelynek a május 24-i kormányinfón elhangzott nyilatkozata alapján futótűzként terjedt a hír, miszerint „a kormány olyan, a Nemzeti Adatvédelmi és Információs Hatósággal közösen kidolgozott szabályozást akar, amelyben osztrák mintára a szankcionálás nem, csak a figyelmeztetés joga lenne meg a NAIH-nak a kkv-szektor felé”.
Tegnap este Semjén Zsolt benyújtott egy módosító javaslatot az Infotv.-hez az Országgyűléshez. Egy magyar törvény azonban nem korlátozhatja a NAIH, mint GDPR szerinti felügyeleti hatóság bírságolásra vonatkozó jogköreit és kötelezettségeit.
Ahogy azt Péterfalvi Attila, a NAIH elnöke is megjegyezte egy korábbi interjújában (kiemelés tőlünk):

… a GDPR uniós rendeletként felette áll a magyar szabályozásnak, így a szabályokat megszegő kis- és középvállalkozások esetén nincs lehetőség a mentesítésre, vagyis annak a szabálynak az alkalmazására, amely megtiltotta első alkalommal a bírság kiszabását. Május huszonötödike után ez a kör nem számíthat erre a védelemre.

Véleményünk szerint a tegnap benyújtott törvényjavaslat szövege egyébként sem értelmezhető úgy, hogy kifejezetten megtiltaná a NAIH számára KKV-k bírságolását az első jogsértés esetén. A GDPR bírságolásra vonatkozó szabályai között eddig is szerepelt, hogy a jogsértés súlyát, valamint az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértéseket is figyelembe kell venni annak eldöntésekor, hogy a NAIH bírságot szab-e ki az adatkezelővel szemben. Így a korábbi jogsértés hiánya a GDPR alatt, azaz továbbra is enyhítő tényező lehet. Ennek mérlegelését azonban kizárólag a GDPR szabályai alapján végezheti független hatóságként a NAIH.

Gyorselemzésünk

Tegnap 20 óra 48 perckor a Miniszterelnökség benyújtotta az Országgyűléshez a T/335. számú törvényjavaslatot az Infotv. jogharmonizációs célú módosításáról. A javaslat itt érhető el, adatlapja pedig itt.  A javaslat szerint az Infotv. az alábbiakban módosul:

  • a NAIH kijelölésre kerül mint GDPR szerinti felügyeleti hatóság
  • a NAIH a jogsértések esetén a szankciókat “arányosság elvének figyelembevételével gyakorolja, különösen azzal, hogy [jogsértés esetén] elsősorban az adatkezelő vagy adatfeldolgozó figyelmeztetésével intézkedik.”
  • az Infotv. a GDPR végrehajtásához szükséges rendelkezéseket tartalmaz
  • három apróbb módosítás, amely a NAIH feladatkörével kapcsolatos: egy egyik a szeméyles adatok EU-n belüli adatáramlásával kapcsolatos, a másik kettő pedig megteremti,hogy a NAIH a GDPR szerinti eljárásrendben is eljárhasson

Az első jogsértés esetén történő figyelmeztetés háttéreben a 2018. május 24-i kormányinfón tett bejelentés áll, miszerint a kormány szeretné, ha valamilyen formában a GDPR alatt is fennmaradna az a KKV-k részére biztosított kivétel, hogy első jogsértés esetén a  hatóságok, így a NAIH sem bírságolhatja őket.
Ez a kérdés az elmúlt két évben szakmai körökben többször felmerült és a vélemények túlnyomó többsége szerint a kivétel fenntartása ellentétes lenne a GDPR-ral, mert abban nincs ilyen kivétel. A GDPR egységes elvárásokat fogalmaz meg, és nem tesz kivételt KKV-k és nagyobb adatkezelők között. Ugyanakkor erős túlzás az, hogy a hatóságok a kisebb súlyú jogsértések esetén is a maximális összegű bírságokat kell, hogy kiszabják. A GDPR  ilyen rendelkezést nem tartalmaz, sőt a 83. cikk tizenegy szempontot sorol fel, amelyeket a hatóságoknak figyelembe kell venniük akkor, amikor mérlegelik, hogy szükséges-e bírságok kiszabni és ha igen, akkor mekkora legyen annak a mértéke (83. cikk). A szempontok között kifejezetten megjelenik az arányosság követelménye és az adott szervezet előélete (kiemelések tőlünk):

(1) Valamennyi felügyeleti hatóság biztosítja, hogy e rendeletnek a (4), (5), (6) bekezdésben említett megsértése miatt az e cikk alapján kiszabott közigazgatási bírságok minden egyes esetben hatékonyak, arányosak és visszatartó erejűek legyenek.
(2)   A közigazgatási bírságokat az adott eset körülményeitől függően az 58. cikk (2) bekezdésének a)–h) és j) pontjában említett intézkedések mellett vagy helyett kell kiszabni. Annak eldöntésekor, hogy szükség van-e közigazgatási bírság kiszabására, illetve a közigazgatási bírság összegének megállapításakor minden egyes esetben kellőképpen figyelembe kell venni a következőket: […]
e) az adatkezelő vagy az adatfeldolgozó által korábban elkövetett releváns jogsértések; […]

Tehát, ha az adott szervezet korábban nem követett el jogsértést, akkor ezt a NAIH-nak a GDPR szerint is figyelembe kell vennie.
A fenti szabályoktól nemzeti jogszabály eltérést nem állapíthat meg. A KKV-k bírságmentességére vonatkozó jelenleg is hatályos szabály (2004. évi XXXIV. törvény 12/A. §) ezért nem alkalmazható a GDPR szabályai tekintetében. A  T/335. számú törvényjavaslatban létrehozni kívánt szabály sem állapíthat meg eltérést, hiszen az Infotv. is azonos helyet foglal el a jogszabályi hierarchiában.
Valószínűleg éppen ezért a T/335. számú törvényjavaslat kérdéses része is óvatosan fogalmaz, hiszen tartalmazza a “különösen” és az “elsősorban” fordulatokat. Tehát a törvényjavaslat semmiképpen sem értelmezhető úgy, hogy kifejezetten megtiltaná a NAIH számára KKV-k elsőre történő bírságolását.
Az Európai Bizottság korábban egyértelművé tette, hogy a tagállamok csak ott térhetnek el a GDPR-tól, ahol az ezt kifejezetten megengedi. Az egyéb eltérések esetén pedig a tagállamok számíthatnak arra, hogy az Európai Bizottság kötelezettség szegési eljárást fog indítani.

Update #01 2018. június 20.

Ma az Országgyűlés elfogadta az Infotv-t módosító T/335 javaslatot, amely így a köztársasági elnök aláírására vár, majd a kihirdetését követő napon hatályba is lép.
Halász Bálint, ügyvéd, partner
balint.halasz@twobirds.com
Simon Ádám, ügyvédjelölt 
simon.adam@twobirds.com
Bird & Bird
+36 1 799 2000



Categories: Adatvédelem

Tags: , , , , , ,

Cookie consent
We use analytics cookies to help us understand if our website is working well and to learn what content is most useful to visitors. We also use some cookies which are essential to make our website work. You can accept or reject our analytic cookies (including the collection of associated data) and change your mind at any time. Find out more in our Cookie Notice.