Skip to main content
My Wishlist

A kkv-k sem úszhatják meg a GDPR-bírságot! – Nem érdemes hátra dőlni

A kkv-k sem úszhatják meg a GDPR-bírságot! – Nem érdemes hátra dőlni

Nem igazak azok a hírek, amelyek a pár napja bejelenetett, GDPR miatti törvénymódosítás-tervezet kapcsán azt állították, hogy a kis-és középvállalkozóknak nem kell bírságot fizetni, ha nem tartják be az új adatvédelmi rendelet előírásait (GDPR). Miről szól akkor a módosító?

A törvénymódosítás tervezet kizárólag azt rögzíti, hogy első, jogsértés esetén a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a vállalkozást nem bírságban, hanem elsősorban figyelmeztetésben részesíti. A törvénymódosítás szövege ráadásul nem említi kifejezetten a kis- és közepes vállalkozásokat (kkv), azaz a multinacionális gazdasági társaságokra is vonatkozik.

Maga a GDPR rendelet alapján, első alkalommal történő, de enyhe jogsértés esetén sem kötelező bírságot kiszabni, illetve figyelembe kell venni, ha a jogsértő vállalkozás kkv. A törvénymódosítás tehát nem tér el a GDPR rendelet előírásaitól .

A törvénymódosítás és a GDPR rendelet szövege azonban nem értelmezhető úgy, hogy első jogsértés esetén sose bírságol a NAIH. Első, súlyos jogsértés (például nagyszámú fogyasztókat érintő, folyamatos és szándékos adatvédelmi előírások megszegése) esetén minden vállalkozás – kkv-k és multinacionális vállalatok egyaránt – bírságot kockáztathat.

Súlyos jogsértésnek minősülhetnek egyebek mellett az alábbi, nagy számú magánszemélyt érintő, hosszú időtartamú esetek, amikor a NAIH feltehetően az első alkalommal is bírságot szabhat ki, még kkv-kra is:

ha egy webáruház semmilyen adatvédelmi tájékoztatás nem nyújt a fogyasztóknak; ha egy társaság felelőtlenül nyilvánosságra hoz érzékeny adatokat;ha egy vállalat kamerákat helyez el öltözőkben;ha egy társaság nem tartja be az alapvető adatbiztonsági követelményeket;ha egy vállalat jogellenesen harmadik félnek értékesít személyes adatokat;ha egy online portál úgy kezeli a fizetési adatokat, hogy ahhoz bárki könnyen hozzáférhet.

Jogsértés esetén a NAIH-nak eleve több eszköze van. Jogosult figyelmeztetni a társaságot, korlátozni az adatkezelést, kötelezni a társaságot, hogy tájékoztassa az adatkezelőt stb. és akár bírságot is kiróhat.

A bírságoknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. Annak eldöntésekor, hogy szükség van-e bírság kiszabására, illetve a bírság összegének megállapításakor a GDPR alapján minden egyes esetben kellőképpen figyelembe kell venni: hányadik alakommal történik a jogsértés, a jogsértés természete, súlyossága, időtartama, szándékos jellege, tett-e a társaság intézkedéseket az elszenvedett kár mértékének csökkentésére, arra, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, valamint minden egyéb súlyosbító vagy enyhítő körülményt. A GDPR ugyanakkor arra ösztönzi a felügyeleti hatóságot, hogy vegye figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit.

Forrás:

https://www.napi.hu/magyar_vallalatok/a_kkv-k_sem_uszhatjak_meg_a_gdpr-birsagot_nem_erdemes_hatra_dolni.663509.html/amp