Absztrakt
Az Európai Unió adatvédelmi reformja 2018 májusától vált alkalmazandóvá. Az új adatvédelmi szabályozás része az általános adatvédelmi rendelet, angol rövidítéssel: a GDPR. Az új adatvédelmi rendelet közvetlenül alkalmazandó az Unió területén, mélyreható változásokat hoz az adatkezelések, az érintetti joggyakorlás és az adatvédelmi felügyeleti hatóságok tevékenységének terén. A GDPR egyik legmarkánsabb újítása az egységes adatvédelmi bírság bevezetése minden tagállamban, amelynek mértéke mindenhol azonos, és jelentősen magasabb a korábbi bírságösszegekhez képest. A kiszabható bírságok 10 millió euróig, illetve vállalatok esetében a teljes világpiaci forgalom 2%-áig terjedhetnek, súlyosabb esetben ezek duplája jelenti a bírság legmagasabb összegét. A bírságkiszabás szempontjait a GDPR pontosan meghatározza, részletezi, hogy mi minősül súlyosbító, illetve enyhítő körülménynek. Az új szabályokat a határon átnyúló ügyekben a tagállami hatóságok együttműködésében fogják alkalmazni, az adatkezelők számára egyablakos ügyintézés keretében. Amennyiben bármilyen releváns kérdésben, így a bírságkiszabás tekintetében vita alakul ki az együttműködő hatóságok között, akkor az Európai Adatvédelmi Testület dönt az ügyben. A Testületnek az Unió valamennyi adatvédelmi hatóságának képviselője tagja, döntése kötelező erejű. A határon átnyúló és a határon át nem nyúló ügyekből épülő esetjog kívánatos esetben egységes joggyakorlatot fog felépíteni, amely a GDPR harmonizált alkalmazásán alapul. Amennyiben ez megvalósul, úgy az új szabályok alkalmazása hozzá fog járulni a személyes adatok magas szintű védelméhez.
Tárgyszavak: GDPR, adatvédelem, bírság, Európai Unió, Európai Adatvédelmi Testület, hatóságok közötti együttműködés, egyablakos ügyintézés, vitarendezési eljárás.
I. Bevezetés
Az Európai Unió 2018. május 25-étől alkalmazandó általános adatvédelmi rendelete, a GDPR[1] számos új szabályt tartalmaz a korábbi magyar szabályozáshoz képest. Idetartozik az adatvédelmi hatásvizsgálat, a kötelező incidensjelentési rendszer bevezetése vagy az adatvédelmi hatóságok szoros együttműködésére épülő kikényszerítési modell.
Az adatvédelmi bírság uniós szinten újdonságot jelent, ugyanakkor több tagállamban a bírság alkalmazása már eddig is a gyakorlat része volt.[2] Újdonságát az jelenti mégis, hogy az egész EU területén azonos hatáskört állapít meg az adatvédelmi felügyeleti hatóságok számára, és ennek egyik fontos eleme a közigazgatási bírság. A jogalkotói cél világos: a közigazgatási szankciók szigorítása és harmonizálása a GDPR által előírt szabályok betartásának erősítése érdekében.[3]
A személyes adatok védelmének kontextusában értékelhetjük úgy is, hogy az uniós jogalkotó egy mércét hozott létre, ami akkor válik kitapinthatóvá, amikor a jogalkalmazó hatóság azt mérlegeli a GDPR alapján, vajon szükséges-e a bírság kiszabása az adott ügyben. Amennyiben igen, úgy ezt a mércét a jogsértés jogi értelemben átlépte, ha pedig nem szab ki bírságot, akkor e küszöb alatt marad a jogsértés mértéke. A következő években a hatósági gyakorlat alapján tudjuk majd alaposabban bemutatni ezt a mércét, tehát azt, hogy milyen típusú és súlyú jogsértések váltanak ki pénzügyi szankciót és melyek nem. Jelenleg ilyen gyakorlatra még nem támaszkodhatunk, ezért az alábbiakban a jogi szabályozás és az annak alapján készült európai adatvédelmi testületi[4] iránymutatás alapján mutatjuk be az adatvédelmi bírságra vonatkozó szabályozást. Az Európai Adatvédelmi Testület (a továbbiakban: Testület) tagjai egyetértettek abban, hogy az iránymutatást mint közös megközelítést alkalmazzák.
[1] Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet). Bevett angol megnevezése a General Data Protection Regulation, rövidítve GDPR. Az írásban mi is ezt a megjelölést használjuk.
[2] A bolgár, a ciprusi, a cseh, a német, az észt, a spanyol, a francia, az olasz, a lett, a máltai, a lengyel, a szlovén, a brit és a magyar adatvédelmi hatóság is szabott már ki bírságokat a GDPR-t megelőző időszakban is. Más hatóságok, mint az ír, a holland vagy a litván hatóság bírságolásra nem kapott hatáskört. Forrás: Nemzetközi összefoglaló a bírságokról, NAIH-1574/2014/I. számú feljegyzés.
[3] A GDPR (150) és (148) preambulumbekezdésének első mondatai szerint.
[4] Az Európai Adatvédelmi Testületet a GDPR hozta létre. Elődje, a 96/46/EK adatvédelmi irányelv 29. cikke alapján létrehozott adatvédelmi Munkacsoport 1995 és 2018 között számos adatvédelmi kérdésben foglalt állást, bocsátott ki véleményeket és ajánlásokat. A GDPR alkalmazására való felkészülés során megalkotott 29-es munkacsoporti iránymutatásokat az Európai Adatvédelmi Testület első ülésén, 2018. május 25-én Brüsszelben ünnepélyesen megerősítette. Az első testületi dokumentumok között szerepelt az adatvédelmi bírságról alkotott iránymutatás is. A 29-es munkacsoporti dokumentum címe: Iránymutatás a 2016/679 rendelet szerinti közigazgatási bírság alkalmazásáról és megállapításáról, WP 253, elfogadás időpontja: 2017. október 3.