Cikksorozatunk harmadik, egyben utolsó részében az Európai Adatvédelmi Testület (a továbbiakban: EDPB) 04/2022 számú iránymutatásának a 4. fejezettől a 8. fejezetig tartó részét ismertetjük.
Az EDPB iránymutatása szerint a közigazgatási bírság mértékének meghatározásához a GDPR-ból levezethető egy általános számítási módszer vagy számítási alap, mely az adott jogeset minden egyedi körülményét figyelembe veszi és segít a felügyeleti hatóságnak megállapítani a szükséges bírság mértékét azzal, hogy kötelessége minden egyes esetet egyedileg vizsgálni.
Fontos, hogy az adatvédelem kapcsán a jogsértés kivizsgálása során, annak minden egyedi körülményét értékelni kell és végül olyan szankciót megállapítani, amely eleget tesz az általános adatvédelmi rendelet (a továbbiakban: GDPR vagy rendelet) 83. cikk (1) bekezdésében foglalt követelményeknek, azaz hatékony, arányos és visszatartó erejű.
Az EDPB szerint három körülményre kell figyelni, amikor meghatározzuk a számítási alapot:
- a jogsértés természetére, jellegére,
- a jogsértés súlyára és
- az adott vállalkozás forgalmára.
A GDPR két fő kategóriába sorolja a lehetséges jogsértéseket, enyhébb és súlyosabb kategóriát megkülönböztetve. Az enyhébb szankcióval járó jogsértések szabályait a 83. cikk (4) bekezdése tartalmazza, míg a súlyosabbakat a 83. cikk (5)-(6) bekezdései.
A jogsértés súlyának vizsgálata során a felügyeleti hatóságnak figyelembe kell vennie a jogsértés természetét, súlyát és terjedelmét, továbbá a jogsértő adatkezelés jellegét, hatályát vagy célját, az érintettek számát és az őket ért kár mértékét; a jogsértés szándékos vagy gondatlan jellegét; és a jogsértés által érintett személyes adatok típusait:
- A jogsértés természete – vizsgálni kell, hogy a jogsértéssel érintett jogszabály milyen érdeket védelmez.
- A jogsértés súlya 5 szempont szerint meghatározandó – az adatkezelés jellege, terjedelme, célja és az érintettek száma, valamint a bekövetkezett kár. Az adatkezelés jellege mutatja meg, hogy milyen adatokat kezel a jogsértő és adatkezelőként milyen szerepet tölt be. Ennek függvényében beszélhetünk súlyosabb vagy enyhébb jogsértésről, így, ha pl. a jogsértő felügyeleti vagy döntési jogkörében, azzal esetleg visszaélve követte el a jogsértést és ebből fakadóan hátrány éri a jogalanyokat, súlyosabb sérelemről beszélünk. Az adatkezelés terjedelme alapján azt kell vizsgálni, hogy az adatkezelés nemzeti, határon átnyúló vagy nemzetközi környezetben történt-e. Az adatkezelés célja attól függ, hogy a tevékenység, melynek keretében a jogsértés történt az adatkezelő alapvető feladatai közé tartozik-e. A felügyeleti hatóságnak kiemelt figyelmet kell fordítania arra, hogy hány jogalany érdeke sérült, továbbá arra is, hogy milyen mértékű kár következett be és a kár fizikai, vagyoni vagy nem vagyoni jellegére. Akkor lehet jelentősége e két szempontnak, ha pl. nagy számú adatalany érdeke sérült a káresemény során, de a kár mértéke elenyésző.
- Jelentős szerepe van annak, hogy milyen adatok sérültek. A GDPR egyértelműen megnevezi azon adatokat, amelyek kiemelt védelmet élveznek.
Mindezek alapján a felügyeleti hatóságnak feladata minden jogsértés egyedi körülményeit vizsgálni és három kategóriába sorolni az esetet: alacsony, közepes és magas súlyossági szintet elérő jogsértések. Jellemzően minél súlyosabb egy jogsértés, annál magasabb a szankció számítási alapja.
A GDPR a szankció meghatározása körében előírja egy korrekciós tényező figyelembevételét –a jogsértő vállalkozás éves forgalmát. Az európai uniós jog alapelvei igazolják e korrekció alkalmazását, hiszen a GDPR szabálya mind kis-, mind multinacionális vállalatokra alkalmazandóak, így érvényesülni tudnak a szankcióra vonatkozó követelmények. A felügyeleti hatóság ezért a szankció mértékének meghatározása során figyelembe veszi a vállalkozások éves forgalmat az alábbiak szerint:
A GDPR összegszerűen meghatározza a maximális kiszabható bírságot, mint a bírság felső határát. A bírság akkor lesz hatékony, arányos és visszatartó erejű, ha a hatóság, figyelembevéve az eset minden egyedi körülményét, az esetre szabva határozza meg az összeget, a rendeletben foglalt összegtartomány keretein belül. Ezért méltányos, hogy a hatóságok megkülönböztessék az adott vállalkozásokat, azok mérete, forgalma alapján. Ha egy vállalkozás forgalma nem haladta meg az évi 2 millió eurót, 0,2%-kal lehet csökkenteni a kiinduló számítási alapot; évi 10 millió eurós éves forgalom esetén 0,4%-kal, évi 50 millió euró vagy azt meghaladó éves forgalom esetén 2%-kal, 50 és 100 millió euró közötti éves forgalom esetén 10%-kal, 100 millió és 250 millió euró közötti éves forgalom esetén 20%-kal, míg 250 millió euró feletti forgalom esetén 50%-kal csökkenthető a GDPR szerinti számítási alap.
Súlyosító és enyhítő körülmények
Az eddig érintett kérdések vizsgálatát követően a felügyeleti hatóságnak számba kell vennie bizonyos súlyosító és enyhítő körülményeket is, mint korrekciós tényezőket. Enyhítő körülmény lehet az, hogy az adatkezelő vagy adatfeldolgozó milyen intézkedéseket tett az érintettek által elszenvedett károk enyhítése érdekében. Súlyosító körülményként pedig az adatkezelő vagy adatfeldolgozó felelőssége, ill. annak mértéke értékelhető, azaz mennyire járt el úgy, ahogy „elvárható volt” tőle, egyébként megtette-e a szükséges intézkedéseket, pl. technikai védelem, eljárások és protokollok alkalmazása formájában, hogy az általa kezelt adatok a megfelelő védelmét biztosítsa. Súlyosító vagy enyhítő körülményként vehető figyelembe korábbi jogsértés megléte vagy korábbi ügyben hozott döntés, magatartási kódex, más eljárás be nem tartása. E körben azonban figyelembe kell venni azt is, hogy a legutóbbi jogsértés óta mennyi idő telt el. Minél több idő telik el a korábbi jogsértés és a jelenleg vizsgált jogsértés között, annál kisebb a jelentősége. Az sem mellékes, hogy a korábbi jogsértés milyen jogszabályt sértett – ugyanazt és ismétlődik a magatartás, vagy független a korábbi eljárástól.
A felügyeleti hatóság hátrányosabb döntést hozhat egy jogsértő eseményt kapcsán, amennyiben az adatkezelő vagy adatfeldolgozó nem igyekszik együttműködni a hatósággal a jogsértés következményeinek enyhítése, elmulasztása érdekében. Súlyosabb minősítésnek lehet helye attól függően is, hogy a hatóság milyen formában szerzett tudomást a jogsértésről – azaz maga az adatkezelő/adatfeldolgozó tájékoztatta vagy külső bejelentés alapján indult-e az eljárás.
A jogszabályban foglalt maximális érték
A GDPR általános uniós szabályozási módszert alkalmaz azáltal, hogy nem határoz meg konkrét összeget egy-egy jogsértés szankcionálása érdekében, ellenben meghatározza a maximális kiszabható bírság értékét, melyet a felügyeleti hatóság semmiképp nem haladhat meg. Ezek az összegek statikus vagy fix összegek: a GDPR 83. cikk (4) bekezdése szerint maximum 10 millió euró lehet a bírság értéke az ott felsorolt rendelkezések megsértése esetén, míg az (5)-(6) bekezdések rendelkezéseinek megsértése 20 millió euróig terjedő maximális bírságot tesz lehetővé. Vállalkozások esetében azonban, azok éves forgalmától függően dinamikus kalkulációt alkalmaz a GDPR és a vállalkozás éves forgalmából vezeti le a bírság mértékét. A GDPR. 83. cikk (4) bekezdésében foglalt rendelkezések megsértése esetén, a vállalkozásnak az előző pénzügyi év teljes éves világpiaci fogalma 2%-nak megfelelő összegű bírság szabható ki, ha az magasabb, mint a statikus összeg, míg az (5)-(6) bekezdések a forgalom 4%-nak megfelelő összeget írnak elő.
Hatékonyság, arányosság és visszatartó erő
A GDPR azzal a céllal emeli ki a fenti alapelveket, hogy a szankció minden esetben a konkrét jogsértésre vonatkozzon minden egyedi körülményt figyelembe véve. Az EDPB úgy véli, hogy a felügyeleti hatóságok feladata annak ellenőrzése, hogy a bírság összege megfelel-e ezeknek a követelményeknek, vagy az összeg további kiigazítására van-e szükség. Általában elmondható, hogy akkor hatékony egy szankció, ha általa megvalósítható a GDPR által védelmezett érdek, pl. általa helyreállt az adatkezelő vagy adatfeldolgozó GDPR-nak való megfelelése. Visszatartó ereje egy bírságnak akkor van, ha mind objektív, mind szubjektív szempontból megfelel ezen célnak. Objektív visszatartó erejű, ha másokat is elrettent a hasonló jogsértések elkövetésétől. Szubjektív visszatartó ereje pedig akkor érvényesül, ha a konkrét szereplőt elrettenti az ismételt jogsértéstől.
Az arányosság elve megköveteli, hogy a hatóságok intézkedései ne lépjék túl az adott jogszabály által kitűzött célok eléréséhez megfelelő és szükséges mértéket. A felügyeleti hatóság köteles kiemelt figyelmet fordítani arra, hogy a kiszabott adatvédelmi bírság arányos legyen az elkövetett jogsértés súlyával és a vállalkozás éves forgalmával, amely vállalkozáshoz a jogsértő adatkezelő vagy adatfeldolgozó tartozik.
Az arányosság elvéhez kapcsolódik az eset is, ha egy vállalkozás fizetőképtelen, emiatt a felügyeleti hatóság csökkenti a bírságot. Erre azonban csak nagyon kivételes esetben kerülhet sor. Objektív bizonyítékra van szükség, hogy a bírság visszafordíthatatlanul ellehetetlenítené az adott vállalkozást. Bizonyítani kell a vállalkozás gazdasági életképességét részletes pénzügyi adatokkal, melyek alapján a hatóság a vállalkozás jövőbeli fejlődését vagy fejlődőképességét vizsgálja fizetőképesség, likviditás és profitképesség szempontjából. A bírság akkor veszélyezteti a vállalkozás gazdasági életképességét, ha valószínűsíthető, hogy a bírság következtében a vállalkozás vagyona jelentősen csökkenne, amelynek következtében el kellene hagynia a piacot és nem lenne alternatív módja a tevékenysége folytatásának. Figyelembe veszi a hatóság továbbá azt is, ha az adott vállalkozás olyan gazdasági környezetben végez tevékenységet, amely gazdasági környezet válságban van.
Az iránymutatás felvázolja a bírságok kiszámításának általános módszerét, és támogatja a felügyeleti hatóságok bírságolási gyakorlatának további harmonizációját és átláthatóságát. Ez az általános módszer azonban nem automatizált számítás. A bírság egyedi megállapításának mindig az eset összes releváns körülményének emberi értékelésén kell alapulnia, és az adott esetre tekintettel hatékonynak, arányosnak és visszatartó erejűnek kell lennie.
2023.11.01.
dr. Miklós Péter – Adatvédelmi jogász
/ dmp@dmp.hu /
+36306485521