Jogi keret
Az EU – az általános adatvédelmi rendelettel (a továbbiakban: GDPR), amely 2018. május 25. óta alkalmazandó – lezárta az adatvédelmi szabályozás átfogó reformját a Európában. A rendelet több kulcsfontosságú összetevőn nyugszik, amelyek közül az egyik a felügyeleti hatóságok által alkalmazható erősebb jogérvényesítési hatáskörök. A rendelet új, jelentősen megnövelt mértékű bírságokat ír elő, valamint rendelkezik a bírságok tagállamok közötti harmonizációjáról. Az adatkezelők és adatfeldolgozók fokozott felelősséggel tartoznak az egyének személyes adatainak hatékony védelme érdekében. A felügyeleti hatóságok hatáskörrel rendelkeznek annak biztosítására, hogy a GDPR alapelvei, valamint az érintett egyének jogai a GDPR szövegének és szellemének megfelelően érvényesüljenek.
Azért dolgozta ki az EDPB az iránymutatást, hogy világos és átlátható alapot biztosítson a felügyeleti hatóságok számára a bírságok megállapításához. A korábban közzétett, a közigazgatási bírságok alkalmazásáról és megállapításáról szóló iránymutatás foglalkozik azokkal a körülményekkel, amelyek esetén a közigazgatási bírság megfelelő eszköz lehet, és értelmezi a GDPR 83. cikkében foglalt kritériumokat. A jelenleg bemutatott iránymutatás a közigazgatási bírságok kiszámításának módszertanával foglalkozik. A két iránymutatás egyidejűleg alkalmazandó, és egymást kiegészítő iránymutatásnak tekintendők.
Az iránymutatás célja
Ezen iránymutatások célja, hogy harmonizált kiindulópontokat hozzanak létre, amelyek alapján az egyes esetekben a közigazgatási bírságok kiszámítására sor kerülhet. Az állandó ítélkezési gyakorlat szerint azonban az ilyen iránymutatásoknak nem kell olyan pontosnak lenniük, hogy az adatkezelő vagy adatfeldolgozó pontosan kiszámíthassa a várható bírságot. Az iránymutatás mindvégig hangsúlyozza, hogy a bírság végső összege az eset összes körülményétől függ. Az EDPB ezért inkább a bírság kiszámításához használt kiindulási pontok és módszertan harmonizációjára helyezi a hangsúlyt.
Az iránymutatás lépésről lépésre történő megközelítésnek tekinthető, bár a felügyeleti hatóságok nem kötelesek minden lépést követni, ha azok egy adott esetben nem alkalmazhatók, és nem kötelesek az iránymutatások nem alkalmazható szempontjaival kapcsolatban indoklást közzétenni.
Az iránymutatás ellenére a felügyeleti hatóságokra továbbra is vonatkoznak a nemzeti és uniós jog szerinti eljárási kötelezettségek, beleértve a határozatuk indokolási kötelezettségét és az egyablakos ügyintézési mechanizmus szerinti kötelezettségeiket. Ezen túlmenően az ezen iránymutatásokra való puszta hivatkozás nem helyettesítheti a konkrét esetben nyújtandó érvelést.
Hatály
Ezen iránymutatások célja, hogy szabályozzák és megalapozzák a felügyeleti hatóságok által a bírságok átfogó szintű meghatározását. Az iránymutatás a GDPR 4. cikkének (7) és (8) bekezdése szerinti valamennyi adatkezelőre és adatfeldolgozóra vonatkozik, kivéve azokat a természetes személyeket, akik nem vállalkozásként járnak el.
A GDPR 83. cikkének (7) bekezdése szerint minden tagállam meghatározhatja, hogy az adott tagállamban székhellyel rendelkező hatóságokkal és szervekkel szemben kiszabhatók-e, és ha igen, milyen mértékben szabhatók ki közigazgatási bírságok. Amennyiben a felügyeleti hatóságok a nemzeti jog alapján rendelkeznek ezzel a hatáskörrel, ezen iránymutatást kell alkalmazni a hatóságokra és szervekre kiszabható bírságok kiszámításánál.
A felügyeleti hatóságok azonban továbbra is szabadon alkalmazhatnak az ebben az iránymutatásban leírtakhoz hasonló módszertant. Az iránymutatás 6. fejezete (mely a jogi maximumokkal és a vállalati felelősséggel foglalkozik) nem alkalmazandó a hatóságokkal és szervekkel szemben kiszabható bírság kiszámítására, amennyiben a nemzeti jog eltérő jogi maximumokat ír elő, és a hatóság vagy szerv nem a 6.2.1. fejezetben meghatározott vállalkozásként jár el. Az iránymutatások a határokon átnyúló és a nem határokon átnyúló esetekre egyaránt vonatkoznak.
Az iránymutatás nem teljes körű, és nem ad általános magyarázatot a nemzeti közigazgatási, polgári vagy büntetőjogi rendszerek közötti különbségekre a közigazgatási szankciók kiszabásakor.
Alkalmazhatóság
A GDPR 70. cikke (1) bekezdésének e) pontja szerint az EDPB jogosult iránymutatásokat, ajánlásokat és gyakorlatokat kiadni a GDPR következetes alkalmazásának ösztönzése érdekében. A GDPR 70. cikke (1) bekezdésének k) pontja kimondja, hogy a Testület biztosítja a GDPR következetes alkalmazását, és saját kezdeményezésére vagy az Európai Bizottság kérésére, iránymutatásokat dolgoz ki a felügyeleti hatóságok számára az 58. cikkben említett intézkedések alkalmazásával és a közigazgatási bírságok megállapításával kapcsolatban a 83. cikk alapján.
Annak érdekében, hogy a közigazgatási bírságok kiszabására vonatkozóan olyan következetes megközelítést lehessen alkalmazni, amely megfelelően tükrözi a GDPR valamennyi elvét, az EDPB megállapodott a GDPR 83. cikkében foglalt értékelési kritériumok közös értelmezéséről. Az egyes felügyeleti hatóságok ezt a közös megközelítést a rájuk vonatkozó helyi közigazgatási és igazságügyi jogszabályokkal összhangban tükrözni fogják.
Amennyiben adatvédelmi jogász segítségére van szüksége, esetleg egy adatvédelmi audit vált szükségessé vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu
