Az Európai Adatvédelmi Testület (European Data Protection Board, a továbbiakban: EDPB) 04/2022 számmal kiadott iránymutatása az adatvédelmi bírságok szabályainak értelmezésével foglalkozik. Cikksorozatunk második részében ezen iránymutatásnak az adatvédelmi bírság összegének kiszámítási módszerével, az egyidejű jogsértésekkel és a GDPR 83. cikk (3) bekezdésének alkalmazásával foglalkozó részét vizsgáljuk az adatvédelem kapcsán.

Az adatvédelmi bírság összegének kiszámítási módszere

A GDPR bírság összegének kiszámítása – az együttműködési és következetességi kötelezettségek ellenére – a felügyeleti hatóság mérlegelési jogkörébe tartozik. A GDPR előírja, hogy az adatvédelmi bírság összegének minden egyes esetben hatékonynak, arányosnak és visszatartó erejűnek kell lennie (GDPR 83. cikk (1) bekezdés). Ezen túlmenően a felügyeleti hatóságoknak a bírság összegének megállapításakor kellően figyelembe kell venniük a jogsértés jellemzőire (súlyosságára) vagy az elkövető személyére utaló körülmények jegyzékét (a GDPR 83. cikkének (2) bekezdése). A bírság összegének számszerűsítése tehát az egyes esetekben elvégzett egyedi értékelésen alapul, figyelembe véve a GDPR-ban szereplő paramétereket.

E paraméterek figyelembevételével az EDPB a következő módszert dolgozta ki a GDPR megsértése esetén kiszabott közigazgatási bírságok kiszámítására:

Első lépés: Az ügy adatkezelési műveleteinek azonosítása és a GDPR 83. cikk (3) bekezdésének alkalmazása.

Második lépés: A további számítások kiindulópontjának megtalálása a következők értékelése alapján:

  1. a) a GDPR 83. cikkének (4)-(6) bekezdésében szereplő besorolás;
  2. b) a jogsértés súlyossága a GDPR 83. cikk (2) bekezdésének a), b) és g) pontja szerint;
  3. c) a vállalkozás forgalma, mint a hatékony, visszatartó erejű és arányos bírság kiszabása szempontjából figyelembe veendő egyik releváns elem a GDPR 83. cikkének (1) bekezdése alapján.

Harmadik lépés: Az adatkezelő/feldolgozó múltbeli vagy jelenlegi magatartásával kapcsolatos súlyosbító és enyhítő körülmények értékelése és a bírság ennek megfelelő növelése vagy csökkentése.

Negyedik lépés: A különböző adatkezelési műveletekre vonatkozó jogi maximumok meghatározása. Az előző vagy a következő lépésekben alkalmazott emelések nem haladhatják meg ezt az összeget.

Ötödik lépés: Annak elemzése, hogy a kiszámított GDPR bírság végleges összege megfelel-e a hatékonyság, visszatartó erő és arányosság követelményének, ahogyan azt a GDPR 83. cikkének (1) bekezdése előírja, majd ennek megfelelően a bírság emelése vagy csökkentése.

Bizonyos körülmények között a felügyeleti hatóság úgy ítélheti meg, hogy egyes jogsértéseket előre meghatározott, rögzített összegű pénzbírsággal lehet büntetni. A felügyeleti hatóság mérlegelési jogkörébe tartozik annak megállapítása, hogy a jogsértések jellege, súlyossága és időtartama alapján mely típusú jogsértések minősülnek ilyennek. A felügyeleti hatóság nem hozhat ilyen meghatározást, ha ez az adott helyzetben tilos, vagy egyébként ellentétes lenne a tagállam nemzeti jogával.

Az egyidejű jogsértések és a GDPR 83. cikk (3) bekezdésének alkalmazása

A jogsértések egyidejűségének elve minden olyan esetben alkalmazandó, amikor az egyik rendelkezés alkalmazása kizárja vagy átveszi a másik rendelkezés alkalmazhatóságát. Más szóval az egybeesés már a jogszabályi rendelkezések absztrakt szintjén is előfordul. Ez történhet a specialitás, a szubszidiaritás vagy a konszumpció elve alapján, amelyek gyakran alkalmazandók, ha a rendelkezések ugyanazt a jogi érdeket védik. Ilyen esetekben jogellenes lenne kétszer szankcionálni az elkövetőt ugyanazon jogsértés miatt.

A specialitás elve olyan jogelv, amely azt jelenti, hogy a (ugyanazon jogszabályból vagy különböző, azonos hatályú jogszabályokból származó) különös rendelkezés az általános rendelkezés helyébe lép, bár mindkettő ugyanazt a célt szolgálja. A konkrétabb jogsértés ilyenkor néha a kevésbé konkrét “minősített esetének” tekinthető. A jogsértés minősített esete magasabb szintű bírsággal, magasabb törvényi felső határral vagy hosszabb elévülési idővel járhat.

A jogsértések egyidejűségének egy másik formáját gyakran nevezik a szubszidiaritás elvének. Ez akkor érvényesül, ha egy jogsértést egy másik jogsértéshez képest szubszidiárisnak tekinthetünk. Ez történhet akár azért, mert a törvény formálisan deklarálja a szubszidiaritást, akár azért, mert a szubszidiaritás anyagi okokból adott. Ez utóbbi lehet a helyzet amikor a jogsértések tárgya azonos, de az egyik kisebb mértékben sérti a jogtárgyat. (pl. egy közigazgatási szabálysértés lehet szubszidiáris a bűncselekményhez képest stb.).

A konszumpció elve olyan esetekben alkalmazandó, amikor az egyik rendelkezés megsértése rendszeresen a másik rendelkezés megsértéséhez vezet, gyakran azért, mert az egyik jogsértés a másik jogsértés előzménye.

A jogsértések egyidejűségének elvét a másodlagos jog szintjén az általános adatvédelmi rendelet 83. cikkének (3) bekezdése “az adatkezelés egységének” formájában tovább pontosította.

Egységes eljárás esetén a közigazgatási bírság teljes összege nem haladhatja meg a legsúlyosabb jogsértésre meghatározott összeget. Az általános adatvédelmi rendelet 83. cikke (3) bekezdésének értelmezését illetően az EDPB rámutat, hogy az effet utile elve minden intézménytől megköveteli, hogy az uniós jognak teljes mértékben érvényt szerezzen. E tekintetben az általános adatvédelmi rendelet 83. cikkének (3) bekezdését nem szabad úgy értelmezni, hogy a bírság megállapításakor nem számítana, hogy a jogsértő egy vagy több alkalommal követte el az általános adatvédelmi rendelet megsértését.

A “teljes összeg” kifejezés arra utal, hogy az adatvédelmi bírság összegének megállapításakor az összes elkövetett jogsértést figyelembe kell venni, a “legsúlyosabb jogsértésre meghatározott összeg” kifejezés pedig a bírságok törvényi felső határára utal (pl. az általános adatvédelmi rendelet 83. cikkének (4)-(6) bekezdése). Ezért, bár maga a bírság nem haladhatja meg a legmagasabb bírságolási fokozat törvényi maximumát, az elkövetőt mégis kifejezetten felelősnek kell találni több rendelkezés megsértésében, és ezeket a jogsértéseket figyelembe kell venni a kiszabandó végső bírság összegének megállapításakor. Bár ez nem érinti a bírságot kiszabó felügyeleti hatóság azon kötelezettségét, hogy figyelembe vegye a bírság arányosságának szükségességét, a többi elkövetett jogsértést nem lehet figyelmen kívül hagyni, hanem azokat a bírság kiszámításakor számításba kell venni.

A pluralitás elve minden olyan esetet leír, amely nem tartozik az egyidejű jogsértések közé vagy nem esik az általános adatvédelmi rendelet 83. cikkének (3) bekezdésének hatálya alá.

Az egyetlen ok, amiért ezeket a jogsértéseket egy eljárásban kezelik, az az, hogy véletlenül egy időben jutottak a felügyeleti hatóság tudomására anélkül, hogy a GDPR 83. cikkének (3) bekezdése értelmében azonos vagy összefüggő adatkezelési műveletekről lenne szó. Ezért a jogsértő több jogszabályi rendelkezés megsértését állapítják meg, és a nemzeti eljárásnak megfelelően külön bírságokat szabnak ki, vagy ugyanabban, vagy külön bírságolási határozatokban. Továbbá, mivel a GDPR 83. cikkének (3) bekezdése nem alkalmazandó, a közigazgatási bírság teljes összege meghaladhatja a legsúlyosabb jogsértésre meghatározott összeget (argumentum e contrario). A többszörös cselekmények esetei nem jelentenek okot arra, hogy a bírság kiszámítása tekintetében az elkövetőt előnyben részesítsék. Ez azonban nem érinti az arányosság általános elvének betartására vonatkozó kötelezettséget.

Amennyiben adatvédelmi ügyvéd, segítségére van szüksége, esetleg adatvédelmi tisztviselő szolgáltatásunk érdekli, vegye fel velünk a kapcsolatot elérhetőségeink egyikén:
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu