A kkv-k sem ússzák meg a bírságot, ha GDPR-ról van szó

| forrás:
TF-információ
| olvasási idő: kb. 2 perc

Első, súlyos, folyamatos, nagy számú érintettet érintő jogsértés esetén minden vállalkozás - kkv-k és multinacionálisok egyaránt - számíthat bírságra, ha nem tartja be az új adatvédelmi rendeletet (GDPR). Első, enyhe jogsértés esetén a vállalkozásokat - kkv-kat és multinacionálisokat egyaránt - elsősorban figyelmeztetésben részesíthetik és nem bírságban. Nem igazak azok a hírek a médiában, amelyek egy törvénymódosítás tervezet kapcsán azt állították, hogy a kis-és középvállalkozóknak nem kell bírságot fizetni, ha nem tartják be az új adatvédelmi rendelet előírásait (GDPR) - figyelmeztet Zempléni Kinga, ügyvéd.

Öntsünk tiszta vizet a pohárba!

A törvénymódosítási tervezet kizárólag azt rögzíti, hogy első jogsértés esetén a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) a vállalkozást nem bírságban, hanem elsősorban figyelmeztetésben részesíti.

Ráadásul, a törvénymódosítás szövege nem említi kifejezetten a kkv-at, azaz a multinacionális gazdasági társaságokra is vonatkozik. 

Tanulj a tőzsdén kereskedni 21 nap alatt! Kérd az INGYENES videóidat még ma! (A kereskedés kockázatos.) (x)

Maga a GDPR rendelet alapján első alkalommal történő, de enyhe jogsértés esetén sem kötelező bírságot kiszabni, illetve figyelembe kell venni, ha a jogsértő vállalkozás kkv. A törvénymódosítás tehát nem tér el a GDPR rendelet előírásaitól.

Soha ne mondd, hogy soha!

Zempléni Kinga, ügyvéd szerint azonban a törvénymódosítás és a GDPR rendelet szövege nem értelmezhető úgy, hogy első jogsértés esetén sose bírságol a NAIH.

Első, súlyos jogsértés (például nagyszámú fogyasztókat érintő, folyamatos és szándékos adatvédelmi előírások megszegése) esetén minden vállalkozás– kkv-k és multinacionálisok egyaránt – bírságot kockáztathat - figyelmeztet a szakértő.

Mi számít súlyos jogsértésnek?

Súlyos jogsértésnek minősülhetnek az alábbi, nagy számú magánszemélyt érintő, hosszú időtartamú esetek; ilyenkor a NAIH feltehetően az első alkalommal is bírságot szabhat ki, még kkv-knak is. 

1. Ha egy webáruház semmilyen adatvédelmi tájékoztatás nem nyújt a fogyasztóknak.

2. Ha egy társaság felelőtlenül nyilvánosságra hoz érzékeny adatokat.

3. Ha egy vállalat kamerákat helyez el öltözőkben.

4. Ha egy társaság nem tartja be az alapvető adatbiztonsági követelményeket.

5. Ha egy vállalat jogellenesen harmadik félnek értékesít személyes adatokat. 

6. Ha egy online portál úgy kezeli a fizetési adatokat, hogy ahhoz bárki könnyen hozzáférhet. 

(A felsorolás nem teljeskörű.)

A szakértő hozzáteszi, hogy jogsértés esetén a NAIH-nak eleve több eszköze van; jogosult figyelmeztetni a társaságot, korlátozni az adatkezelést, kötelezni a társaságot, hogy tájékoztassa az adatkezelőt stb. és akár bírságot is kiróhat.

Arányos és visszatartó erejű bírságok

A bírságoknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. Annak eldöntésekor, hogy szükség van-e bírság kiszabására, illetve a bírság összegének megállapításakor a GDPR alapján minden egyes esetben kellőképpen figyelembe kell venni a következőket: hányadik alakommal történik a jogsértés, jogsértés természete, súlyossága, időtartama, szándékos jellege, tett-e a társaság intézkedéseket az elszenvedett kár mértékének csökkentésére, arra, ahogyan a felügyeleti hatóság tudomást szerzett a jogsértésről, valamint minden egyéb súlyosbító vagy enyhítő körülményt. 

A GDPR ösztönzi a felügyeleti hatóságot, hogy vegye figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit. 

Ezt olvasta már?

Megint cégfelvásárlásra készül az Est Media »