Helyi ügyben itthon vizsgálhatják majd az adatokkal való visszaéléseket

Egységesítették az uniós tagországok az ügyféladatokkal való visszaéléseket szabályozó ­európai joganyag, a GDPR (General Data Protection Regulation) szabályozása körében a hatóságok bírságolási gyakorlatát – számolt be Szabó Endre Győző, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) elnökhelyettese a Dentons ügyvédi iroda adatvédelmi szemináriumán. A szakember szerint abban összhang volt, hogy nem a bírság az elsődleges a hatósági tevékenységben, ugyanakkor fontos, hogy megfelelő szankciót alkalmazzanak a hatóságok, ha valamilyen visszaélést tapasztalnak az adatkezelésben. Teljes kiszámíthatóságot ez a bírságolás új rendszeréről készült dokumentum sem nyújthat, ám a hatóságoknak van lehetőségük arra, hogy a más országokban kialakult rendről (volt-e már hasonló precedens) és az eljárás, bírságolás részleteiről érdeklődjenek a társhatóságoknál. Az adatvédelmi jogsértés azonban nem lesz átalánydíjas – hangsúlyozta Szabó Endre Győző, aki szerint a bírságolásnak mindig az arányosság, a hatékonyság és a visszatartó erő hármas szabályának kell megfelelnie. Már csak azért sem lehet étlapot készíteni a jogsértésekből, mert tagállamonként eltérő lehet a bírság összege, hiszen egy euró uniós államonként más-más értéket képvisel.

A bírság kiszabásánál minden esetben mérlegelni kell, hogy az adattal való visszaélés mennyire érte váratlanul az adatalanyt, azt, hogy kifejezetten jogellenes tevékenységről volt-e szó – ha igen, akkor egyértelmű, hogy a jogsértés súlyosságának vizsgálata elengedhetetlen, hiszen más szankcióval kell járnia, ha gondatlanul valósult meg az adatsértés. Ugyancsak eltérő súlyú szankcióval kell fellépni a visszaeső cégekkel szemben, illetve azon visszaélések esetén, amikor a hatóság konkrét lépések megtételére kötelezte a céget, s a jogsértés az előírt feladatok teljesítése során történt. A bírságolás kapcsán vizsgálandó a jogsértő vállalkozás hatósággal való együttműködése, valamint azon lépései, amelyeket a kármérséklés, a kockázat csökkentése és az eredeti állapot helyreállítása érdekében tett.

Kiemelt fontosságú az adatsértések kezelése a határon átnyúló tevékenységek esetében. A pénzintézeti szabályozás lényegében megköti a hazai felügyelet kezét, a határon átnyúló szolgáltatóval szembeni prudenciális fellépésre nincs mód, csak a felügyelet fogyasztóvédelmi jogosítványai élnek. A GDPR az utóbbi megoldást követi. Az ügyfélnek adatkezelési visszaélések esetén is joga van az adatait nem megfelelően kezelő szolgáltatót helyben bepanaszolni, ám a hatóság vizsgálatán múlik, hogy hol intéződik az ügy. Ha a helyi hatóság úgy dönt, hogy a bepanaszolt adatkezelés csak az adott tagállamban valósult meg, akkor joga van saját hatáskörben dönteni – s csak jelzést küldeni a székhely szerinti vezető hatóságnak.

Ha viszont központi döntés volt, vagy a jogosulatlan adatszolgáltatás valamely központi adatkezelési irányelv hazai átültetésének eredménye, a magyar hatóság átadhatja az ügyet a központ alapján illetékes hatóságnak.

Nem maradhat a generalista szabályozás

Az infotörvény napirenden lévő módosítása nem lesz szigorúbb a GDPR-előírásoknál – vélekedett a NAIH elnökhelyettese. Szabó Endre Győző szerint a magyar jogrendből azonban ki kell maradnia annak a generalista szabályozásnak, amely a jogszabályokat sértő hazai kis- és középvállalkozások első botlását (ha a korrekció megtörténik) szankciómentesnek minősíti. „Ez a szabály nem kompatibilis a GDPR-szabályozással – hangsúlyozta –, az egyedi elbírálás okán viszont minden ügyben lehet szankciót nem tartalmazó ítéletet hozni, ám ezt jogszabály nem teheti kötelezővé.”