Május 29-én a kormány új törvényjavaslatot nyújtott be, amely szerint a NAIH fog a GDPR-ban meghatározott közigazgatási bírságok kiszabása esetén intézkedni, elsősorban az adatkezelő vagy az adatfeldolgozó figyelmeztetésével.
A szakértők szerint a NAIH várhatóan a nagyvállalatok körében fog élni a bírságolás jogával, de a kkv-k sem mentesülnek a GDPR megfelelés alól, súlyos jogsértés esetén akár ők is birságolhatóak lesznek, ezért nekik is javasolt az új adatvédelmi rendeletben előírtaknak való megfelelés.
„Az előterjesztésben foglaltak és a kapcsolódó kommunikációk arra engednek következtetni, hogy a nagyvállalatok esetében a NAIH nem feltétlenül fogja követni ezt a gyakorlatot, így vélhetően a NAIH a nagyvállalatok körében fog élni a bírságolás jogával. Hangsúlyoznánk, hogy az előterjesztésben foglaltak nem úgy értelmezendők, hogy a kkv-k mentesülnek a GDPR megfelelés alól, ugyanis súlyos jogsértés esetén nem zárható ki a bírság alkalmazása velük szemben sem. Erre figyelemmel javasolt a KKV-nak is megtenni a GDPR megfeleléshez szükséges lépéseket” – mondta el dr. Márkus Csaba, a Deloitte adó- és jogi osztályának partnere és a Deloitte GDPR csoportjának vezetője.
Példák súlyos esetekre
Zempléni Kinga ügyvéd egyetért ezzel az értelmezéssel: “első, súlyos jogsértés (például nagyszámú fogyasztókat érintő, folyamatos és szándékos adatvédelmi előírások megszegése) esetén minden vállalkozás– kkv-k és multinacionálisok egyaránt – bírságot kockáztathat” – olvasható a közleményében.
Súlyos jogsértésnek minősülhetnek az alábbi, nagy számú magánszemélyt érintő, hosszú időtartamú esetek; ilyenkor a NAIH feltehetően az első alkalommal is bírságot szabhat ki, még kkv-knak is. (A felsorolás nem teljeskörű.)
- Ha egy webáruház semmilyen adatvédelmi tájékoztatás nem nyújt a fogyasztóknak,
- Ha egy társaság felelőtlenül nyilvánosságra hoz érzékeny adatokat,
- Ha egy vállalat kamerákat helyez el öltözőkben,
- Ha egy társaság nem tartja be az alapvető adatbiztonsági követelményeket,
- Ha egy vállalat jogellenesen harmadik félnek értékesít személyes adatokat,
- Ha egy online portál úgy kezeli a fizetési adatokat, hogy ahhoz bárki könnyen hozzáférhet.