Az Európai Adatvédelmi Testület iránymutatása a GDPR szerinti közigazgatási bírságok kiszámításáról
Az Európai Adatvédelmi Testület (EDPB) 2022. május 12-én tartott 65. plenáris ülésén iránymutatást fogadott el a nemzeti hatóságok által elfogadott közigazgatási bírságok kiszámítási módszereinek harmonizálása érdekében (04/2022. számú EDPB iránymutatás).
Ez az iránymutatás kiegészíti az általános adatvédelmi rendelet (GDPR) szerinti közigazgatási bírság alkalmazásáról és megállapításáról szóló iránymutatást (WP253 iránymutatás), amely az ilyen bírság kiszabásának körülményeire összpontosított. A WP253 iránymutatást a felügyeleti hatóságok általi használatra szánták a rendelet jobb alkalmazásának és végrehajtásának biztosítása érdekében, és az e hatóságok közös álláspontját ismerteti többek között a GDPR 83. cikkében foglalt, a közigazgatási bírságok kiszabására vonatkozó általános feltételekre vonatkozó rendelkezéseket illetően, amellett, hogy az EDPB és az egyes felügyeleti hatóságok egyetértettek abban, hogy az iránymutatást mint közös megközelítést alkalmazzák.
Az EDPB iránymutatás harmonizált “kiindulási pontokat” állapít meg a bírság kiszámításához és megjegyzi, hogy három elemet szükséges figyelembe venni: a jogsértések jellege szerinti kategorizálást, a jogsértés súlyosságát, valamint a vállalat forgalmát.
Az iránymutatás ötlépcsős számítási módszert határoz meg:
1. Először is az adatvédelmi hatóságoknak meg kell állapítaniuk, hogy a szóban forgó ügy egy vagy több szankcionálható magatartást tartalmaz-e és hogy ezek egy vagy több jogsértéshez vezettek-e. A cél annak tisztázása, hogy az összes vagy csak néhány jogsértés szankcionálható-e bírsággal. Mielőtt ezen iránymutatás módszertana alapján ki lehetne számítani a bírságot, először is fontos megvizsgálni, hogy milyen magatartás (a magatartás tényszerű körülményei) és jogsértések (a szankcionálandó cselekmények absztrakt jogi leírása) alapján szabják ki a bírságot.
Egy adott eset ugyanis tartalmazhat olyan körülményeket, amelyek vagy egy és ugyanazon, vagy különálló szankcionálható magatartásoknak tekinthetők. Az is lehetséges, hogy egy és ugyanazon magatartás több különböző jogsértést is eredményezhet, ahol az egyik jogsértés hozzárendelése kizárja a másik jogsértés hozzárendelését, vagy egymás mellett is hozzárendelhetők. Más szóval, előfordulhatnak egyidejű jogsértések.
Ezért fontos, hogy először megállapítsuk
– a körülményeket egy vagy több szankcionálandó magatartásnak kell-e tekinteni,
– egy magatartás esetén hogy ez a magatartás egy vagy több jogsértést eredményez-e, és
– egy magatartás esetén, amely több jogsértést eredményez, az egyik jogsértés betudhatósága kizárja-e egy másik jogsértés betudhatóságát, vagy ezek egymás mellett betudhatók.
2. Másodszor, a hatóságoknak rendelkezniük kell egy kiindulóponttal a bírság kiszámításához, amelyhez az EDPB harmonizált módszert biztosít, kiemelve, hogy a kiindulási pont megléte nem akadályozza a felügyeleti hatóságot abban, hogy a bírságot csökkentse vagy növelje (annak maximumáig), ha az eset körülményei ezt megkívánják.
Az EDPB három elemet tekint a további számítás kiindulópontjának:
– a jogsértések jellege szerinti kategorizálás a GDPR 83. cikkének (4)-(6) bekezdése szerint,
– a jogsértés súlyossága a GDPR 83. cikkének (2) bekezdése szerint, valamint
– a vállalkozás forgalma, mint a hatékony, visszatartó erejű és arányos bírság kiszabása szempontjából figyelembe veendő egyik lényeges elem a GDPR 83. cikkének (1) bekezdése szerint.
3. Harmadszor, a hatóságoknak figyelembe kell venniük a bírság összegét növelő vagy csökkentő, súlyosbító vagy enyhítő tényezőket, amelyekre az EDPB következetes értelmezést ad. A GDPR szerkezetét követve, miután értékelte a jogsértés jellegét, súlyosságát és időtartamát, valamint a jogsértés szándékos vagy gondatlan jellegét és az érintett személyes adatok kategóriáit, a felügyeleti hatóságnak figyelembe kell vennie a GDPR 83. cikkének (2) bekezdésében felsorolt súlyosbító és enyhítő tényezőket.
Ezen elemek értékelését illetően a bírság növelését vagy csökkentését nem lehet előre meghatározni táblázatok vagy százalékos arányok segítségével. Az EDPB megismétli, hogy a bírság tényleges számszerűsítése a vizsgálat során összegyűjtött összes elemtől és a felügyeleti hatóság korábbi bírságolási tapasztalataihoz kapcsolódó további megfontolásoktól függ. Az egyértelműség érdekében meg kell jegyezni, hogy a GDPR 83. cikke (2) bekezdésének minden egyes kritériumát egyszer kell figyelembe venni a bekezdés átfogó értékelése részeként.
4. A negyedik lépés a GDPR 83. cikkének (4)-(6) bekezdésében előírt, a bírságokra vonatkozó felső határok meghatározása és annak biztosítása, hogy ezeket az összegeket ne lépjék túl.
5. Az ötödik és egyben utolsó lépésben a hatóságoknak meg kell vizsgálniuk, hogy a véglegesen kiszámított összeg megfelel-e a hatékonyság, a visszatartó erő és arányosság követelményeinek, vagy az összeg további kiigazítására van-e szükség.
Az EDPB iránymutatása fontos kiegészítője annak a keretnek, amelyet az EDPB stratégiai prioritásával összhangban, a határokon átnyúló ügyekben az adatvédelmi hatóságok közötti hatékonyabb együttműködés érdekében épít ki.
Ez az iránymutatás 6 héten keresztül nyilvános konzultáció tárgyát képezi, a nyilvános konzultációt követően az észrevételek figyelembevételével kerül elfogadásra a végleges változat, amely tartalmazni fog egy referenciatáblázatot a bírság kiszámításának kiindulási pontjaival, összefüggésbe hozva a jogsértés súlyosságát a vállalat forgalmával. Az EDPB az iránymutatásban mindvégig hangsúlyozza, hogy a bírság végső összege az eset összes körülményétől függ, ezért a harmonizációt inkább a bírság kiszámításához használt kiindulási pontok és módszertan, nem pedig az eredmény tekintetében tervezi.
További információk:
Az Európai Adatvédelmi Testület sajtóközleménye: https://edpb.europa.eu/news/news/2022/edpb-adopts-guidelines-calculation-fines-guidelines-use-facial-recognition_en
Az Európai Adatvédelmi Testület stratégiája 2021-2023 magyar nyelven:https://edpb.europa.eu/sites/default/files/files/file1/edpb_strategy2021-2023_hu.pdf
Az Európai Adatvédelmi Testület 04/2022. számú iránymutatása a GDPR szerinti közigazgatási bírságok kiszámításáról: https://edpb.europa.eu/system/files/2022-05/edpb_guidelines_042022_calculationofadministrativefines_en.pdf
A 29. cikk szerinti adatvédelmi munkacsoport iránymutatása a 2016/679 rendelet szerinti közigazgatási bírság alkalmazásáról és megállapításáról (WP 253): https://www.naih.hu/files/wp253_HU_koezigazgatasi_birsag.pdf
