Mi történik, ha a vállalkozásom/szervezetem nem felel meg az adatvédelmi szabályoknak?

Válasz

Az általános adatvédelmi rendelet különböző lehetőségeket biztosít az adatvédelmi hatóságoknak az adatvédelmi szabályoknak való meg nem felelés esetére:

• valószínűsíthető jogsértés esetére figyelmeztetés adható ki;
• jogsértés: a lehetőségek közé tartozik az elmarasztalás, az adatkezeléstől való ideiglenes vagy végleges eltiltás, valamint egy legfeljebb 20 millió eurós vagy a vállalkozás teljes éves világpiaci forgalmának 4%-át kitevő bírság.

Meg kell jegyezni, hogy jogsértés esetén az adatvédelmi hatóság pénzbírságot róhat ki az elmarasztalás és/vagy az adatkezelési tilalom helyett vagy mellett.

A hatóságnak biztosítania kell, hogy az egyes esetekben kiszabott bírságok hatékonyak, arányosak és visszatartó erejűek legyenek. A hatóság egy sor tényezőt vesz figyelembe, mint például a jogsértés természetét, súlyosságát és időtartamát, annak szándékos vagy gondatlan jellegét, az egyének által elszenvedett károk enyhítése érdekében meghozott intézkedéseket, a szervezet hatósággal való együttműködésének mértékét stb.

Példa

Egy vállalkozás háztartási eszközöket forgalmaz online. A weboldalon az ügyfelek konyhai készülékeket, asztalokat, székeket és egyéb háztartási berendezéseket vásárolhatnak banki adataik megadásával. A weboldal kibertámadást szenvedett, amelynek során a hackerek személyes adatokat szereztek meg. Ebben az esetben úgy tűnik, hogy a vállalkozás nem vezette be a megfelelő technikai intézkedéseket az adatvesztés megakadályozására.

Ilyen helyzetben a felügyeleti hatóság különböző tényezőket vizsgál meg, mielőtt eldönti, hogy melyik korrekciós eszközt alkalmazza, például: Mennyire voltak súlyosak az IT-rendszer hiányosságai? Milyen régóta volt az IT-infrastruktúra kitéve ilyen kockázatnak? Milyen vizsgálatokat végeztek a múltban egy ilyen támadás megelőzése érdekében? Hány ügyfél adatát lopták el/tették közzé? Milyen típusú személyes adatokat érintett a támadás – voltak-e ezek között különleges adatok? A felügyeleti hatóság mérlegeli a fentieket, valamint egyéb szempontokat is.

Hivatkozások

• Az általános adatvédelmi rendelet 58., 60., 83. és 84. cikke, valamint (129), (148), (150) és (151) preambulumbekezdése
• Az Európai Adatvédelmi Testület iránymutatásai a közigazgatási bírságok alkalmazásáról és kiszabásáról az (EU) 2016/679 rendelet alkalmazásában, 2017. október 3.

A company sells online household material. Through its website, consumers can buy kitchen appliances, tables, chairs and other domestic goods by entering their bank details. The website suffered a cyber-attack leading to personal details being rendered available to the attacker. In this case, the lack of appropriate technical measures by the company seems to have been the cause of the data loss.

In this instance, various factors will be considered by the supervisory authority before deciding what corrective tool to use. Factors such as: how serious was the deficiency in the IT system? How long had the IT infrastructure been exposed to such a risk? Were tests carried out in the past to prevent such an attack? How many customers had their data stolen/disclosed? What type of personal data was affected – did it include sensitive data? All these and other considerations will be taken into account by the supervisory authority.

• Articles 58, 60, 83 and 84 and Recitals (129), (148), (150) and (151) of the GDPR
• EDPB Guidelines on the application and setting of administrative fines for the purposes of Regulation (EU) 2016/679, 3 October 2017