Milliós bírság helyett figyelmeztetés is lehet az első jogsértéskor

Az általános uniós adatvédelemi rendelet (GDPR rendelet) május 25-i hatálybalépése után egy hónappal 2018. június 30-án életbe lépett az információs önrendelkezést szabályozó magyar jogszabály, az Info törvény módosítása is.

Mivel a GDPR rendelet olyan uniós jogforrás, amelyet a tagállamok közvetlenül kötelesek alkalmazni, ezért a magyar jogalkotásban a GDPR rendelet szabályait nem kell átültetni. Az Info törvény ezért csak nagyon szűk körben módosult a GDPR rendelet hatályba lépése miatt. Egyrészt a jogalkotó rendelkezett arról, hogy a GDPR  által az adatvédelmi felügyeleti hatóságra telepített feladat- és hatáskörök gyakorlója a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) lesz, másrészt meghatározta azokat a feladatköröket, amelyeket a NAIH_adatvédelmi hatóságként ellát.  A módosítás rögzíti, hogy a NAIH csak a törvénynek van alárendelve, és feladatkörében nem utasítható.

A módosítás a NAIH hatáskörének gyakorlása kapcsán kifejezetten rendelkezik az arányosság elvének figyelembevételéről. Az arányosság szem előtt tartása azt jelenti, hogy a NAIH a jogsértés első észlelése esetén elsősorban nem bírságolással, hanem az adatkezelő/adatfeldolgozó figyelmeztetésével intézkedik. Habár az arányosság elvének alkalmazását, és az első alkalommal történő figyelmeztetést a törvénymódosítás általános jelleggel kimondja, az indokolás szerint ez a kis- és középvállalkozások tekintetében alkalmazandó.  A másik érdekesség, hogy a törvény szóhasználata bizonytalanságot okoz, hiszen az, hogy „elsősorban” nem bírságolást kell alkalmazni, azt jelenti, hogy van mérlegelési lehetősége a hatóságnak, tehát a bírságolás nem kizárt kis- és középvállalkozások esetében sem.