A NAIH az adatvédelmi bírságokat nem határozta meg konkrétan, hanem három kategóriába sorolta. A korábbi irányelvet felváltotta a rendelet.
Az adatvédelmi incidensnek a GDPR szerint 3 szintje van:
- Az adatkezelő nyilvántartja az adatvédelmi incidenseket, feltüntetve az adatvédelmi incidenshez kapcsolódó tényeket, annak hatásait és az orvoslásra tett intézkedéseket. ( GDPR 33.cikk (5) bekezdés)
- Az adatvédelmi incidenst az adatkezelő indokolatlan késedelem nélkül, és ha lehetséges, legkésőbb 72 órával azután, hogy az adatvédelmi incidens a tudomására jutott, bejelnti a felügyeleti hatóságnak, kivéve, ha az adatvédelmi incidens valószínüsíthetően nem jár kockázattal a természetes személyek jogaira és szabadságára nézve. (GDPR 33.cikk (1) bekezdés)
- Ha az adatvédelmi incidens valószínűsíthetően magas kockázattal jár a természetes személyek jogaira és szabadságára nézve, az adatkezelő indokolatlan késedelem nélkül tájékoztatja az érintettet az adatvédelmi incidensről. (GDPR 34.cikk (1) bekezdés)
Az ügyek méretétől függetlenül a hatóságnak hatósági eljárást kell indítania.
KKV-k esetében a fokozatos szankcionálás elvét kellet alkalmazni a 2017 évi CXXV.tv szerint. Azonban ezt a törvényt 2019 01.01.-től a GDPR felülírja, mert az adatvédelem ez alól kivétel.
A NAIH főbb eljárásai:
- Vizsgálati eljárás: ez történhet bejelentés alapján, vagy hivatalból is indítható
- Adatvédelmi hatósági eljárás: indulhat az érintett kérelmére (GDPR 77.cikk), vagy hivatalból
- Új adatkezelési eljárások:
- magatartási kódex jóváhagyása
- magatartási kódexnek való megfelelés ellenőrzésére irányuló tevékenység ellenőrzése
- tanúsítvány alapjául szolgáló tanúsítási szempontok jóváhagyása
- 3.ország és nemzetközi szervezet részére személyes adatok továbbítására vonatkozó szerződéses rendelkezések engedélyezése
- kötelező erejű vállalati szabályok jóváhagyása
A bírságkiszabás szempontjai
- A bírság összegét nem definiálták tételesen , viszont az EU országai között bármely esetben korábban kiszabott bírság egy ügyre vonatkozóan, érvényessé válik más országokban történt esetek bírság összegére is. Tehát a kiszabott bírságot kell irányelvnek tekinteni és azt kell alapul venni.
- A bírságolás szempontjai a hatékony, arányos, és visszatartó erejű bírságok (83.cikk (1) bekezdés)
- A jogsértés szándékos vagy gondatlan jellege, korábbi jogsértés kapcsán szerzett pénzügyi haszon/elkerült veszteség (83.cikk (2) bekezdés)
Speciális bírságok esete
- Incidens-bejelentési kötelezettség nem teljesítése (83.cikk (4) bekezdés)
- A hatóság utasításainak be nem tartása, hozzáférés nem biztosítása (83.cikk (5),(6) bekezdés)
Megnövekedett esély a hatósági fellépésre
- Hatósági eljárások számának növekedése( vizsgálati eljárás csökkenése)
- Végrehajtási eljárás (NAV-NAIH)