GDPR nyilatkozat és a büntetések: Milyen következményekkel jár a hiánya?
Milyen jogszabályi előírások vonatkoznak a GDPR nyilatkozatra?
A GDPR nyilatkozat megléte nem csupán egy jogszabályi kötelezettség, hanem a vállalkozások adatvédelmi megfelelésének egyik lényeges eleme is. Hiányában a cégek nemcsak azt kockáztatják, hogy az ügyfeleik nem bíznak majd bennük, hanem jelentős bírságokkal is számolhatnak, ha a NAIH-nak (Nemzeti Adatvédelmi és Információszabadság Hatóság) ez szemet szúr. Az ellenőrzések pedig egyre gyakoribbak.
A GDPR nyilatkozat megléte az Európai Unió Általános Adatvédelmi Rendelete (GDPR) alapján kötelező minden olyan szervezet számára, amely személyes adatokat kezel. Ez azt jelenti, hogy a vállalkozásoknak egyértelmű és átlátható módon tájékoztatniuk kell az érintetteket arról, milyen adatokat gyűjtenek, milyen célból és milyen jogalapon kezelik azokat, valamint biztosítaniuk kell az érintettek számára a jogaik érvényesítését. Az alábbiakban bemutatjuk, milyen jogi következményei lehetnek a GDPR nyilatkozat hiányának, és hogyan kerülhetők el a szankciók.
Mit jelent a GDPR nyilatkozat hiánya, hogyan szankcionálják a mulasztást?
A GDPR nyilatkozat hiánya azt jelenti, hogy a vállalkozás nem teljesíti a rendelet átláthatóságra vonatkozó követelményeket, ami önmagában is szankciókat vonhat maga után. A mulasztásokat a jogszabályok többféleképpen is szankcionálhatják. A büntetés egyik módja a pénzbírság kiszabása, amely akár több millió eurós tétel is lehet, a GDPR megsértése miatt kiszabható bírságok két szintre oszlanak. Az alacsonyabb kategóriájú bírság legfeljebb 10 millió euró, vagy az éves globális árbevétel 2%-a (a kettő közül a magasabb érték az irányadó). A magasabb kategóriájú bírság pedig, legfeljebb 20 millió euró, vagy az éves globális árbevétel 4%-a (a kettő közül szintén a magasabb érték az irányadó). A GDPR nyilatkozat hiánya az adatkezelés átláthatóságának megsértését jelenti, amely jellemzően az alacsonyabb kategóriájú bírságot vonhatja maga után. Súlyosabb esetekben azonban – például ha a vállalkozás szándékosan titkolja adatkezelési gyakorlatát – akár a magasabb összegű bírság is kiszabható.
A bírságon kívül hatósági eljárások és kötelező helyreállítási intézkedések megtételére való kötelezettséggel számolhat, aki elmulasztja a dokumentum elkészíttetését. Ha egy vállalkozás nem rendelkezik megfelelő GDPR nyilatkozattal, az adatvédelmi hatóság vizsgálatot indíthat ellene. Ennek eredményeként az első szabálytalanság esetén figyelmeztetésben részesülhet a vállalkozás, határidőhöz kötött kötelező módosításokat írhatnak elő, vagy felfüggeszthetik a cég adatkezelési tevékenységét, amíg a jogszerű működés helyre nem áll. Ezek az intézkedések jelentős fennakadást okozhatnak a vállalkozás működésében, különösen, ha az adatok kezelése alapvető része a szolgáltatásnak.
Adatvédelmi incidensek kártérítési és jogi következményei
A GDPR lehetőséget biztosít arra, hogy az érintettek kártérítést követeljenek, ha személyes adataik jogellenes kezelése miatt kár éri őket. Ha egy vállalkozás nem rendelkezik megfelelő adatvédelmi nyilatkozattal, és az ügyfél úgy érzi, hogy emiatt sérült az adatvédelmi joga, pert indíthat. Ezek az eljárások nemcsak pénzügyi veszteséget jelenthetnek, hanem a cég hírnevére is komoly csapást mérhetnek.
A megfelelő GDPR nyilatkozat megléte és rendszeres frissítése tehát alapvető lépés a jogi megfelelés biztosítása érdekében. Mivel a vállalkozások adatkezelési gyakorlata életszerű, hogy idővel változik, ezért a GDPR nyilatkozatot évente legalább egyszer érdemes frissíteni. Ha jelentős változás történik, például új adatkezelési cél jelenik meg (pl. hírlevelet indítunk, online vásárlást teszünk lehetővé stb.), a nyilatkozatot haladéktalanul módosítani kell. Az adatvédelmi szabályokat minden érintett kollégának ismernie kell, a GDPR nyilatkozat tartalmának betartása az egész szervezet felelőssége.