Európai Unió Bírósága: az adatvédelmi bírság csak vétkesség esetén szabható ki

SzerzőAndrea EgertzKategória:adatvédelemCímkék:, , , , ,

Az EU bírósága a 2023. december 5-én született határozatában kimondta, hogy a GDPR nem teszi lehetővé adatvédelmi bírság kiszabását anélkül, hogy megállapítást ne nyerne, hogy a jogsértést az adatkezelő szándékosan vagy gondatlanságból követte el. Következésképpen a vétkes (szándékos vagy gondatlan) jogsértés az adatvédelmi bírság kiszabásának feltétele.

Egy litván és egy német bíróság arra kérte az Európai Unió Bíróságát, hogy értelmezze az általános adatvédelmi rendeletet (GDPR) abból a szempontból, hogy a nemzeti felügyeleti hatóságok milyen feltételekkel szabhatnak ki közigazgatási bírságot az adatkezelőre.

Az alapul szolgáló litván ügyben az Egészségügyi Minisztérium alá tartozó Nemzeti Közegészségügyi Központ 12 000 eurós bírságot kapott, mert jogellenesen tartotta nyilván és követte nyomon a Covid19 fertőzöttek adatait egy mobilalkalmazáson.

A német ügyben a Deutsche Wohnen ingatlantársaság, amely közvetetten körülbelül 163.000 lakóegységgel és 3.000 kereskedelmi egységgel rendelkezik, többek között vitatta a vele szemben kiszabott több mint 14 millió euró összegű bírságot, melyet azért vetettek ki rá, mert a szükségesnél hosszabb ideig tárolta a bérlők személyes adatait.

Adobe stock

Az EU Bíróság megállapította, hogy az adatkezelővel szemben nem szabható ki közigazgatási bírság az általános adatvédelmi rendelet megsértése miatt, kivéve, ha a jogsértést vétkesen (szándékosan vagy gondatlanságból) követték el. Ez az eset áll fenn, ha az adatkezelőnek tudnia kellett magatartása jogsértő jellegéről, függetlenül attól, hogy tudomása volt-e a jogsértésről, vagy sem. Amennyiben az adatkezelő jogi személy, nem szükséges, hogy a jogsértést a menedzsmentje kövesse el. Az sem szükséges, hogy a menedzsment tudomást szerezzen e jogsértésről. Éppen ellenkezőleg, a jogi személy felelős mind a képviselői által elkövetett jogsértésekért, mind pedig azokért, amelyeket a jogi személy üzleti tevékenysége körében és javára eljáró bármely más személy követett el. Ezenkívül a jogi személlyel mint adatkezelővel szemben kiszabott közigazgatási bírság nem függhet annak előzetes megállapításától, hogy e jogsértést azonosított természetes személy követte el.

Közzétéve: Andrea Egertz

I am a Hungarian attorney at law practicing in Budapest. I specialize in real property law and real property financial lease transactions. Besides, I have done some research on fintech law while studying EU law at Kings College London. I focused on the changing legislation on electronic payments in the financial industry, the second Payment Services Directive (PSD2). Currently I am engaged in understanding the regulatory framework of the crypto industry with focusing on the MicaR and its background. I regularly follow EBA’s newsletters, the technical standards and guidelines it issues. I also had the chance to advise an industry leading pharmaceutical company regarding MAs, SOPs and advertisement of pharmaceutical products for human use. I also advised a company selling and marketing animal pharmaceuticals. Besides, I am also familiar with the compliance requirements of insurance brokers. I have advised the affiliate of an Austrian based industry leading insurance broker company regarding compliance issues; I represented them before the MNB (the Hungarian National Bank acting as supervisory authority), prepared SOPs and settled disputes of complaints before the Conciliation Board. I like solving problems, finding the best option for clients.

Hozzászólás