A Deloitte szakértői szerint a NAIH várhatóan a nagyvállalatok körében fog élni a bírságolás jogával, de a kkv-k sem mentesülnek a GDPR megfelelés alól, súlyos jogsértés esetén akár ők is birságolhatóak lesznek, ezért nekik is javasolt az új adatvédelmi rendeletben előírtaknak való megfelelés.

A törvényjavaslat alapján a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) lesz felelős a GDPR-ban meghatározott felügyeleti feladatok ellátására.

„Az előterjesztésben foglaltak és a kapcsolódó kommunikációk arra engednek következtetni, hogy a nagyvállalatok esetében a NAIH nem feltétlenül fogja követni ezt a gyakorlatot, így vélhetően a NAIH a nagyvállalatok körében fog élni a bírságolás jogával. Hangsúlyoznánk, hogy

az előterjesztésben foglaltak nem úgy értelmezendők, hogy a kkv-k mentesülnek a GDPR megfelelés alól,

ugyanis súlyos jogsértés esetén nem zárható ki a bírság alkalmazása velük szemben sem. Erre figyelemmel javasolt a KKV-nak is megtenni a GDPR megfeleléshez szükséges lépéseket” – mondta el dr. Márkus Csaba, a Deloitte adó- és jogi osztályának partnere és a Deloitte GDPR csoportjának vezetője.

Példák súlyos esetekre

Zempléni Kinga ügyvéd egyetért ezzel az értelmezéssel: "első, súlyos jogsértés (például nagyszámú fogyasztókat érintő, folyamatos és szándékos adatvédelmi előírások megszegése) esetén minden vállalkozás– kkv-k és multinacionálisok egyaránt – bírságot kockáztathat" - olvasható a közleményében.

Súlyos jogsértésnek minősülhetnek az alábbi, nagy számú magánszemélyt érintő, hosszú időtartamú esetek; ilyenkor a NAIH feltehetően az első alkalommal is bírságot szabhat ki, még kkv-knak is. (A felsorolás nem teljeskörű.)

• Ha egy webáruház semmilyen adatvédelmi tájékoztatás nem nyújt a fogyasztóknak,
• Ha egy társaság felelőtlenül nyilvánosságra hoz érzékeny adatokat,
• Ha egy vállalat kamerákat helyez el öltözőkben,
• Ha egy társaság nem tartja be az alapvető adatbiztonsági követelményeket,
• Ha egy vállalat jogellenesen harmadik félnek értékesít személyes adatokat,
• Ha egy online portál úgy kezeli a fizetési adatokat, hogy ahhoz bárki könnyen hozzáférhet.