A WP253 számú iránymutatás, amelyet a 29-es munkacsoport fogadott el 2017. októberében a GDPR alapján kiszabható közigazgatási bírsággal kapcsolatosan

A bírság kiszabásának alapelvei
Uniós szinten a rendelet megsértése esetén „azonos szankciókat” kell kiszabni minden tagországban. A felügyeleti hatóságok által kiszabott közigazgatási bírságoknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. A bírság helyett megrovás is alkalmazható, a hatóság mérlegeli, hogy szükséges-e a bírság kiszabása. Ezek a birságok azonban nem végső eszközök (és ne csak akkor használják, ha máseszköz nem segít) ne riadjanak vissza a hatóságok a birság kiszabástól. A tagországi felügyeleti hatóságoknak ezért összehangolt tevékenységet és gyakorlatot kell folytatniuk.

A bírság mértékének meghatározása során figyelembe kell venni (a teljesség igénye nélkül):

• az adatkezelés célját,
• az eset hatóság általi tudomásszerzését (az adatkezelő vagy panaszos jelentette-e),
• a hatósággal való együttműködés minőségét,
• a jogsértés időtartamát, szándékos vagy gondatlan jellegét,
• a jogsértéssel érintett adat különleges jellegét, közvetett vagy közvetlen azonosíthatóságát, titkosítását,
• a kár enyhítése érdekében megtett intézkedéseket,
• az érintettek számát, az általuk elszenvedett kárt,
• az adatkezelő és adatfeldolgozó felelősségét, “legjobb gyakorlatok”-tól való eltérés mértékét és a “tőle elvárhatóság” elvének való megfelelést,
• az adatkezelő és adatfeldolgozó tekintetében tapasztalt jogsértések gyakoriságát,
• a jogsértés következményeként szerzett pénzügyi hasznot vagy elkerült veszteséget.

WP253 számú iránymutatás letöltése