A WP253 számú iránymutatás, amelyet a 29-es munkacsoport fogadott el 2017. októberében a GDPR alapján kiszabható közigazgatási bírsággal kapcsolatosan
A bírság kiszabásának alapelvei
Uniós szinten a rendelet megsértése esetén „azonos szankciókat” kell kiszabni minden tagországban. A felügyeleti hatóságok által kiszabott közigazgatási bírságoknak hatékonynak, arányosnak és visszatartó erejűnek kell lenniük. A bírság helyett megrovás is alkalmazható, a hatóság mérlegeli, hogy szükséges-e a bírság kiszabása. Ezek a birságok azonban nem végső eszközök (és ne csak akkor használják, ha máseszköz nem segít) ne riadjanak vissza a hatóságok a birság kiszabástól. A tagországi felügyeleti hatóságoknak ezért összehangolt tevékenységet és gyakorlatot kell folytatniuk.
A bírság mértékének meghatározása során figyelembe kell venni (a teljesség igénye nélkül):
- az adatkezelés célját,
- az eset hatóság általi tudomásszerzését (az adatkezelő vagy panaszos jelentette-e),
- a hatósággal való együttműködés minőségét,
- a jogsértés időtartamát, szándékos vagy gondatlan jellegét,
- a jogsértéssel érintett adat különleges jellegét, közvetett vagy közvetlen azonosíthatóságát, titkosítását,
- a kár enyhítése érdekében megtett intézkedéseket,
- az érintettek számát, az általuk elszenvedett kárt,
- az adatkezelő és adatfeldolgozó felelősségét, “legjobb gyakorlatok”-tól való eltérés mértékét és a “tőle elvárhatóság” elvének való megfelelést,
- az adatkezelő és adatfeldolgozó tekintetében tapasztalt jogsértések gyakoriságát,
- a jogsértés következményeként szerzett pénzügyi hasznot vagy elkerült veszteséget.