Fellélegezhetnek a kkv-k: egy ideig még nem büntet a NAIH a GDPR miatt

A Nemzeti Adatvédelmi és Információszabadság Hatóság még nem fogja bírságolni az EU-s adatvédelmi rendelet, a GDPR alapján a kis- és középvállalkozásokat,  egyelőre csak figyelmeztetésre számíthatnak, ha nem felelnek meg a szabályoknak – mondta Gulyás Gergely az új Orbán-kormány első kormányinfóján csütörtökön.

Gulyás azt mondta, látja, milyen félelmek álltak elő a kkv-knál, azért az osztrák mintát akarják átvenni, ami alapján a NAIH csak figyelmeztethet. Azt is elmondta, magyar szabályozás amúgy elég szigorú, úgyhogy az EU-s új rendelet néhány ponton még enyhít is (részletesebben itt írtunk a GDPR-ról).

A GDPR az EU tagállamainak adatvédelmét hivatott közös nevezőre hozni. Célja, hogy több kontrollt adjon a felhasználóknak, az adataiknak pedig nemcsak a hekkerekkel, de magukkal az adatokat kezelő cégekkel szemben is komolyabb védelmet biztosítson. Még 2016-ban lépett életbe, de kétéves türelmi idő után csak most péntektől kezdik alkalmazni. A bírság elég nagy lehet: súlyosabb jogsértések esetén 20 millió euró vagy világpiaci forgalom legfeljebb 4 százaléka, kisebb jogsértések esetén, 10 millió euró vagy világpiaci forgalom legfeljebb 2 százaléka lehet a kiszabható bírság.

Az Opten adataiból az derül ki, hogy

54 százalék körül van azoknak a cégeknek az aránya, melyek kevesebb adózás előtti eredménnyel rendelkeznek, mint árbevételük 2 százaléka, a súlyosabb jogsértések esetére kivetett 4 százalékos értéket vizsgálva pedig ez az arány 61 százalék fölé emelkedik. Egy ekkora bírság tétel kivetése esetén, gyakorlatilag, e vállalatok, végleg lehúzhatnák a rolót.

A súlyosabb jogsértések esetére megállapított 20 millió euró, jelen árfolyamon kb. 6,4 milliárd forintnak felel meg. A jogszabály szerint az árbevétel arány és a fix összegű bírság összege közül a súlyosabb kerülhet kivetésre, ezért érdemes megvizsgálni hány hazai vállalkozás rendelkezik ekkora mértékű adózás előtti eredménnyel:

• A hazai cégek több mint 99 százaléka nem rendelkezik ekkora összegű adózás előtti eredménnyel,
• 99,96 százalékuk pedig a kisebb jogsértések esetére megállapított 10 millió eurónak megfelelő nyereséggel sem.
• A felszámolási, illetve végelszámolási eljárás alatt nem álló cégek közül mindösszesen 101 darab van, amely éves nyereségéből tudná fedezni a 20 millió eurós büntetést.

Vigaszra csak az szolgáltathat okot, hogy az ellenőrzéseket végző hatóságnak nem a cégek ellehetetlenítése az érdeke, hanem a GDPR rendeletnek történő megfelelés teljes körű biztosítása. Ebből adódóan a szabálytalanságok súlyosságának megállapítása után a bírság mértékének meghatározása az eljáró hatóság mérlegelésének függvénye.

A rendelet hatályba lépésével a tagállamok törvényhozásainak ugyanakkor lehetősége van a végrehajtás szabályozásával egy ügyfélbarátabb eljárás kidolgozására, amire a napokban Ausztria parlamentje is készül, erre utat Gulyás is, amikor osztrák mintáról beszélt.