Érdekes felmérést közölt az ír adatvédelmi biztos (Data Protection Commissioner) az ír KKV-k felkészültségéről az új adatvédelmi rendelet (GDPR) alkalmazására. Ha röviden akarnánk összegezni: a helyzet eléggé lesújtó. Egy évvel azelőtt, hogy a GDPR-t élesben alkalmazni kellene, az ír KKV-k kevesebb, mint egyharmada van tudatában annak, hogy 2018. májusától nekik is alkalmazniuk kell a Rendeletet (a KKV-k kétharmada hallott egyáltalán magáról a GDPR-ról). (A felmérést az Amárach Reserach készítette 500 ír KKV megkérdezésével, 2017. április 24. és 2017. május 10. között.)

Ha egy kicsit mélyebbre ásunk, akkor azt láthatjuk, hogy az ír kisvállalkozások kevesebb, mint 20%-a tudott megnevezni legalább egy konkrét változást, amelyre fel kell készülnie. Ennek megfelelően a kisvállalkozások négyötöde nem is azonosított semmilyen tennivalót a GDPR-nak való megfelelés érdekében. Természetesen a KKV-k között a méret növekedésével növekszik a tudatosság is, az 50-249 főt foglalkoztató középvállalkozások esetében jobb eredmények születtek, mint a 49 főnél kevesebb munkavállalót foglalkoztató társaiknál.

Bár hasonló magyarországi felmérésről nincs tudomásunk, feltételezhető, hogy a KKV-k GDPR-tudatossága tekintetében Magyarországon semmivel sem jobb a helyzet.

Miért kell a KKV-knak is foglalkozniuk a GDPR-ral?

Elsősorban azért, mert a GDPR - ahogy a jelenlegi hatályos adatvédelmi szabályozás is - főszabály szerint minden adatkezelőre és adatfeldolgozóra vonatkozik, így a kisvállalkozások által folytatott adatkezelési tevékenységekre is kiterjed.

Bár a Rendelet rögzíti a preambulumában (13. pont), hogy „e rendelet alkalmazása során az uniós intézményeket és szerveket, és a tagállamokat és azok felügyeleti hatóságait ösztönözni kell, hogy vegyék figyelembe a mikro-, kis- és középvállalkozások sajátos szükségleteit” és maga a Rendelet is - bizonyos feltételek fennállása esetén - megállapít könnyítést a KKV-k számára (pl. nyilvántartás vezetési kötelezettség tekintetében), ugyanakkor a kötelezettségek jelentős része valamilyen formában a kisebb társaságokat is érinti.

Mit tekinthetünk KKV-nak?

A Bizottság 2003/361/EK ajánlása (2003. május 6.) határozza meg a mikro-, kis- és középvállalkozások fogalmát. Ezzel az ajánlással összhangban került meghatározásra a fogalom a magyar jogban is (2004. évi XXXIV. törvény a kis- és középvállalkozásokról, fejlődésük támogatásáról, "KKV törvény"). Eszerint:  

KKV-nak minősül az a vállalkozás, amelynek

a) összes foglalkoztatotti létszáma 250 főnél kevesebb, és

b) éves nettó árbevétele legfeljebb 50 millió eurónak megfelelő forintösszeg, vagy mérlegfőösszege legfeljebb 43 millió eurónak megfelelő forintösszeg.

A KKV kategórián belül kisvállalkozásnak minősül az a vállalkozás, amelynek

a) összes foglalkoztatotti létszáma 50 főnél kevesebb, és

b) éves nettó árbevétele vagy mérlegfőösszege legfeljebb 10 millió eurónak megfelelő forintösszeg.

A KKV kategórián belül mikrovállalkozásnak minősül az a vállalkozás, amelynek

a) összes foglalkoztatotti létszáma 10 főnél kevesebb, és

b) éves nettó árbevétele vagy mérlegfőösszege legfeljebb 2 millió eurónak megfelelő forintösszeg.

A fentiekből látszik, hogy a KKV kategórián belül - különösen magyar viszonylatban - olyan társaságok is szerepelnek, amelyek méretük és piaci súlyuk alapján jelentősnek mondhatók.

Mit kell a KKV-knak tenniük a GDPR-nak való megfelelés érdekében?

Az adatvédelmi szabályoknak való megfelelőség érdekében a KKV-knak is - hasonlóan más kategóriába eső vállalkozásokhoz - meg kell tenniük a szükséges szervezeti-, adminisztratív- és technikai intézkedéseket, ha személyes adatokat kezelnek.

Az elszámoltathatóság elvéből kiindulva pedig a KKV-knak azon túl, hogy meg kell felelniük a vonatkozó adatvédelmi szabályoknak, arra is képesnek kell lenniük, hogy a megfelelést - szükség esetén - igazolni tudják (pl. megfelelően dokumentálniuk kell az adatvédelmi intézkedéseket és azt is, ha élve valamely rájuk vonatkozó könnyítéssel, az általánosnál enyhébb kötelezettségeknek tesznek eleget).

Első lépésben célszerű áttekinteni és felmérni, hogy milyen adatkezelések történnek az adott társaságnál, milyen célból és milyen személyes adatok tekintetében. Fontos, hogy az egész szervezetben tudatosodjon, ha személyes adatok kezelésére kerül sor.

Az adatkezelések feltérképezését követően kerülhet sor annak a vizsgálatára, hogy pontosan milyen kötelezettségeknek kell megfelelni a különböző célból és jogalappal folytatott adatkezelések esetében. Itt vizsgálható az is, hogy egyes kötelezettségek tekintetében élveznek-e a KKV-k valamilyen könnyítést. 

Ha ez is megtörtént, akkor kerülhet sor a meglévő adatkezelési szabályzatok, tájékoztatók, adatfeldolgozókkal kötött szerződések és egyéb dokumentumok felülvizsgálatára annak érdekében, hogy ezek megfeleljenek a követelményeknek.

Milyen kötelezettségek vonatkoznak a KKV-kra (is)? 

A Rendelet lényegében minden előírása vonatkozik a kis- és középvállalkozásokra is. Talán jobban megfogható úgy a kérdés, hogy hol nem alkalmazandóak a Rendelet előírásai vagy hol találhatunk a KKV-kat érintő könnyítéseket.

A Rendelet konkrét könnyítést tartalmaz a KKV-ra nézve a nyilvántartási kötelezettséggel kapcsolatban. A Rendelet 30. cikke szerint a nyilvántartás vezetésére irányuló kötelezettségek nem vonatkoznak a 250 főnél kevesebb személyt foglalkoztató vállalkozásra vagy szervezetre, kivéve, ha az általa végzett adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, ha az adatkezelés nem alkalmi jellegű, vagy ha az adatkezelés kiterjed a személyes adatok különleges kategóriáinak (9. cikk (1) bekezdés) vagy a büntetőjogi felelősség megállapítására vonatkozó határozatokra és bűncselekményekre vonatkozó személyes adatoknak (10. cikk) a kezelésére.

Látható, hogy a könnyítéssel kapcsolatban is óvatosan kell eljárni, mert több kivétel is meghatározásra került, amelyek bekövetkezése esetén a főszabály érvényesül, azaz eleget kell tenni a nyilvántartási kötelezettségeknek. A különleges, illetve bűnügyi személyes adatok kezelésével kapcsolatos kivétel viszonylag egyértelmű, ugyanakkor egyelőre kérdéses, hogy a gyakorlatban mikor nem lehet majd kockázatot megállapítani az adatkezeléssel kapcsolatban, illetve mikor tekinthető az adatkezelés alkalmi jellegűnek. (A kockázatok kapcsán a WP29 iránymutatása az adatvédelmi hatásvizsgálatról tartalmaz néhány figyelembe vehető szempontot, igaz inkább atekintetben, hogy mikor beszélhetünk "valószínűsíthetően magas kockázatról".)

A Rendelet a magatartási kódexek (40. cikk) és a tanúsítás (42. cikk) kapcsán tesz említést még a mikro-, kis- és középvállalkozásokról, miszerint ezen cégek sajátos igényeit figyelembe kell venni  a magatartási kódexek kidolgozása, illetve az adatvédelmi tanúsítási mechanizmusok, valamint adatvédelmi bélyegzők, illetve jelölések létrehozása során.

A KKV-k tekintetében tehát a tagállami szabályok, illetve a magatartási kódexek és a tanúsítási mechanizmusok megjelenése még hozhat több, az általánostól eltérő szabályt.

Kell-e a KKV-knak bírságot fizetniük a GDPR alapján? 

E tekintetben a Rendelet semmilyen az általánostól eltérő szabályt nem tartalmaz, azaz a bírságolással kapcsolatos szabályok alkalmazandóak a mikro-, kis- és középvállalkozásokra, beleértve a kiszabható bírság összegére vonatkozó szabályokat is.     

Magyarországon a helyzet azért különösen érdekes, mert a KKV törvény egyik rendelkezése (12/A. §) szerint a hatósági ellenőrzést végző szervek kis- és középvállalkozásokkal szemben az első esetben előforduló jogsértés esetén (az adó- és vámhatósági eljárást és a felnőttképzési tevékenységet folytató intézmények ellenőrzésére irányuló eljárást kivéve) bírság kiszabása helyett figyelmeztetést alkalmaznak. Egy 2016-os kúriai ítélet megerősítette, hogy ez a rendelkezés az adatvédelmi bírságra is vonatkozik. (A 12/A. § (2) bekezdése meghatároz néhány olyan súlyos jogsértést, amikor nincs lehetőség a bírságtól való eltekintésre. Ilyen eset például, ha a 18. életévüket be nem töltött személyek védelmét célzó jogszabályi rendelkezés megsértésére került sor,)    

Kérdés tehát, hogy a KKV törvény 12/A. §-a alkalmazandó lesz-e a Rendelet szerint folytatott eljárásokban, azaz első alkalommal 2018. május 25-ét követően sem lesznek-e bírságolhatók a KKV-k az adatvédelmi hatóság által vagy ez a Rendelet alapján megváltozik?

A Rendelet preambuluma szerint, „az e rendelet által előírt szabályok betartatásának erősítése érdekében e rendelet bármely megsértése esetén a felügyeleti hatóság által e rendelet alapján előírt megfelelő intézkedéseken felül vagy azok helyett szankciókat – ideértve a közigazgatási bírságokat is – kell kiszabni. E rendelet kisebb megsértése esetén, illetve ha a valószínűsíthetően kiszabásra kerülő bírság egy természetes személy számára aránytalan terhet jelentene, a bírság helyett megrovás is alkalmazható.” (Preambulum 148-as pont)

A bírság mellőzése kapcsán tehát nincs utalás a KKV-kra, csak a természetes személyekre, illetve általánosságban a kisebb súlyú jogsértésekre, függetlenül attól, hogy azt ki követte el.

A Rendelet szerint a „tagállamokra kell bízni annak eldöntését, hogy a közhatalmi szervekkel szemben alkalmazható legyen-e közigazgatási bírság, és ha igen, milyen mértékben.” (Preambulum, 150. pont; 83. cikk (7) bekezdés) Az adott tagállami székhelyű közhatalmi vagy egyéb, közfeladatot ellátó szervek tekintetében tehát minden további nélkül elfogadhatnak a tagállamok kivételeket, azonban a Rendelet nem biztosít felhatalmazást arra, hogy a tagállamok a bírságolás tekintetében a KKV-ra nézve kivételeket fogadjanak el.

A fentieken túlmenően a bírságolás kapcsán mérlegelendő körülmények (83. Cikk (2) bekezdés) között sem szerepel a KKV státusz. (A Preambulum 150. pontja rögzíti: „Az e rendelet megsértése esetén alkalmazott közigazgatási szankciók szigorítása és harmonizálása érdekében minden felügyeleti hatóság hatáskörrel rendelkezik a közigazgatási bírság kiszabására. E rendeletben kell meghatározni a jogsértéseket, valamint a kapcsolódó közigazgatási bírságok összegének felső határát és azok megállapításának szempontjait; a közigazgatási bírságot az egyes esetekben az illetékes felügyeleti hatóság állapítja meg a konkrét helyzet valamennyi releváns körülményét figyelembe véve, és kellő figyelmet fordítva különösen a jogsértés természetére, súlyosságára és időtartamára, továbbá a jogsértés következményeire, valamint az e rendelet szerinti kötelezettségek teljesítésének biztosítása és a jogsértés következményeinek megelőzése vagy enyhítése érdekében tett intézkedésekre.”)

A NAIH - jelenleg ismert - értelmezése szerint a Rendelet alapján folytatott eljárásokban nem lesz lehetőség a KKV törvény 12/A. § alkalmazására, azaz első alkalommal előforduló jogsértések esetén is lehetőség lesz a KKV-k bírságolására. 

Teljesen egyértelmű helyzetet nyilván az teremtene, ha a jogalkotó - a KKV törvény 12/A. §-ának megfelelő módosításával - kifejezetten rendezné a kérdést.