GDPR maximum értelmezés

Ez itt egy szövegértelmezési kérdésről szóló cikk. Politikának semmi keresnivalója.

Volt egy kis vita arról, hogy a GDPR mit ad meg, a büntetés minimumát vagy maximumát.
Úgy gondolom, ideje tisztába tenni ezt a kérdést.

A GDPR 83. fejezete szól A közigazgatási bírságok kiszabására vonatkozó általános feltételekről. Itt vannak általános feltételek, illetve aszerint, hogy a GDPR melyik cikkelyeit sértették meg, két mértére bomlik a büntetés:
(4) "Az alábbi rendelkezések megsértése – a (2) bekezdéssel összhangban – legfeljebb 10 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 2 %-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni"
és
(5) "Az alábbi rendelkezések megsértését – a (2) bekezdéssel összhangban – legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel kell sújtani, azzal, hogy a kettő közül a magasabb összeget kell kiszabni"

A többi bekezdésben a részletek és a feltételek vannak, ebben a két bekezdésben van a mérték, és mivel a kettő az elveket tekintve nagyjából egyforma, ezért az 5-ös paragrafusban levőt elemezzük ki (mert a konkrét kérdéskörben ez volt a hivatalos indoklásban).

Csináltam egy egyszerű táblázatot:
- első oszlop második sorába beírtam, hogy 100, harmadik sorába 200, negyedik sorába 300 és lehúztam a 300. sorig. (első sorba írtam fejlécet)
- második oszlopba beírtam, hogy az értéke az első oszlop 4%-a
- harmadik oszlopba fixen 400-at írtam
- negyedik oszlopba: =max(b2:c2)
és minden oszlopot lehúztam a 300. sorig. Ezt a táblázatot kaptam:

Tehát adódik egy adatvédelmi incidens, amit úgy értékel a hatóság, hogy a legsúlyosabb, ezért nem bevétel-orientált adatkezelő (tipikusan: önkormányzat) esetén 400 a büntetés, vállalkozás esetén a forgalom 4%-a. (Ez a 4% szép szám, könnyű rá hivatkozni.) Az első oszlop az elképzelt vállalkozás forgalma, a második oszlop az ehhez a forgalomhoz tartozó elképzelt büntetési tétel, a 4%, a harmadik oszlop ugyanezen incidensért a büntetés a nonprofitnak, a negyedik oszlop pedig a "vállalkozásra ... azzal, hogy a kettő közül a magasabb összeget kell kiszabni".

Ebből csináltam grafikont:

A piros csík a nem bevétel-orientált adatkezelő, neki konstans a büntetése, mert bevételtől függhetne, de neki nincs. A kék csík a vállalkozás bevételének adott százaléka. A sárga pedig a kettő eredője a magasabb összeg kitétel szerint.

A feltételezés az, hogy a hatóság az incidens súlyossága, kockázata és egyéb körülményei alapján meghatározza a százalékot és a büntetést, majd előveszi, hogy ki is az elkövető, és behelyettesíti, hogy adott elkövető non/for-profit, és ennyi a bevétele.

Mit látunk ezen?

A maximum függvény, ami a topicban elhangzott, egy olyan érték (legyen m), amire nem létezik a függvény értelmezési tartományán belül olyan érték (legyen x), amire az y=f(x) értékkészlet beli érték nagyobb. Vagyis bármely x eleme értelmezési tartományra y=f(x)<=m.

A függvény minimuma (legyen n) pedig az, amire bármely x-re y=f(x)>=n, másképp fogalmazva nem létezik x, amire f(x)<n.

Lehet ez maximum? nem lehet, mert bármely m-re tudok mondani olyan x-et, bármely maximum-jelöltre tudok mondani olyan árbevételt, amire a max(x*4%,400) nagyobb. Konkrétan ha a maximum-jelölt kisebb, mint a 400-as büntetés, akkor a (0..büntetes*0,04] balról nyílt, jobbról zárt intervallum mindegyik eleme jó. Ha a maximum-jelölt nagyobb, mint a 400-as büntetés, akkor a maximum-jelölt huszonötszöröse+100 nagyobb büntetési tételt ad. Persze matematikához értőknek ezt nem kell még ennyire se túlmagyarázni, az elsőfokú polinom függvény divergens oszt jónapot.

Tehát nem maximum függvény.

Lehet-e minimum? Igen, mert attól az x koordinátától (éves árbevételtől), ahol a nonprofit fix büntetése metszi a bevétel 4%-a egyenest, felfelé minden bevételre nagyobb büntetés jön ki, mint a fix büntetés. A metszésponttól kisebb x-ekre meg pontosan annyi. Így a fix büntetésnél kisebb büntetés nem lehetséges.

Következmény: a GDPR azon félmondata, miszerint "azzal, hogy a kettő közül a magasabb összeget kell kiszabni", a büntetés minimumát határozza meg vállalkozások számára bevételtől függően azzal a céllal, hogy kis forgalmú cégek se ússzák meg fillérekből az incidenst.

Az egy másik kérdéskör, hogy az incidens súlyosságának, az érintettek életére való hatásának az értékelése milyen eredményt hoz. Ettől az értékeléstől függ az, hogy adott incidenst nem bevétel-orientált adatkezelőnél mennyire büntetik, illetve az egyenes, amely a példában 4%-os meredekségű, konkrét esetben mennyi. De ott sem maximumot határoz meg, mert ha ugyanazt az incidenst elköveti egy nagyobb bevételű forprofit is, akkor az ő büntetése nagyobb lesz.