A GDPR és a NIS alapján is szabható ki büntetés ugyanazon biztonsági esemény kapcsán?

Jogi szakértők arra figyelmeztetnek, hogy egyes szervezetekkel szemben az Európai Unió általános adatvédelmi rendelete (GDPR) mellett a NIS irányelv is komoly követelményeket támaszt. Az ún. alapvető szolgáltatásokat nyújtó szereplők (OES), valamint a digitális szolgáltatók (DSP) számára mindez praktikusan azt jelentheti, hogy bizonyos jogsértések esetén két pénzbírságra is számíthatnak, amelyek egyenként akár 17 millió angol fontot, vagy a cég éves árbevételének 4%-át is kitehetik. Kuan Hon a Fieldfisher adatvédelmi, biztonsági és információs csoport vezetőjének elmondása szerint az Egyesült Királyság kormánya már korábban megállapodott abban, hogy a szervezeteket nem szabad ugyanazon vétség miatt kétszeresen büntetni, ám azt is hozzátette, hogy a különböző bírságok egyazon jogsértő esemény különböző aspektusaira és hatásaira nézve kiszabhatók. Arra is felhívja a figyelmet, hogy a páneurópai szervezeteknek minden egyes tagállam saját NIS implementációjának meg kell felelniük, a nem uniós DSP szervezeteknek pedig azon országhoz kell igazodniuk, amelyikben az EU-s székhelyük, vagy fő kirendeltségük megtalálható.