| Telefon: +36 22 501 632

Seacon Europe Kft. | 8000 Székesfehérvár, Móricz Zs. u. 14.

Óriási GDPR büntetés ‒ de én megúszhatom?

Részletek

Májusban múlt két éve, hogy az Európai Unió Általános Adatvédelmi Rendelete (vagy ahogy mára már közismert, a GDPR) hatályba lépett[1]. Volt felkészülési idő, volt kampány is, és a HVG és az Index is számtalanszor foglalkozott a témával, de nem ‒ a magyar vállalkozások, szervezetek nem hagyják magukat. Próbálják megúszni, elkerülni a munkát, vagy…?

A GDPR megalkotásának, az új szabályozásnak a célja az volt, hogy több lehetőséget adjon az embereknek a saját adataik fölötti rendelkezésre, és a személyes adatok számára erősebb védelmet biztosítson, és nem csak a kiberbűnözőkkel, de a személyes adatainkat kezelő cégekkel, intézményekkel szemben is.
A személyes adatok védelme nem önmagában létezik, minden egyéb informatikai és információbiztonsági területtől függetlenül, ezért egy szervezet GDPR megfelelőségi állapota a szervezet általános IT és információbiztonsági helyzetének állapotát is mutatja.

2018 májusa óta én magam személyesen is figyelem, hogy mi történik a különböző területeken, ahol személyes adatokat kezelnek, és várom, hogyan változik az adatkezeléshez, a személyes adatok védelméhez a vállalkozások, szervezetek hozzáállása. Ugyan nekem sincsenek jó tapasztalataim, de nálam sokkal a felkészültebb, professzionális kutatók (MIT [USA], UCL [GB], Aarhus University [DK]) az Egyesült Királyság 10 ezer honlapjának vizsgálata után szintén úgy látják, hogy a végeredmény meglehetősen lehangoló. Ezeken a honlapokon a különböző trükközések, és a hallgatólagos hozzájárulás is mindenütt jelen vannak, ezzel együtt csak 11,8%-uk felel meg az európai jog alapján meghatározott minimális követelményeknek. Valószínűleg Magyarországon ennél még sokkal súlyosabb a helyzet. Mindenki, aki sokat jár-kel az interneten, tapasztalhatja, hogy a honlapok döntő többsége máig elkerüli a szabályoknak megfelelő eljárásokat, gyakran piszkos kis trükköket alkalmaz a személyes adatok kezelésében.

Európában 2020. február végéig a legnagyobb bírságot a British Airways szenvedte el (több mint 66 milliárd forintnak megfelelő összeggel), és a Marriott International ugyancsak több tízmilliárdnyi összeget fizetett a GDPR megsértése miatt. A magyarországi legnagyobb büntetést pedig a  DIGI Távközlési Kft.-re szabta ki a NAIH (a Nemzeti Adatvédelmi és Információszabadság Hatóság). A NAIH határozata (.pdf dokumentum) a DIGI-re kirótt bírság indoklásában a „célhoz kötöttség”, a „korlátozott tárolhatóság” GDPR fogalmak, valamint az általánosabb „az adatkezelés biztonsága körében a kockázatokkal arányos megfelelő technikai és szervezési intézkedések végrehajtása”, a „sérülékenység elhárítása” és a „titkosítás” fogalma is szerepelnek. Az indoklás ilyen általános jellegű megfogalmazása mutat rá arra, hogy („a baj nem jár egyedül” elvvel egyezően) a GDPR megfelelőség, és a kiber-biztonság teljesítése egymást támogató feladatok. Az egyik területen végrehajtott változás hatása megjelenik a másik területen is.

Miközben Magyarországon a NAIH egyre több bírságot kényszerül kiszabni, még mindig kevés a GDPR követelményeinek teljesítésére (a megfelelőségre) felkészült szervezet. Azonban az általánosan elterjedt vélekedéssel szemben a GDPR megfelelőséget nem csak (és nem elsősorban) az IT fejlesztésekkel, és nem is az információbiztonsági fejlesztésekkel, hanem a szervezetet átfogó általános adat- és információvédelmi fejlesztéssel együtt, azzal párhuzamban lehet elérni.

A Seacon Europe továbbra is segítséget nyújt a szervezeteknek, vállalkozásoknak, hogy folyamatosan megfelelhessenek a GDPR követelményeinek, ezzel is növelve az ügyfeleik bizalmát a szervezetükkel, vállalkozásukkal szemben.
A cikkünk címében feltett kérdésre ‒ „de én megúszhatom?” a válaszunk: nem érdemes kockáztatni.
A Seacon Europe az elmúlt években komoly tapasztalatot szerzett az informatikai- és információbiztonság szabályozása területén, és GDPR megfelelőségi szabályozás bevezetéseket is végeztünk.
Javasoljuk: ne úszni tanuljanak, forduljanak bizalommal hozzánk, minden bizonnyal tudunk segíteni!

 

1)   2016 májusában lépett életbe az Európai Unió új adatvédelmi rendelete, a GDPR, azaz a General Data Protection Regulation.
A rendeletet két év türelmi idő után 2018. május 25-től alkalmazzák. Az eddig széttagolt adatvédelmi szabályozást hivatott közös nevezőre hozni, ezért minden tagországban, így   Magyarországon is közvetlenül érvényes.
Az új szabályozás célja, hogy több kontrollt adjon az embereknek a saját adataik fölött, és erősebb védelmet biztosítson a személyes adatoknak nemcsak a kiberbűnözőkkel, de az adatokat kezelő cégekkel, intézményekkel szemben is.
Az első hazai GDPR-bírságot 2019 februárjában szabták ki. Egymillió forintra büntettek egy szervezetet.