Május 25-én lépett életbe az Európai Unió általános adatvédelmi rendelete, a GDPR (Genderal Data Protection Regulation), ami egységessé tette az EU adatvédelmi szabályozását. Bár sok szempontból az új rend nem szigorúbb, mint ami Magyarországon korábban is hatályban volt, az előírások megszegése esetén kiszabható bírság akár elképesztő méreteket is ölthet: elérheti a 20 millió eurót (közel 6,5 milliárd forintot) vagy a cégcsoport teljes, globális forgalmának 4 százalékát - attól függően, melyik a több.

Bár elvileg a korábbi magyarországi szabályozás érdemben nem volt lazább az egységes uniósnál, mégis elért mindenkit a GDPR-őrület: az utolsó pillanatokban a legnagyobb multiktól a legkisebb webáruházakig mindenki átalakította adatkezelési tájékoztatóját és erről levélben értesítette partnereit. Remélhetőleg nem csak a tájékoztatók, hanem a gyakorlatok is GDPR-kompatibilissé váltak - ilyen irányú vizsgálatok eredményeiről azonban egyelőre nincsenek friss hazai hírek. Mindenesetre kiszabott bírságok nélkül is komoly költségtételt jelentett a hazai vállalkozásoknak az új adatvédelmi szabályozásra való felkészülés, amelynek nyertesei első körben a tanácsadó cégek, az ügyvédi irodák és az informatikai fejlesztőcégek voltak.

Fél éve él az új keretrendszer - hol vannak a gigabírságok?

A GDPR tanácsadással és üzleti döntéseket támogató szoftverek fejlesztésével foglalkozó Crosssec Solutions blogján megjelent posztban azt írják: azért nem olvashatunk GDPR bírságokról nap mint nap,  mert még túl korai, hogy az ügyek kivizsgálása és bírósági tárgyalása megtörténjen olyan módon, hogy ítélet is születhessen. Jelentősen megnövekedett ugyanakkor a nemzeti hatóságokhoz beérkező panaszok száma, Magyarországon is több mint 600 bejelentés érkezett, melyeket egyenként ki kell vizsgálni, és meg kell állapítani, hogy elég megalapozottak-e az eljárás megindításához.

Hasonló a helyzet az EU többi tagországában is. A brit hatósághoz hetente több mint 500 bejelentés érkezik, május 25. és július 3. között az előző évi 2417 panasz helyett már 6281 ügyben fordultak az ICO-hoz - írják. Az illetékes francia hatóság is a panaszok számának 37 százalékos növekedéséről számolt be. A legérdekesebb Írország helyzete, hiszen az olyan technológiai óriások, mint például a Google és a Facebook ,írországi leányvállalaton keresztül működnek az EU-s piacokon. Nem csoda tehát, hogy ebben az esetben is drasztikus növekedést tapasztal a hatóság, az előző évi 230 bejelentéshez képest 1713 történt május 25. óta.

Az elsők: egy osztrák vállalkozás és egy portugál kórház

A Crosssec szakértői két olyan esetről tudnak, ahol konkrét bírságösszeg meghatározására is sor került. Az osztrák adatvédelmi hatóság (DSB) első, ítélethozással végződő GDPR-vizsgálata egy, a kamerarendszer nem megfelelő alkalmazásával kapcsolatos ügyben folyt még szeptember közepén. A megbírságolt vállalkozás olyan zártláncú kamerarendszert használt az ingatlan előtt, amely a járda – így közterület – nagy részét is rögzítette. A DSB ezt a GDPR megszegésének ítélte, hiszen a közterületek ilyen célú, nagy mértékű megfigyelése nem megengedett. A vizsgálat során kiderült, hogy a kamerarendszer használatáról szóló megfelelő tájékoztatás sem történt meg. A kiszabott bírság összege ebben az esetben 4800 euró, mintegy másfél millió forintnak megfelelő összeg volt.

A második, már bírsággal lezárt esetben egy portugál kórház, a Centro Hospitalar Barreiro Montijo esetében állapított meg komoly bírságot a helyi adatvédelmi hatóság (CNPD). A több jogsértést is feltáró vizsgálat során kiderült, hogy a kórház nem megfelelően tárolta a betegek adatait, valamint a betegadatokhoz való hozzáférés szabályozása sem volt megfelelő.

A kórházi rendszerben 985 olyan felhasználót találtak a vizsgálat során, akik orvosi hozzáféréssel rendelkeztek, holott az intézményben összesen csak 296 orvos dolgozik. Külön probléma, hogy a kórházi személyzet korlátozás nélkül hozzáfért az összes beteg összes adatához, így előfordulhatott hogy például a dietetikusok hozzáfértek a pszichiátriai adatokhoz, vagy a nem orvosként dolgozó kórházi személyek ráláttak a vizsgálatok adataira is. A betegadatbázis nem megfelelő kezelése mellett az előbb bemutatott adatkezelési folyamat egyáltalán nem tudja garantálni az adatok integritását, bizalmasságát és elérhetőségét - állapította meg a vizsgálat.

A 400 ezer eurós bírság (közel 130 millió forint!) a portugál adatvédelmi hatóság által valaha kiszabott legnagyobb büntetés. A kórház elismerte a problémákat, azonban megkérdőjelezi, hogy a CNPD eljárhat-e, és szabhat-e ki bírságot velük szemben, így várhatóan bírósági felülvizsgálatot kér a bírság kifizetése előtt - írja a Crosssec.

Magyarországon egyelőre nyugi van - vihar előtti csend?

Dr. Szilágyi András, a BKIK Mediációs és Jogi Koordinációs Osztályának elnöke a kamara által szervezett workshopon nemrég arról beszélt: a magyar adatvédelmi hatóság (Nemzeti Adatvédelmi és Információszabadság Hatóság) az elmúlt időszakban még csak puhatolózott a szabályszegő vállalkozásoknál és vállalatoknál, aminek egyik oka, hogy példamutató európai precedensre várnak – ami a büntetés mértékét illeti -, másrészt pedig az, hogy az első ízben elkövetett adatvédelmi szabályszegéseket Magyarországon a fokozatosság elve alapján csupán figyelmeztetéssel honorálják.

Miközben az eddigi európai bírságok egy kisebb vállalkozáshoz és egy kórházhoz köthetőek, Magyarországon inkább a nagy multicégek aggódhatnak: a kormány jelezte, hogy a GDPR szabályait elsősorban a tagállami jogrendszerek közötti különbséget kihasználó multinacionális gazdasági társaságok ellen fellépve szükséges alkalmazni. A többi gazdasági szereplő, így a kis- és középvállalkozások tekintetében a kormány megengedőbb álláspontot fogalmazott meg a törvényjavaslat indoklásában - legalábbis a Deloitte erre jutott egy júniusi törvénymódosítási javaslat alapján.

Mindenesetre gondolatkísérletnek érdekes, hogy mi történne, ha a GDPR-megfelelőség szempontjából Portugáliához hasonlóan Magyarországon is alapos vizsgálatnak vetnének alá magyarországi kórházakat, és a portugál esethez hasonló összegű bírságot szabnának ki a végén.