7p
Az akár milliárdos nagyságrendű bírságtól való rettegés a magyar cégek között is igazi GDPR-rohamot váltott ki az év elején, mindenki igyekezett legalább az adatvédelmi tájékoztatóját az egységes uniós rendelkezésekhez igazítani. A vihar néhány hét alatt elült, mivel eddig nem igazán hallhattunk arról, hogy valakit tényleg megbírságoltak volna - de ami késik, nem múlik: Európába megérkeztek az első GDPR-fecskék. Egy osztrák vállalkozás és egy portugál kórház mélyen a zsebébe nyúlhat, Magyarországon már 600 bejelentést kapott a hatóság.

Május 25-én lépett életbe az Európai Unió általános adatvédelmi rendelete, a GDPR (Genderal Data Protection Regulation), ami egységessé tette az EU adatvédelmi szabályozását. Bár sok szempontból az új rend nem szigorúbb, mint ami Magyarországon korábban is hatályban volt, az előírások megszegése esetén kiszabható bírság akár elképesztő méreteket is ölthet: elérheti a 20 millió eurót (közel 6,5 milliárd forintot) vagy a cégcsoport teljes, globális forgalmának 4 százalékát - attól függően, melyik a több.

Bár elvileg a korábbi magyarországi szabályozás érdemben nem volt lazább az egységes uniósnál, mégis elért mindenkit a GDPR-őrület: az utolsó pillanatokban a legnagyobb multiktól a legkisebb webáruházakig mindenki átalakította adatkezelési tájékoztatóját és erről levélben értesítette partnereit. Remélhetőleg nem csak a tájékoztatók, hanem a gyakorlatok is GDPR-kompatibilissé váltak - ilyen irányú vizsgálatok eredményeiről azonban egyelőre nincsenek friss hazai hírek. Mindenesetre kiszabott bírságok nélkül is komoly költségtételt jelentett a hazai vállalkozásoknak az új adatvédelmi szabályozásra való felkészülés, amelynek nyertesei első körben a tanácsadó cégek, az ügyvédi irodák és az informatikai fejlesztőcégek voltak.

Fél éve él az új keretrendszer - hol vannak a gigabírságok?

A GDPR tanácsadással és üzleti döntéseket támogató szoftverek fejlesztésével foglalkozó Crosssec Solutions blogján megjelent posztban azt írják: azért nem olvashatunk GDPR bírságokról nap mint nap,  mert még túl korai, hogy az ügyek kivizsgálása és bírósági tárgyalása megtörténjen olyan módon, hogy ítélet is születhessen. Jelentősen megnövekedett ugyanakkor a nemzeti hatóságokhoz beérkező panaszok száma, Magyarországon is több mint 600 bejelentés érkezett, melyeket egyenként ki kell vizsgálni, és meg kell állapítani, hogy elég megalapozottak-e az eljárás megindításához.

Hasonló a helyzet az EU többi tagországában is. A brit hatósághoz hetente több mint 500 bejelentés érkezik, május 25. és július 3. között az előző évi 2417 panasz helyett már 6281 ügyben fordultak az ICO-hoz - írják. Az illetékes francia hatóság is a panaszok számának 37 százalékos növekedéséről számolt be. A legérdekesebb Írország helyzete, hiszen az olyan technológiai óriások, mint például a Google és a Facebook ,írországi leányvállalaton keresztül működnek az EU-s piacokon. Nem csoda tehát, hogy ebben az esetben is drasztikus növekedést tapasztal a hatóság, az előző évi 230 bejelentéshez képest 1713 történt május 25. óta.

Az elsők: egy osztrák vállalkozás és egy portugál kórház

A Crosssec szakértői két olyan esetről tudnak, ahol konkrét bírságösszeg meghatározására is sor került. Az osztrák adatvédelmi hatóság (DSB) első, ítélethozással végződő GDPR-vizsgálata egy, a kamerarendszer nem megfelelő alkalmazásával kapcsolatos ügyben folyt még szeptember közepén. A megbírságolt vállalkozás olyan zártláncú kamerarendszert használt az ingatlan előtt, amely a járda – így közterület – nagy részét is rögzítette. A DSB ezt a GDPR megszegésének ítélte, hiszen a közterületek ilyen célú, nagy mértékű megfigyelése nem megengedett. A vizsgálat során kiderült, hogy a kamerarendszer használatáról szóló megfelelő tájékoztatás sem történt meg. A kiszabott bírság összege ebben az esetben 4800 euró, mintegy másfél millió forintnak megfelelő összeg volt.

A második, már bírsággal lezárt esetben egy portugál kórház, a Centro Hospitalar Barreiro Montijo esetében állapított meg komoly bírságot a helyi adatvédelmi hatóság (CNPD). A több jogsértést is feltáró vizsgálat során kiderült, hogy a kórház nem megfelelően tárolta a betegek adatait, valamint a betegadatokhoz való hozzáférés szabályozása sem volt megfelelő.

A kórházi rendszerben 985 olyan felhasználót találtak a vizsgálat során, akik orvosi hozzáféréssel rendelkeztek, holott az intézményben összesen csak 296 orvos dolgozik. Külön probléma, hogy a kórházi személyzet korlátozás nélkül hozzáfért az összes beteg összes adatához, így előfordulhatott hogy például a dietetikusok hozzáfértek a pszichiátriai adatokhoz, vagy a nem orvosként dolgozó kórházi személyek ráláttak a vizsgálatok adataira is. A betegadatbázis nem megfelelő kezelése mellett az előbb bemutatott adatkezelési folyamat egyáltalán nem tudja garantálni az adatok integritását, bizalmasságát és elérhetőségét - állapította meg a vizsgálat.

A 400 ezer eurós bírság (közel 130 millió forint!) a portugál adatvédelmi hatóság által valaha kiszabott legnagyobb büntetés. A kórház elismerte a problémákat, azonban megkérdőjelezi, hogy a CNPD eljárhat-e, és szabhat-e ki bírságot velük szemben, így várhatóan bírósági felülvizsgálatot kér a bírság kifizetése előtt - írja a Crosssec.

Magyarországon egyelőre nyugi van - vihar előtti csend?

Dr. Szilágyi András, a BKIK Mediációs és Jogi Koordinációs Osztályának elnöke a kamara által szervezett workshopon nemrég arról beszélt: a magyar adatvédelmi hatóság (Nemzeti Adatvédelmi és Információszabadság Hatóság) az elmúlt időszakban még csak puhatolózott a szabályszegő vállalkozásoknál és vállalatoknál, aminek egyik oka, hogy példamutató európai precedensre várnak – ami a büntetés mértékét illeti -, másrészt pedig az, hogy az első ízben elkövetett adatvédelmi szabályszegéseket Magyarországon a fokozatosság elve alapján csupán figyelmeztetéssel honorálják.

Miközben az eddigi európai bírságok egy kisebb vállalkozáshoz és egy kórházhoz köthetőek, Magyarországon inkább a nagy multicégek aggódhatnak: a kormány jelezte, hogy a GDPR szabályait elsősorban a tagállami jogrendszerek közötti különbséget kihasználó multinacionális gazdasági társaságok ellen fellépve szükséges alkalmazni. A többi gazdasági szereplő, így a kis- és középvállalkozások tekintetében a kormány megengedőbb álláspontot fogalmazott meg a törvényjavaslat indoklásában - legalábbis a Deloitte erre jutott egy júniusi törvénymódosítási javaslat alapján.

Mindenesetre gondolatkísérletnek érdekes, hogy mi történne, ha a GDPR-megfelelőség szempontjából Portugáliához hasonlóan Magyarországon is alapos vizsgálatnak vetnének alá magyarországi kórházakat, és a portugál esethez hasonló összegű bírságot szabnának ki a végén.

Könnyű megszegni a szabályokat - elég egy gombnyomás

Az adatvédelmi szabályok megsértése a világ legkönnyebb dolga: elég bekapcsolni és felvételre állítani hozzá például az autóban elhelyezett fedélzeti kamerát. Ezek forgalmazása Magyarországon egyáltalán nem tiltott, rendeltetésszerű használata viszont gyakorlatilag biztosan törvénybe ütközik. Korábban (még a GDPR hatályba lépése előtt) alapos összeállítást közöltünk a témában, amelyet itt olvashat - a lényeg leegyszerűsítve, hogy jogszerűen akkor használhatnánk a fedélzeti kamerát, ha a közlekedés minden résztvevőjétől ehhez előzetes hozzájárulást szereznénk, gyenge minőségű felvételeket készítenénk a személyes adatok kitakarásával, és soha nem is mutatnánk meg senkinek, sőt: legkésőbb néhány nap után törölnénk őket.

A rovat támogatója:
A rovat támogatója az MVM

LEGYEN ÖN IS ELŐFIZETŐNK!

Előfizetőink máshol nem olvasott, higgadt hangvételű, tárgyilagos és
magas szakmai színvonalú tartalomhoz jutnak hozzá havonta már 1490 forintért.
Korlátlan hozzáférést adunk az Mfor.hu és a Privátbankár.hu tartalmaihoz is, a Klub csomag pedig a hirdetés nélküli olvasási lehetőséget is tartalmazza.
Mi nap mint nap bizonyítani fogunk! Legyen Ön is előfizetőnk!

Vállalat Példát mutattak a svédek: így is lehet teljesíteni Amerikában
Privátbankár.hu | 2025. július 18. 12:28
Az Electrolux Csoport nyereséggel zárta a második negyedévet.
Vállalat Megvannak Trump vámjainak első vezéráldozatai
Privátbankár.hu | 2025. július 18. 07:55
A Jaguar Land Rover több száz vezetői állás megszüntetését tervezi az Egyesült Királyságban.
Vállalat Az agyonadóztatott OTP Bank vezére bírálta az Orbán-kormányt
Privátbankár.hu | 2025. július 18. 06:58
Csányi Péter ugyanakkor idei bankvásárlásról is beszélt, valamint sürgette az euró öt-tíz éven belüli bevezetését.
Vállalat Stratégiai jelentőségű megállapodásokat kötött az Egyesült Arab Emírségek vezető vállalataival a 4iG
Privátbankár.hu | 2025. július 17. 20:09
A budapesti találkozó alkalmával a 4iG Csoport az Egyesült Arab Emírségek globális vezető technológiai vállalataival, így az e& technológiai vállalattal és a Mubadala Investmenttel, a világ egyik legnagyobb szuverén stratégiai befektetési társaságával kötött előzetes megállapodásokat.  
Vállalat Üdítő számokat közölt a Pepsi
Privátbankár.hu | 2025. július 17. 15:27
 A PepsiCo Inc., a világ egyik legnagyobb üdítőital-gyártója a vártnál nagyobb profittal és nyereséggel zárta második üzleti negyedévét.
Vállalat Bajban a Renault
Privátbankár.hu | 2025. július 17. 13:04
Zuhannak az autógyártó részvényei, új vezérigazgatót is nehezen találnak. 
Vállalat Nőtt az EasyJet nyeresége
Privátbankár.hu | 2025. július 17. 12:50
Elemzők által becsült mértékben, 21 százalékkal, 286 millió fontra (383 millió dollár) emelkedett az easyJet brit fapados légitársaság adózás előtti nyeresége a június végével záródott harmadik pénzügyi negyedévében – közölte a társaság csütörtökön.
Vállalat Fontos bejelentés érkezett az MVM Csoporttól
Privátbankár.hu | 2025. július 17. 12:16
Az MVM Csoport többségi részesedést szerez Szerbia vezető energetikai kivitelező cégeiben
Vállalat Gigantikus profitot ért el a tajvani chipgyártó
Privátbankár.hu | 2025. július 17. 11:55
Az AI miatt nem győzik gyártani a chipeket. 
Vállalat Az EU leállítja Elon Musk X platformja elleni vizsgáltát
Privátbankár.hu | 2025. július 17. 11:52
Eközben folynak a tárgyalások az Egyesült államokkal Donald Trump büntetővámjairól.
hírlevél
Ingatlantájoló
Együttműködő partnerünk: 4iG