• NDAlegal

A GDPR alkalmazása és a komolyabb adatvédelmi bírságok megszületése

Az új európai adatvédelmi rendeletet (GDPR) az egész Európai Unióban alkalmazni kell 2018. május 25. napjától, ezzel egységesítve a tagállamok adatvédelmi rendelkezéseit. Ugyan az Infotv. eddig is tartalmazott szigorú rendelkezéseket és a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) korábban is szigorúbban értelmezte és alkalmazta az európai adatvédelmi joggyakorlatot, a GDPR ennek ellenére számunkra is hozott újdonságokat.


Példaként említhető az adatvédelmi incidensek bejelentési rendszere és az adatvédelmi hatásvizsgálat lefolytatásának intézménye, vagy éppen az adatvédelmi tisztviselői tisztség megjelenése is, hiszen az elmúlt egy év során átalakult a belső adatvédelmi felelősök rendszere, e tisztséget felváltotta az adatvédelmi tisztviselői titulus, amely megköveteli mind az adatvédelmi jogban való jártasságot, mind az informatikai eljárások magas színtű ismeretét is.


A GDPR bevezette az adathordozhatóság intézményét – mely kiszélesítette az érintettek jogait – és az elszámoltathatóság elvét is. A társaságok szempontjából kiemelten fontos, hogy utóbbi elvnek megfeleljenek, hiszen tudniuk kell igazolni az adatvédelmi alapelveknek való megfelelést is, megszegéséért akár komoly bírságokat is fizethetnek.


A GDPR-nak való megfelelésben a társaságoknak komoly segítséget tud nyújtani egy adatvédelmi audit lefolytatása, hiszen a változásokat és újdonságokat a gazdasági társaságok akár előnyükre is fordíthatják, mivel egy adatvédelmi audit keretében felülvizsgálásra kerülhet belső szervezetük/folyamataik, melyek hozzájárulhatnak a szervezeten belüli átláthatóság kialakításához, jó hírnevük megerősítéséhez is, sőt az esetleges hibák kiküszöbölése és javítása akár komoly piaci előnyhöz is juttathatja őket.


A társaságoknak hosszú távon is megéri a személyes adatok megfelelő biztonságának, magas szintű jogi és technikai védelmének megvalósítása, hiszen, ha nem tesznek eleget a GDPR rendelkezéseinek akár üzleti hírnevük is bánhatja, illetve a jogszabálysértésért komoly bírságra is számíthatnak.


Egy adatkezelő akár 20 millió euró összegű adatvédelmi bírsággal, illetve vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel is sújtható, ha megszegi a GDPR rendelkezéseit.


Ami valljuk be, azért elég magas összeg ahhoz, hogy egy társaság eleve belekalkulálja az éves működési költségvetésébe.

A GDPR alkalmazása óta már több adatvédelmi bírságot is kiszabtak külföldön, például Ausztriában 4800 euró megfizetésére köteleztek egy társaságot, aki térfigyelőkamera-rendszerrel engedély nélkül megfigyelte az utcai járókelőket. De példaként említhető Németország is, ahol 20 000 euró megfizetésére kötelezett egy vállalatot a német adatvédelmi hatóság, mivel egy hekkertámadás során illetéktelen kezekbe került majd 330 000 felhasználó adata. Sőt az eddigi legnagyobb adatvédelmi bírsággal, majd 16 milliárd forinttal (50 millió EUR), büntették a Google-t Franciaországban, mivel testreszabott reklámoknál nem kezelte megfelelően a felhasználók (netezők) személyes adatait.


A külföldi példákból is jól látható, hogy a GDPR alkalmazását követő átmeneti időszak már eltelt, a GDPR rendelkezéseinek betartása kiemelten fontos. A NAIH korábbi figyelmeztetési gyakorlata is változott, már megszületett az első magyar adatvédelmi bírság is, melynek részleteit egy másik cikkünkben kívánjuk az Olvasó elé tárni.

Azoknak az adatkezelőknek és adatfeldolgozóknak, akik jelenleg még nem felelnek meg a GDPR rendelkezéseinek, sürgősen intézkedniük szükséges, hiszen már Magyarországon is megkezdődött a GDPR szerinti bírságolás!

dr. Tarjányi Karolina

dr. Nagy Dóra Adriána


#adatvédelmiaudit #elsőmagyaradatvédelmibírság #elszámoltathatóságelve #Google #adatvédelmibírság