GDPR: már nem játék a bírság  – megmutatjuk, Ön hogyan kerülheti el

Tavaly 1656 adatvédelmi incidens bejelentése érkezett a Nemzeti Adatvédelmi és Információbiztonság Hatósághoz (NAIH), amely összesen 87 millió forint bírságot szabott ki a GDPR rendelet megszegőire.
Sokan nem is gondolják, hogy szakszerű támogatással milyen egyszerűen elkerülhetnék a büntetést és a presztízsveszteséget.

Bár a hazai adatvédelmi hatóság büntetései messze elmaradnak akár az EU-s, akár a tengeren túli társszerveikétől (csak emlékeztetőül: a prímet a Facebook viszi egy 5 milliárd dolláros gigabírsággal felhasználói személyes adatai súlyos és sorozatos megsértéséért), a fenti számok azért jelzik, hogy immár nálunk is véget ért a türelmi időszak a GDPR rendelet végrehajtása terén.

A NAIH elnöke, Péterfalvi Attila által az MTI-hez december 11-én eljuttatott közlemény szerint a nemzetközi összehasonlításban Magyarország jó helyen áll a személyes adatok védelme és az előírások alkalmazása terén. A legtöbb incidens nem is szándékosságból ered, hanem mert az adatkezelők sokszor hiányos ismeretekkel rendelkeznek az adatok kezelésével, tárolásával kapcsolatos pontos kötelezettségekről – ezért is értékelődik föl mind jobban a GDPR szakértők, tanácsadók, így a Crosssec Solutions szerepe.

A csúcsbüntetés 30 millió, de 1­–2 milliót sok tucatnyian fizethettek

A NAIH által nyilvánosságra hozott legmagasabb bírságot, 30 millió forintot 2019-ben a Sziget Fesztivál szervezői kapták a beléptetőrendszer adatvédelmi hiányosságaiért, míg a sorban a második, 25 milliós büntetést egy pénzintézet fizethette meg ügyfelei adatainak jogszabályellenes felhasználásáért. 5–10 milliós összeget már jelentősebb számban szabtak ki elsősorban különleges adat, visszaélés, adatok tárolása, hozzájárulás és munkahelyi adatkezelés szakszerűtlen és jogellenes kezelésért vagy alkalmazásáért.
E sorban önkormányzat, egyetem, közműszolgáltató, pénzintézet, kintlévőség-kezelő – és talán meglepő módon még különféle hatóságok, törvényszék és rendőrség is szerepel a megbírságoltak között. Kirívó példa egyik politikai pártunk, amely 11 milliós bírságot fizetett a számítógépes rendszerét ért kibertámadás, illetve annak nem megfelelő kezelése miatt, amely során 6000 ember személyes adatai kerülhettek illetéktelen kezekbe.

Ám ne higgyük, hogy csak a nagy cégek, társaságok állnak a célkeresztben! Kisvállalkozások éppúgy szembesülhetnek azzal, hogy a rendelet elvárásainak figyelmen kívül hagyása, vagy félreértelmezése bírságot, emellett rengeteg kellemetlenséget okozhat a cégnek. Egy névtelen bejelentés a NAIH felé elegendő ahhoz, hogy meginduljon a hatósági vizsgálat. 

E szempontból a családi vállalkozások melegágyai a leggyakrabban föl sem mért hibázási lehetőségnek, hiszen ezeknél sok esetben összemosódik a hivatalos és magániratok kezelése, tárolása vagy a sor végén a szakszerűtlen megsemmisítése.

A Fellowes megbízásából az Inspira Research egy fővárosi szeméttelepen végzett kutatást, amely során 200 kiló szelektíven gyűjtött papírhulladékot néztek át. Meglepetésre ebből 30,8 kilónyi érzékeny adatot tartalmazó dokumentum került elő, amelyek szakszerű megsemmisítés nélkül landoltak a szemétben.

GDPR-megfelelés: szakszerű segítséggel könnyebb betartani a szabályokat

A GDPR-megfelelés egyik kritériuma, hogy minden cégvezető, sőt, lehetőség szerint a társaság minden alkalmazottja a saját munkaköréhez szükséges mértékben – ismerje meg a rendelet elvárásait és építse be azokat a saját folyamataiba. A feladat persze csöppet sem egyszerű, és az önálló felkészüléshez és folyamatos alkalmazáshoz a belső erőforrások legtöbbször még a nagyobb vállalatoknál sem állnak rendelkezésre.

GDPR megfelelés

Ám a GDPR-ra is igaz, hogy a szakavatott külső segítség hatékony, elérhető és megtérülő megoldást jelenti a szabálykövetéshez és a bírságok elkerüléséhez. Önnek ugyanis nem kötelező hozzájárulnia, hogy 2020 végén az 1656-nál és a 87 milliónál nagyobb számokat tudjon majd fölmutatni a NAIH.

A 7 leggyakoribb adatvédelmi incidens, amit Ön könnyedén elkerülhet:

  • ellenőrzés vagy jóváhagyás nélkül küldött, sokszorosított és mentett e-mailek,
  • a munkavállaló személyes adatainak szabálytalan kezelése a munkáltatónál,
  • biztonsági kamera felvételeinek szabályellenes felhasználása,
  • jogszerűtlenül beszerzett adatbázisok használata (például promóciós célokra),
  • személyes adatok jogellenes tárolása és az adatok kérésre történő ki nem adása az ügyfeleknek,
  • cookie-k kezelésével kapcsolatos hiányos tájékoztatás a weboldalakon
  • technikai eszközök, adathordozók kellő védelmének hiánya (adatlopás, adatvesztés számítógépekről, külső adathordozókról)
Rovat:
Szerző:
Crosssec Solutions
linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram