Másfél évvel a GDPR hatálybalépése után már sor került az első rekordösszegű bírságok kivetésére, amelynek értéke akár a több millió eurót is eléri. Az act legal | Bán és Karika Ügyvédi Társulás összefoglalta, hogy más európai országokban, illetve hazánkban milyen összegű bírságok kiszabására került eddig sor és mely adatkezelési gyakorlatokat szankcionálták a hatóságok.
Mire kell leginkább figyelni a személyes adatok kezelése során
A GDPR számos új követelményt támaszt a vállalkozásokkal szemben a személyes adatok kezelése terén. Különösen a személyes adatok feldolgozása és tárolása területén kell különös biztonsági óvintézkedéseket tenni. Első és legfontosabb a személyes adatok feldolgozásának törvényes és érthető módja, amelyet csak meghatározott célokra lehet gyűjteni. Az adatokat olyan formában lehet tárolni, amely csak az érintettek azonosítását teszi lehetővé, mindaddig amig a felhasználásukhoz szükséges. Az adatokat olyan módon kell feldolgozni, amely biztosítja a személyes adatok biztonságát és védelmet nyújt a jogosulatlan vagy jogellenes feldolgozással szemben. Ezen követelmények biztosításához pedig szükség van a megfelelő technikai és szervezetési intézkedések kialakítására és fenntartására.
Az új rendelet megsértése esetén a társaságok akár 20 millió euró vagy a társaság globális összforgalmának éves árbevétele 4 százalékának megjelelő mértékű bírságot is fizethetnek.
Nézzük meg konkrét példákon keresztül, hogy mit is jelent ez a gyakorlatban.
Mit büntetnek a hatóságok és mekkora összegű bírságra számíthatnak az adatkezelők
2019 júliusában az Egyesült Királyság Adatfelügyeleti Hatósága (ICO) bejelentette, hogy 204 millió euró összegű bírságot szabott ki a British Airways-re (az éves árbevétel körülbelül 1,5 százaléka). Ez a legmagasabb bírság, amelyet a GDPR hatálybalépése óta kivetettek, amely meghaladja a francia hatóságok által a Google-re 2018-ban kiszabott 50 millió eurós bírságot is. A British Airwaysnél az adat- és informatikai biztonsággal kapcsolatos gondatlanság eredményezte a kiszabott rekordbírságot. Egy úgynevezett hackertámadás által számítástechnikai bűnözők 2018-ban hozzáférést kaptak személyes adatokhoz és hitelkártya-információkhoz, köztük biztonsági kódokhoz (CVC-számok) olyan British Airways ügyfelektől, akik hitelkártyával fizették a repülőjegyet. Az adatvédelmi incidens körülbelül 500 000 ügyfelet érintett.
Németországban 2019. év végéig 80-nál is több bírságot szabtak ki, a büntetések összege eléri összesen kb. a 485 000 eurót (átlagosan 6000 euró ügyenként). A Baden-Württembergi tartomány szabta ki a mai napig a legmagasabb bírságot 80.000 euró összegben. A jelen esetben egy digitális publikáción keresztül személyes egészségügyi adatok kerültek az internetre a nem megfelelő belső ellenőrzési mechanizmusok miatt. További 50 000 eurós bírságot szabtak ki Berlinben a berlini Bank (N26) ügyében a volt ügyfelek személyes adatainak jogosulatlan feldolgozása miatt. A bank bizonyos korábbi ügyfeleknek a személyes adatait jogellenesen, egy úgynevezett „feketelistán” tárolta. Ez azonban csak akkor lehetséges, ha az ügyféllel kapcsolatban pénzmosás gyanúja merül fel.
„Magyar viszonylatban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)-hoz 2018. július 26-a után több mint 1.000 konzultációs beadvány érkezett, amelyekben több mint 600 esetben indított vizsgálati eljárást a hatóság” – ismertetik az act legal szakértői. 57 ügyben indult adatvédelmi hatósági eljárás, ami több mint 48.000 eurós bírságot eredményezett. A legjelentősebb bírságot a Sziget Kft. esetében szabta ki a NAIH. A cég által szervezett rendezvényeken alkalmazott beléptetés során megvalósított adatkezelés jogellenessége abban állt, hogy a kötelezett által, a vizsgált időszakban folytatott adatkezelés nem megfelelő jogalapon történt, nem felelt meg a célnak és az érintettek nem kaptak megfelelő előzetes tájékoztatást. A panaszt azért nyújtották be, hogy a belépésnél a résztvevők igazolványai be lettek szkennelve anélkül, hogy meghatározták volna az adatkezelés célját és az idejét. A Sziget Kft. a figyelmeztetést követően sem javította ki az észlelt hibákat, ezért adatvédelmi bírságot szabott ki rá a NAIH 30 millió forint összegben.
Következtetés és kilátások a GDPR területén
A bemutatott hatósági gyakorlat eddigi álláspontja szerint a cégek szempontjából látható, hogy az adatvédelemre és az informatikai biztonságra fordított beruházások pénzügyi szempontból is megtérülhetnek. Azok a cégek ellenben, amelyek eddig nem vették figyelembe a GDPR szabályait és az adatkezelési gyakorlatukat nem igazították a GDPR követelményeihez magas bírságokra is számíthatnak.
Kapacitásbővítés, kutatás-fejlesztés, valamint munkavállalói képzés is szerepel abban a közel 200 millió euró értékű beruházássorozatban, amelyet gyöngyösi és csömöri telephelyein indít a fogyasztási cikkeket gyártó amerikai vállalat.
Gyorsabban haladnak a tervezettnél a paksi atomerőmű bővítésének munkálatai, így már a december 15-én kezdődő héten el tudják kezdeni a szakemberek az első beton öntését közvetlenül megelőző műszaki feladatok végrehajtását – jelentette be Szijjártó Péter külgazdasági és külügyminiszter december 9-én Moszkvában.