Miért szabnak ki adatvédelmi bírságokat? Az elmúlt években a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) egyre aktívabban ellenőrzi a vállalkozások adatkezelési gyakorlatát. Ma már nemcsak a nagyvállalatok, hanem a kisebb cégek is számíthatnak arra, hogy adatvédelmi vizsgálat alá kerülnek, ha hiányosságot talál a hatóság. A NAIH célja, hogy minden vállalkozás megfeleljen a GDPR és az Infotörvény előírásainak, de aki nem készül fel megfelelően, akár milliós bírságokra is számíthat.
Mire figyel leginkább a NAIH az ellenőrzések során?
A hatóság azokat a területeket vizsgálja leginkább, ahol nagyszámú személyes adat kezelése történik.
Ilyen például a kamerás megfigyelőrendszer működtetése, amelynél a cégek gyakran hibáznak: hiányoznak a jól látható figyelmeztető táblák, a weboldalon nem érhető el adatvédelmi tájékoztató, vagy a meglévő tájékoztató elavult. Nem egy apartmanpark példája mutatja, hogy akár egymillió forintos bírságot is kiszabhat a hatóság pusztán a jelzések és dokumentáció hiányosságai miatt.
Szintén kiemelt kockázatot jelent az online kereskedelem és a webáruházak működése. A vásárlói adatok kezelése, a cookie-k alkalmazása vagy a szerződési feltételek adatvédelmi vonatkozásai mind olyan terület, ahol a NAIH rendszeresen ellenőriz. Az online marketinggel foglalkozó cégeknek is résen kell lenniük: ha egy vállalkozás hozzájárulás nélkül küld hírlevelet vagy promóciós emailt, könnyen bírság lehet a vége. Egy csomagküldő szolgáltató például ötmillió forint büntetést kapott, mert hozzájárulás nélkül küldött marketingüzeneteket, ráadásul elavult adatkezelési tájékoztatót használt.
A munkavállalói adatok kezelése szintén érzékeny terület. A beléptetőrendszerek, GPS-es járműkövetés vagy email-ellenőrzés során a cégek gyakran nem adnak kellő tájékoztatást dolgozóiknak. A NAIH kifejezetten vizsgálja, hogy a munkáltatók tiszteletben tartják-e a munkavállalók magánszféráját, és csak a szükséges adatokat gyűjtik-e.
Milyen hibákat talál a NAIH leggyakrabban?
A hatóság tapasztalatai szerint több visszatérő hibát követnek el a vállalkozások. Az egyik leggyakoribb probléma, hogy a cégek adatot kezelnek megfelelő jogalap nélkül, vagy rosszul határozzák meg a jogalapot. Szintén gyakori, hogy a tájékoztatás hiányos: az ügyfelek vagy munkavállalók nem kapják meg előre a GDPR által megkövetelt információkat.
Sok esetben előfordul, hogy papíron rendben van minden: a cégnek van adatvédelmi szabályzata, de a napi gyakorlat teljesen eltér attól, ami le van írva. Például a szabályzat rövid tárolási időt ír elő, a valóságban viszont az adatokat évekig őrzik. Tipikus hiba az is, hogy a cégek rosszul kezelik az ügyfelek hozzájárulását: nem megfelelően van beállítva a hírlevél-feliratkozás, vagy a kiskorúak adatait szülői engedély nélkül gyűjtik.
A munkavállalók tájékoztatásának hiánya szintén sokszor vezet bírsághoz. A dolgozók sokszor nem tudják, milyen adatokat gyűjt róluk a munkáltató, például kamerás megfigyelés vagy email-ellenőrzés útján. Emellett az adatbiztonsági hiányosságok is súlyos következményekkel járhatnak: gyenge jelszavak, elavult informatikai rendszerek vagy a kétfaktoros hitelesítés hiánya miatt könnyen bekövetkezhet adatvédelmi incidens.
Az incidensek bejelentésének elmulasztása pedig önmagában is bírságot vonhat maga után. A GDPR előírja, hogy egy komoly adatvédelmi incidenst 72 órán belül be kell jelenteni a hatóságnak, és az érintetteket is tájékoztatni kell. Ennek elmulasztása – még ha maga az incidens nem is volt súlyos – önmagában többmilliós büntetéssel járhat.
Mekkora adatvédelmi bírságokra lehet számítani?
A GDPR elméletileg lehetővé teszi, hogy a bírság akár 20 millió euróig vagy a vállalkozás éves árbevételének 4%-áig terjedjen. Magyarországon a NAIH által kiszabott bírságok ennél jóval alacsonyabbak, de így is széles skálán mozognak. A kisebb hibákért jellemzően 500 ezer és 1 millió forint közötti összeget kell fizetni, míg a súlyos vagy ismételt jogsértésekért több tízmilliós büntetés is kiszabható.
A hatóság mindig mérlegeli az enyhítő és súlyosbító körülményeket: hány embert érintett az adatvesztés, mennyire volt tudatos a jogsértés, történt-e intézkedés a hiba orvoslására, és mekkora kárt szenvedtek az érintettek.
Hogyan kerülhetjük el az adatvédelmi bírságot?
A legbiztosabb módszer a felkészülés és a tudatosság. Minden cégnek rendelkeznie kell naprakész adatkezelési tájékoztatóval, amely világosan és közérthetően mutatja be, hogyan történik az adatkezelés. Fontos, hogy minden művelethez megfelelő jogalapot rendeljünk, és csak annyi adatot gyűjtsünk, amennyi feltétlenül szükséges. Az érintetti jogok biztosítása szintén kulcsfontosságú: egy adatkiadási kérelemre vagy törlési kérésre harminc napon belül válaszolni kell.
Az adatbiztonságot is erősíteni kell: biztonságos jelszóhasználat, rendszeres frissítések, kétfaktoros azonosítás mind hozzájárulnak ahhoz, hogy megelőzzük az incidenseket. Ha mégis bekövetkezik egy adatvédelmi incidens, elengedhetetlen a megfelelő incidenskezelési terv és a határidők betartása.
Nem szabad megfeledkezni a munkavállalók képzéséről sem. A tapasztalatok szerint sok adatvédelmi probléma emberi mulasztásból fakad, így érdemes a dolgozókat rendszeresen oktatni az adatkezelési szabályokról.
Összefoglaló
Az adatvédelem ma már nemcsak jogi kötelezettség, hanem üzleti versenyelőny is. Egy cég, amely átláthatóan és jogszerűen kezeli ügyfelei és munkavállalói adatait, nemcsak a hatósági bírságokat kerülheti el, hanem bizalmat is épít partnerei és vásárlói körében. A NAIH példái egyértelműen mutatják: a szabályok betartása nem opcionális, hanem alapkövetelmény.
Hallgasson bele podcastjainkba is! 🎧
👉 Szeretné tudni, hogyan kerülhető el a NAIH bírságok és hogyan tehető az adatkezelés jogszerűvé az Ön cégénél? Vegye fel velünk a kapcsolatot, segítünk a gyakorlatban is!
🎙 Emellett hallgassa meg a témáról szóló podcast epizódunkat, ahol gyakorlati példákkal és szakmai tippekkel járjuk körbe az adatvédelem buktatóit.