Adatkezelési bírságok egyre gyakrabban sújtják a magyar kis- és középvállalkozásokat is – nem csupán a nagyvállalatokat. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) az elmúlt időszakban számos olyan esetet vizsgált, ahol a cégek – akár figyelmetlenségből, akár hiányos dokumentáció miatt – megszegték a GDPR és a hazai adatvédelmi előírásokat. A bírságok gyakran több millió forintra rúgnak, és nem ritkák az ismétlődő jogsértések sem.
Ebben a blogcikkben bemutatjuk a legfrissebb NAIH-gyakorlatot, rávilágítunk a legtipikusabb hibákra, amelyek bírsághoz vagy ellenőrzéshez vezetnek, és adunk konkrét tanácsokat, hogyan kerülheti el mindezt egy KKV. Ha nem szeretné, hogy a következő hatósági célpont az Ön cége legyen, ez a cikk kötelező olvasmány.
Miért érdemes odafigyelni az adatkezelési bírságokra?
Az adatkezelési bírságok alapát a 2018. május 25. óta minden vállalkozás számára kötelező európai általános adatvédelmi rendelet (GDPR) adja, melynek súlyos megsértése esetén akár a cég árbevételének 4%-áig, de legfeljebb 20 millió euróig terjedő bírság is kiszabható. A NAIH az utóbbi években egyre aktívabban ellenőrzi a GDPR betartását. 2023 augusztusáig több mint 90 nyilvános ügyben szabott ki a NAIH pénzbírságot adatkezelési jogsértések miatt, és jelenleg is több száz eljárás van folyamatban.
A bírságok összege széles skálán mozog: az néhány százezer forintos tételektől egészen a több tízmilliós nagyságrendű szankciókig terjed. 2023 végén rekordösszegű, 110 millió forintos bírságot szabtak ki egy oktatási informatikai cégre, miután egy adatszivárgási incidens során több mint 20 ezer felhasználó adatai kerültek veszélybe a nem megfelelő biztonsági intézkedések miatt. Ugyanakkor kisebb szereplők is célkeresztbe kerülhetnek: például egy jótékonysági alapítvány kéretlen adománygyűjtő telefonhívások miatt kapott 1 millió forintos bírságot. Látható tehát, hogy a GDPR nem csak a nagyvállalatokra vonatkozik – a KKV-knak is komolyan kell venniük az adatvédelmi előírásokat, különben kellemetlen és költséges következményekkel számolhatnak.
Érintettek jogainak figyelmen kívül hagyása
Az érintettek (ügyfelek, felhasználók) adatvédelmi jogai – különösen a hozzáférési jog (GDPR 15. cikk) és a törléshez való jog – érvényesülését biztosítani kell. Gyakori hiba, hogy egy vállalkozás egyszerűen nem reagál egy érintetti kérelemre, vagy nem adja ki a kért adatmásolatokat időben. Egy magánegészségügyi szolgáltató például 10 millió forintos bírságot kapott, amiért figyelmen kívül hagyta páciense kérését az egészségügyi dokumentáció másolatára – sőt, még a hatósági megkeresésekre sem reagált megfelelően. A hatóság jelezte, hogy az együttműködés hiánya és az érintetti joggyakorlás akadályozása súlyosbító körülmény, és az ilyen magatartás szankciót von maga után.
Egy másik ügyben egy bank ügyfele hiába kérte az ATM-nél történt incidensről szóló kamerafelvétel kiadását és zárolását – a bank csak a törvényi határidő lejárta után, három nappal késve teljesítette a kérést, ráadásul a honlapján nem tüntette fel megfelelően az adatvédelmi felelőse elérhetőségét. A NAIH ezért 60 millió forintos bírságot szabott ki az ügyben. Ezek az esetek világosan mutatják, hogy az érintetti megkereséseket nem szabad félvállról venni: minden adatigénylést, törlési vagy helyesbítési kérelmet időben (általában 1 hónapon belül) és érdemben teljesíteni kell.
Még ha a kért adatot a cég belső használatra gyűjtötte is, biztosítani kell a hozzáférést. Egy vállalat például arra hivatkozva nem adta ki a panaszosnak a róla készült hangfelvételeket, hogy azokat csak belső oktatási célra rögzítik, így nem visszakereshetők. Később kiderült, hogy mégis azonosítani tudták a felvételeket, ám az érintett csak egy év elteltével jutott hozzájuk – emiatt a cég 5 millió forintos bírságot kapott. A NAIH rámutatott, hogy a hangrögzítésről szóló tájékoztatás is hiányos volt, így a felvételek kezelése eleve nem felelt meg a GDPR követelményeinek.
Hiányos vagy elavult adatkezelési tájékoztatók
Az adatkezelési tájékoztató az egyik első dolog, amit a hatóság vizsgál egy panasz esetén. Gyakori probléma, hogy a cégek tájékoztatói hiányosak, elavultak vagy nem felelnek meg a GDPR 12-13. cikk szerinti követelményeknek. Több bírság is azért került kiszabásra, mert a vállalkozások nem frissítették a korábbi, még az Infotv. idején készült adatkezelési szabályzataikat.
Egy csomagküldő cég például 5 millió Ft bírságot kapott, mert a panasz idején érvényes adatkezelési tájékoztatója 2016-ból származott, még a GDPR előtti jogszabályokra hivatkozott, és emiatt nem tartalmazta az aktuális adatkezelés jogalapjának megfelelő igazolását. A hatóság megállapította, hogy mivel a cég nem hangolta össze a gyakorlatát az új rendelettel, a tájékoztatásból hiányoztak a lényeges információk (pl. a helyes jogalap) – önmagában ez is jogsértésnek minősül. Hasonlóképpen, egy bank esetében megállapították, hogy a honlapon közzétett adatvédelmi tájékoztató nem tartalmazta az adatvédelmi tisztviselő (DPO) közvetlen elérhetőségét, csak egy általános infó@ email címet és egy központi telefonszámot, ami szintén nem felelt meg a GDPR által elvárt átláthatóságnak.
Fontos, hogy az adatkezelő pontosan megnevezésre kerüljön, és minden egyes adatkezelési célhoz szerepeljen a megfelelő jogalap, kezelt adatkör, megőrzési idő és az érintettek jogaira vonatkozó információ. Egy önkormányzat esetében például azt találta a NAIH, hogy a városi honlapon elérhető tájékoztató nem nevezte meg konkrétan az adatkezelőt, ráadásul helytelen jogalapot jelölt meg (hozzájárulást kért ott is, ahol valójában jogszabályi kötelezettség teljesítéséről volt szó), és indokolatlanul sok adat megadását írta elő egy egyszerű parkolási bérlet igényléséhez. Az ilyen hiányosságok miatt a Hatóság 500 000 Ft bírságot szabott ki.
Olyan esetre is volt példa, ahol egy cég weboldalának adatkezelési tájékoztatója annyira zavaros és hiányos volt (nem derültek ki belőle az egyes célok jogalapjai, adattípusai, ideje, és rossz törvényi hivatkozások szerepeltek benne), hogy a NAIH hivatalból vizsgálatot indított. A cég ugyan többször módosította a dokumentumot a vizsgálat során, de még így sem felelt meg a GDPR követelményeinek – végül pénzbírság lett a következmény.
Tanulság: minden KKV-nek ki kell alakítania egy érthető, részletes és naprakész adatkezelési tájékoztatót, és azt elérhetővé tenni az érintettek számára (pl. honlapon, üzlethelyiségben). Ez nem csupán formalitás: a tapasztalat szerint a legtöbb adatkezelési bírság egyik alapja a hiányos tájékoztatás.
Adatbiztonsági hiányosságok és incidenskezelés
Az adatbiztonság terén elkövetett mulasztások potenciálisan súlyos következményekkel járhatnak, hiszen egy adatvédelmi incidens sok ezer ügyfél adatait érintheti. A NAIH több alkalommal is jelentős bírságot szabott ki azért, mert egy cég nem gondoskodott megfelelő technikai és szervezési intézkedésekről a személyes adatok védelme érdekében (GDPR 32. cikk).
A legkirívóbb ügy a KRÉTA-rendszer adatszivárgása volt: hackerek egy adathalász email segítségével fértek hozzá a fejlesztői környezethez, részben azért, mert a vállalat nem alkalmazott kétfaktoros hitelesítést, és a támadás után sem észlelték időben, hogy a támadók továbbra is hozzáférnek az érzékeny adatokhoz. Több mint 20 000 felhasználó (diákok, szülők, tanárok) adatai szivárogtak ki, a forráskód egy része is illetéktelen kezekbe került, ráadásul az adatkezelő elmulasztotta 72 órán belül bejelenteni az incidenst a hatóságnak. A NAIH szerint a cég nem vette figyelembe az adatbiztonsági kockázatokat, és nem biztosította a szolgáltatás bizalmasságát és sértetlenségét – az eredmény 110 millió Ft bírság lett. Ez rámutat, hogy még egy KKV esetében is alapvető elvárás a rendszeres kockázatelemzés, a megfelelő jelszókezelés és hozzáférés-kezelés, valamint a biztonsági incidensek haladéktalan jelentése.
Az is gyakori probléma, hogy elavult vagy foltozatlan szoftvereket használnak a cégek, ami sérülékenységekhez vezethet. Egy hazai informatikai szolgáltató például 27 millió Ft bírságot kapott, miután kiderült, hogy a webes tartalomkezelő rendszerét 2011-2012 óta nem frissítette, az súlyosan elavult volt, és ezt kihasználva SQL injection támadással adatokat szereztek meg. Bár a cég az incidenst szabályszerűen bejelentette és megtette az elsődleges kárenyhítő lépéseket, a NAIH hangsúlyozta, hogy a megelőzés hiányosságai (jelen esetben a szoftverfrissítések elmulasztása) önmagában jogsértésnek minősül, ezért kötelezte is az adatkezelőt a rendszer azonnali frissítésére.
Hasonlóképpen, egy önkormányzati szolgáltató (korábbi FŐTÁV) 16 millió Ft bírságot kapott azért, mert egy korábban töröltnek hitt adatbázis bizalmas adatai véletlenül továbbra is elérhetők maradtak az interneten – a háttérrendszerekből nem takarították ki teljesen a régi fájlokat. A hatóság szerint a cég nem tett meg minden szükséges technikai intézkedést az adatok végleges törlésére, és az incidensről sem tett bejelentést második alkalommal, amikor ismét előkerültek az adatok.
Az engedély nélküli reklámüzenetek, spam-ek és kéretlen telefonhívások miatti panaszok is rendszeresen a NAIH elé kerülnek. A GDPR és a hazai szabályok szigorúan előírják, hogy direkt marketinget (legyen az hírlevél, SMS vagy telefonhívás) csak megfelelő jogalappal – tipikusan előzetes hozzájárulással, vagy egyes esetekben jogos érdek igazolása mellett – szabad folytatni, és mindig biztosítani kell a leiratkozás lehetőségét. Ennek ellenére több szervezet mulasztotta el ezeket a követelményeket. Egy alapítvány például online telefonkönyvekből gyűjtött számokat és adománygyűjtő hideghívásokat indított anélkül, hogy az érintettek hozzájárultak volna vagy tudtak volna erről. Arra hivatkoztak, hogy jogos érdekük a misszió támogatása, de a hatóság megállapította, hogy sem a jogalap nem volt megfelelően alátámasztva, sem a telefonhívások során nyújtott tájékoztatás nem felelt meg az előírásoknak. Az eredmény 1 millió Ft bírság lett, és rávilágított, hogy az érdekmérlegelés részletes dokumentálása nélkül nem lehet jogos érdekre alapozni marketing célú megkereséseket.
Adattakarékosság hiánya és rossz jogalap megválasztása
A GDPR egyik alapelve az adattakarékosság (data minimization), ami azt jelenti, hogy csak olyan mennyiségű és jellegű személyes adatot gyűjtsünk, ami a cél eléréséhez feltétlenül szükséges. Számos bírság hátterében az állt, hogy a vállalkozások indokolatlanul sok adatot kértek be vagy tároltak, illetve nem a megfelelő jogalapot alkalmazták az adatkezeléshez. Egy példa erre egy cég, amely az állásra jelentkezőket olyan nyilatkozatok aláírására kötelezte, amelyekben beleegyeztek az okmányaik fénymásolásába, valamint abba, hogy a munkavégzés során róluk kép- és hangfelvétel készüljön. A NAIH vizsgálata rámutatott, hogy bár bizonyos dokumentumok (pl. személyi igazolvány) ellenőrzése indokolt a munkaszerződés előkészítéséhez, teljes másolat készítése már nem felel meg az adattakarékosság elvének, pláne ha az okmány olyan adatokat is tartalmaz, amelyekre a munkaszerződéshez nincs szükség. A Hatóság ebben az ügyben 200 000 Ft bírságot szabott ki, és javasolta, hogy az érintettek azonosításához inkább kevésbé invazív megoldást – például a „négy szem elvét” – alkalmazzák (két HR-munkatárs ellenőrizze az okmányokat és igazolja, hogy a rögzített adatok pontosak).
A jogalap megválasztása szintén kritikus pont. Gyakori hiba, hogy tévesen hozzájárulást kérnek olyan esetekben, amikor az nem megfelelő (pl. hatósági, önkormányzati feladatoknál, vagy amikor a szerződés teljesítéséhez szükséges az adatkezelés), illetve hogy jogos érdekre hivatkoznak anélkül, hogy azt ténylegesen alátámasztanák. Egy társasház esetében az volt a gond, hogy bár a kamerás megfigyelés jogalapja elvileg a jogos érdek lehetett volna, az erről szóló érdekmérlegelés nem készült el, így nem volt igazolható, hogy valóban szükséges a megfigyelés a vagyonvédelemhez. Ráadásul a társasház adatkezelési szabályzatában még mindig a régi Infotv.-re történtek hivatkozások a GDPR helyett, ami azt mutatja, hogy nem aktualizálták a jogi megfelelést. Az ilyen mulasztások – bár talán formai hibáknak tűnhetnek – valójában könnyen bírsághoz vezethetnek, mert azt jelzik, hogy a cég nincs tisztában az adatkezelés jogi alapjaival.
Kamerás megfigyelés szabályainak megszegése
A vállalkozások és intézmények jelentős része üzemeltet kamerarendszereket biztonsági vagy vagyonvédelmi céllal. Bár ez jogszerű lehet, számos feltételt kell betartani, amelyeket gyakran elmulasztanak, így a NAIH előtt is visszatérő téma a kamerás megfigyelés jogszerűsége. Az egyik tipikus hiba a nem megfelelő tájékoztatás: a megfigyelt területre belépők számára előre jelezni kell, hogy kamera működik. Egy szálláshelyen például a recepciós pultnál és a parkolóban voltak kamerák, de a vendég bejelentése szerint sem figyelmeztető tábla, sem előzetes tájékoztató nem volt kint a látogatása idején – ezután, a panasz nyomán pótolták ugyan a táblákat, de addigra a NAIH már vizsgálta az ügyet. Kiderült az is, hogy a recepción elérhető írásos tájékoztató pontatlan, összeollózott szöveg volt, a szálláshely weboldalán pedig egyáltalán nem volt elérhető adatkezelési tájékoztató a kamerázásról. Ezek miatt a cég 1 millió Ft bírságot kapott. Ebből is látszik, hogy a kamerafigyelmet jól látható piktogramokkal és alapvető információkkal (ki az adatkezelő, milyen célból működik a kamera, meddig őrzik a felvételt, kihez lehet fordulni jogorvoslatért stb.) előre jelezni kell. Emellett részletes, írásos tájékoztatót is rendelkezésre kell bocsátani (pl. honlapon vagy a helyszínen), amely megfelel a GDPR követelményeinek.
A másik gyakori probléma a jogszerűség és szükségesség igazolása. Mivel a kamerás megfigyelés tipikusan nem hozzájárulás alapján történik, a legtöbbször jogos érdeken alapul (pl. vagyonvédelem, bűnmegelőzés). Ezt azonban alá kell támasztani egy érdekmérlegelési teszttel, hogy arányos és szükséges a megfigyelés az adott célhoz.
Gyakorlati tanácsok az adatvédelmi bírságok elkerüléséhez
📄Naprakész adatkezelési tájékoztató: Készítsünk és rendszeresen frissítsünk érthető, GDPR-kompatibilis adatkezelési tájékoztatót. Ebben egyértelműen meg kell nevezni az adatkezelőt, a kapcsolattartót (pl. adatvédelmi tisztviselőt), az egyes adatkezelési célokat, jogalapokat, a kezelt adatok körét, tárolási időt, valamint az érintettek jogait és jogorvoslati lehetőségeit.
👥 Érintetti jogok biztosítása: Gondoskodjunk róla, hogy az érintettek könnyen élhessenek jogaikkal. Legyen belső eljárásunk a hozzáférési kérelmek, helyesbítési/törlési kérelmek kezelésére. Minden megkeresésre haladéktalanul, de legkésőbb 1 hónapon belül érdemi választ kell adni. Ne fordulhasson elő, hogy egy kérés válasz nélkül marad vagy elkésünk vele.
🔍 Szükséges adatgyűjtés elve: Csak olyan adatokat kérjünk be és tároljunk, amelyek valóban szükségesek az adott célhoz. Kerüljük a túlzott adatgyűjtést (pl. okmányok teljes fénymásolását, ha elég lenne az adatok feljegyzése). Alkalmazzuk az adattakarékosság elvét: ami nincs begyűjtve, az nem sérülhet.
⚖️ Megfelelő jogalap kiválasztása: Minden adatkezeléshez a helyes jogalapot használjuk. Ne használjunk hozzájárulást ott, ahol a feldolgozás valójában kötelező vagy szerződéses; és ne hivatkozzunk jogos érdek-re anélkül, hogy ezt alátámasztanánk. Ha jogos érdeket alkalmazunk, készítsünk írásos érdekmérlegelési tesztet, ami igazolja, hogy az adatkezelés szükséges és arányos.
🔐 Adatbiztonság és IT frissítések: Fektessünk hangsúlyt a technikai védelemre. Rendszereinket tartsuk naprakészen (rendszeres szoftverfrissítések, biztonsági javítások telepítése). Használjunk erős jelszavakat és ahol lehet, többtényezős hitelesítést. Titkosítsuk az érzékeny adatokat és biztonságos csatornákon kommunikáljunk (pl. fájlok küldése titkosítva).
🎥 Kamerarendszerek helyes üzemeltetése: Ha CCTV kamerát használunk az irodában, üzletben vagy telephelyen, helyezzünk ki figyelemfelhívó táblákat a bejáratoknál. Készítsünk külön kamerás adatkezelési szabályzatot/tájékoztatót, ami tartalmazza a megfigyelés célját, jogalapját, a felvételek megőrzési idejét, ki fér hozzá, stb. Végezzünk érdekmérlegelést, hogy igazolni tudjuk a kamera használatának szükségességét. Korlátozzuk a felvételekhez való hozzáférést – csak az lássa, akinek a munkaköre indokolja – és a felvételeket a törvényben előírt vagy feltétlenül szükséges ideig őrizzük meg, utána töröljük azokat.
Összegzés
Az utóbbi évek adatkezelési bírságai világosan megmutatták, hogy a NAIH határozottan fellép a GDPR rendelkezéseinek betartása érdekében – és a szabályok mindenkit érintenek, a kisvállalkozásokat is. A fenti tipikus esetek és tanulságok ismeretében a KKV-k felmérhetik, saját gyakorlatuk hol szorul fejlesztésre. Bár az adatvédelem elsőre bonyolultnak tűnhet, megfelelő odafigyeléssel, rendszeres felülvizsgálattal és munkatársak képzésével elkerülhetők a súlyos hibák. A legfontosabb, hogy vegyük komolyan az ügyfelek személyes adatainak védelmét – hiszen nemcsak az adatkezelési bírságok kockázata forog kockán, hanem cégünk jó hírneve és az ügyfelek bizalma is. A jogszabályoknak való megfelelés tehát nem pusztán védekezés a bírság ellen, hanem a felelős üzleti működés része, ami hosszú távon mindenképpen megtérül.