Az Általános Adatvédelmi Rendelet (GDPR) 2018. május 25-től vált alkalmazandóvá az Európai Unió tagállamaiban. A GDPR hatálya alá tartozó adatkezelő a természetes személyek jogaira és szabadságaira kockázattal járó adatvédelmi incidenst köteles a tudomásszerzést követő 72 órán belül bejelenteni az illetékes felügyeleti hatóságnak. Amennyiben az adatkezelő nem tesz eleget ezen kötelezettségének, legfeljebb tízmillió euró összegű közigazgatási bírsággal vagy vállalkozások esetén az éves (világpiaci) forgalom akár két százalékát kitevő összegű bírsággal is sújtható.

Az adatvédelmi incidens megfelelő és kellő idejű intézkedés hiányában fizikai, vagyoni vagy nem vagyoni károkat okozhat az adatvédelmi incidensben érintett természetes személyeknek. Figyelembe véve, hogy az adatvédelmi incidens a személyes adatok feletti rendelkezés elvesztését, hátrányos megkülönböztetést, személyazonosság-lopást vagy személyazonossággal való visszaélést, pénzügyi veszteséget, a jó hírnév sérelmét vonhatja maga után, érthető a jogalkotó oldaláról az adatvédelmi incidensre vonatkozó szigorú rendelkezések megalkotásának célja.

Nem meglepő módon az Európai Unió legfejlettebb társadalmai vizsgáztak a legjobban a GDPR adatvédelmi incidensekre vonatkozó rendelkezéseinek betartásából. 100.000 lakosra Hollandiában 147, Írországban 133, Dániában pedig 115 incidensbejelentés jutott, ezzel szemben Olaszországban és Romániában 2, Görögországban pedig mindösszesen 1,5. Magyarország az EU28 (a felmérés 2020. januárjában, az Egyesült Királyság Európai Unióból történő kilépését megelőzően készült), Norvégia, Liechtenstein és Izland által alkotott listában hátulról a 9. helyen áll a 100.000 lakosra jutó 5 incidensbejelentéssel.

2018 május 25. és 2020. január 17. között összesen 114 millió euró bírságot szabtak ki a tagállami adatvédelmi hatóságok, amelynek 95 százaléka csupán 5 tagállamban került kiszabásra. Franciaországban 51,1, Németországban 24,5, Ausztriában 18,1, Olaszországban (az alacsony számú incidensbejelentés ellenére) 11,5, Bulgáriában pedig 3,1 millió euró adatvédelmi bírságot szabtak ki a tagállami hatóságok. Magyarországon a vizsgált időszakban ezzel szemben mindösszesen 198.000 euró értékben szabott ki bírságot adatvédelmi incidenssel összefüggésben Nemzeti Adatvédelmi és Információszabadság Hatóság.

A hazai adatkezelők azonban nem lélegezhetnek fel a bírságmértékben csúcstartó tagállamokhoz viszonyítva alacsony összegű magyarországi adatvédelmi bírságok okán, tekintettel arra, hogy a GDPR szellemiségével összhangban az egész Unióban a jellegükben hasonló adatvédelmi incidensek kapcsán hasonló mértékű bírságot fognak kiszabni az adatvédelmi hatóságok.

A Black Cell Kockázatmenedzsment és megfelelés üzletága elősegíti ügyfeleinél – akár teljes GDPR megfeleltetés, akár adatvédelmi incidenskezelési audit részeként – a meglévő adatvédelmi incidenskezelési eljárásrend vizsgálatát, incidensmenedzsment rendszer kialakítását, valamint az adatvédelmi tudatosság fejlesztését annak érdekében, hogy a munkavállalók és egyéb érdekelt felek időben felismerjék a potenciális adatvédelmi incidenst, és megtegyék a szükséges lépéseket az incidens kivizsgálása és a felügyeleti hatóságnak történő bejelentés érdekében, ezzel minimalizálva az adatkezelő kockázatát.

Források:

Általános Adatvédelmi Rendelet normaszövege

DLA Piper data breach survey: January 2020

A Nemzeti Adatvédelmi és Információszabadság Hatóság beszámolója a 2018. évi tevékenységéről

A Nemzeti Adatvédelmi és Információszabadság Hatóság beszámolója a 2019. évi tevékenységéről

Top