Forrás: privatbankar.hu

Az akár milliárdos nagyságrendű bírságtól való rettegés a magyar cégek között is igazi GDPR-rohamot váltott ki az év elején, mindenki igyekezett legalább az adatvédelmi tájékoztatóját az egységes uniós rendelkezésekhez igazítani. A vihar néhány hét alatt elült, mivel eddig nem igazán hallhattunk arról, hogy valakit tényleg megbírságoltak volna - de ami késik, nem múlik: Európába megérkeztek az első GDPR-fecskék. Egy osztrák vállalkozás és egy portugál kórház mélyen a zsebébe nyúlhat, Magyarországon már 600 bejelentést kapott a hatóság.

Bár elvileg a korábbi magyarországi szabályozás érdemben nem volt lazább az egységes uniósnál, mégis elért mindenkit a GDPR-őrület: az utolsó pillanatokban a legnagyobb multiktól a legkisebb webáruházakig mindenki átalakította adatkezelési tájékoztatóját és erről levélben értesítette partnereit. Remélhetőleg nem csak a tájékoztatók, hanem a gyakorlatok is GDPR-kompatibilissé váltak - ilyen irányú vizsgálatok eredményeiről azonban egyelőre nincsenek friss hazai hírek. Mindenesetre kiszabott bírságok nélkül is komoly költségtételt jelentett a hazai vállalkozásoknak az új adatvédelmi szabályozásra való felkészülés, amelynek nyertesei első körben a tanácsadó cégek, az ügyvédi irodák és az informatikai fejlesztőcégek voltak.

Fél éve él az új keretrendszer - hol vannak a gigabírságok?

A GDPR tanácsadással és üzleti döntéseket támogató szoftverek fejlesztésével foglalkozó Crosssec Solutions blogján megjelent posztban azt írják: azért nem olvashatunk GDPR bírságokról nap mint nap,  mert még túl korai, hogy az ügyek kivizsgálása és bírósági tárgyalása megtörténjen olyan módon, hogy ítélet is születhessen. Jelentősen megnövekedett ugyanakkor a nemzeti hatóságokhoz beérkező panaszok száma, Magyarországon is több mint 600 bejelentés érkezett, melyeket egyenként ki kell vizsgálni, és meg kell állapítani, hogy elég megalapozottak-e az eljárás megindításához.

Hasonló a helyzet az EU többi tagországában is. A brit hatósághoz hetente több mint 500 bejelentés érkezik, május 25. és július 3. között az előző évi 2417 panasz helyett már 6281 ügyben fordultak az ICO-hoz - írják. Az illetékes francia hatóság is a panaszok számának 37 százalékos növekedéséről számolt be. A legérdekesebb Írország helyzete, hiszen az olyan technológiai óriások, mint például a Google és a Facebook ,írországi leányvállalaton keresztül működnek az EU-s piacokon. Nem csoda tehát, hogy ebben az esetben is drasztikus növekedést tapasztal a hatóság, az előző évi 230 bejelentéshez képest 1713 történt május 25. óta.

Az elsők: egy osztrák vállalkozás és egy portugál kórház

A Crosssec szakértői két olyan esetről tudnak, ahol konkrét bírságösszeg meghatározására is sor került. Az osztrák adatvédelmi hatóság (DSB) első, ítélethozással végződő GDPR-vizsgálata egy, a kamerarendszer nem megfelelő alkalmazásával kapcsolatos ügyben folyt még szeptember közepén. A megbírságolt vállalkozás olyan zártláncú kamerarendszert használt az ingatlan előtt, amely a járda – így közterület – nagy részét is rögzítette. A DSB ezt a GDPR megszegésének ítélte, hiszen a közterületek ilyen célú, nagy mértékű megfigyelése nem megengedett. A vizsgálat során kiderült, hogy a kamerarendszer használatáról szóló megfelelő tájékoztatás sem történt meg. A kiszabott bírság összege ebben az esetben 4800 euró, mintegy másfél millió forintnak megfelelő összeg volt.

A második, már bírsággal lezárt esetben egy portugál kórház, a Centro Hospitalar Barreiro Montijo esetében állapított meg komoly bírságot a helyi adatvédelmi hatóság (CNPD). A több jogsértést is feltáró vizsgálat során kiderült, hogy a kórház nem megfelelően tárolta a betegek adatait, valamint a betegadatokhoz való hozzáférés szabályozása sem volt megfelelő.

A kórházi rendszerben 985 olyan felhasználót találtak a vizsgálat során, akik orvosi hozzáféréssel rendelkeztek, holott az intézményben összesen csak 296 orvos dolgozik. Külön probléma, hogy a kórházi személyzet korlátozás nélkül hozzáfért az összes beteg összes adatához, így előfordulhatott hogy például a dietetikusok hozzáfértek a pszichiátriai adatokhoz, vagy a nem orvosként dolgozó kórházi személyek ráláttak a vizsgálatok adataira is. A betegadatbázis nem megfelelő kezelése mellett az előbb bemutatott adatkezelési folyamat egyáltalán nem tudja garantálni az adatok integritását, bizalmasságát és elérhetőségét - állapította meg a vizsgálat.

A 400 ezer eurós bírság (közel 130 millió forint!) a portugál adatvédelmi hatóság által valaha kiszabott legnagyobb büntetés. A kórház elismerte a problémákat, azonban megkérdőjelezi, hogy a CNPD eljárhat-e, és szabhat-e ki bírságot velük szemben, így várhatóan bírósági felülvizsgálatot kér a bírság kifizetése előtt - írja a Crosssec.

Magyarországon egyelőre nyugi van - vihar előtti csend?

Dr. Szilágyi András, a BKIK Mediációs és Jogi Koordinációs Osztályának elnöke a kamara által szervezett workshopon nemrég arról beszélt: a magyar adatvédelmi hatóság (Nemzeti Adatvédelmi és Információszabadság Hatóság) az elmúlt időszakban még csak puhatolózott a szabályszegő vállalkozásoknál és vállalatoknál, aminek egyik oka, hogy példamutató európai precedensre várnak – ami a büntetés mértékét illeti -, másrészt pedig az, hogy az első ízben elkövetett adatvédelmi szabályszegéseket Magyarországon a fokozatosság elve alapján csupán figyelmeztetéssel honorálják.

Miközben az eddigi európai bírságok egy kisebb vállalkozáshoz és egy kórházhoz köthetőek, Magyarországon inkább a nagy multicégek aggódhatnak: a kormány jelezte, hogy a GDPR szabályait elsősorban a tagállami jogrendszerek közötti különbséget kihasználó multinacionális gazdasági társaságok ellen fellépve szükséges alkalmazni. A többi gazdasági szereplő, így a kis- és középvállalkozások tekintetében a kormány megengedőbb álláspontot fogalmazott meg a törvényjavaslat indoklásában - legalábbis a Deloitte erre jutott egy júniusi törvénymódosítási javaslat alapján.

Mindenesetre gondolatkísérletnek érdekes, hogy mi történne, ha a GDPR-megfelelőség szempontjából Portugáliához hasonlóan Magyarországon is alapos vizsgálatnak vetnének alá magyarországi kórházakat, és a portugál esethez hasonló összegű bírságot szabnának ki a végén.