GDPR: növekvő bírságsok idén
Idén 87 millió forint bírságot szabott ki az adatvédelmi hatóság (NAIH) az uniós adatvédelmi irányelvek megsértése miatt. A bejelentések számának folyamatos emelkedésével az apparátus működtetésére is egyre több erőforrás jut: Péterfalvi Attila a NAIH elnöke legutóbbi nyilatkozatában elmondta, hogy a 2016-os 560 millió forinttal szemben 2020-ban 1 milliárd 500 millió forintos költségvetéssel gazdálkodik a hatóság.
A legfontosabb számok itthon
1656 panasz
2019-ben a NAIH összesen1656 panaszt kezelt.
87 millió forint
Összesen 87 millió forint bírságot szabtak ki.
30 millió
A legmagasabb büntetés 30 millió forint volt.
Az elmúlt időszakban rengeteg nemzetközi és hazai szervezet keveredett adatvédelmi botrányba. A hatóság által kiszabható bírság mértéke akár 20 millió euró, vagy az előző pénzügyi év éves világpiaci forgalmának legfeljebb 4 százalékát kitevő összeg is lehet. Míg itthon a Sziget Zrt. 30 millió forinttal vezeti a szankcionáltak listáját, a British Airways légitársaság minden idők legnagyobb bírságát, átszámítva 66,4 milliárd forintos büntetést kapott.
A TOP5 GDPR büntetés itthon
1. Sziget Zrt.
Büntetés: 92 146 €
A NAIH a beléptető rendszer adatvédelmi hiányosságai miatt bírságolt.
2. Hazai politikai párt
Büntetés: 34 375 €
A párt rendszerét kibertámadás érte, de nem tettek eleget bejelentési kötelezettségüknek, és az esetet sem vizsgálták ki megfelelően, annak ellenére, hogy 6000 ember adataival történt visszaélés.
3. Ismeretlen hazai jogi személy
Büntetés: 15 150 €
Az adatkezelő nem tett eleget kötelezettségeinek, mikor egy személyes adatokat tartalmazó pendrive elveszett.
4. Honvédkórház
Büntetés: 7 600 €
Egy országgyűlési képviselő VIP-kártya igénylőlapja a Honvédkórház kezeléséből a sajtóhoz jutott, ahol nyilvánosságra hozták a személyes adatot tartalmazó lap szkennelt változatát.
5. Ismeretlen hazai bank
Büntetés: 3 200 €
Az adatkezelő törvénytelen módon visszautasította egy ügyfele azon kérését, hogy törölje telefonszámát az adatbázisából, vitatva ezzel a pénzügyi intézmény igényét arra, hogy ezúton érvényesítse követeléseit.
A TOP5 GDPR büntetés külföldön
1. British Airways
Büntetés: 204 600 000 €
Egy kibertámadás során a BA weboldalára érkező forgalmat egy másik webhelyre terelték, ahol begyűjtötték az ügyfelek személyes adatait, bankkártyáik számait is beleértve.
2. Marriott International
Büntetés: 110 390 200 €
A szállodalánc belső rendszerét feltörve illetéktelenek 2014 óta hozzáfértek 500 millió vendég személyes adataihoz.
3. Google
Büntetés: 50 000 000 €
A hatóság indoklása szerint a Google egyrészt nem nyújt elegendő információt, hogy miként kezelik a begyűjtött adatokat, másrészt nem szabályozza kielégítően a személyre szabott reklámok megjelenítését.
4. Austrian Post
Büntetés: 18 000 000 €
Az adatkezelő több, mint 3 millió osztrák állampolgárról készített profilokat, melyek többek között lakcímeket és politikai preferenciákat tartalmaztak. A profilokat politikai pártoknak és cégeknek értékesítették.
5. Deutsche Wohnen
Büntetés: 14 500 000 €
A szervezet úgy tárolta a lakók személyes adatait, hogy előzetesen nem kért rá engedélyt, ráadásul nem biztosított lehetőséget azok törlésére.
Neked is milliókba kerülhet, ha nem figyelsz!
Nem csak a nagy cégek hibázhatnak. Sőt, a kisebbeknél sokkal gyakoribb, hogy nem kezelik megfelelően a személyes adatokkal teli fájlokat:
- össze-vissza küldözgetik őket,
- kontroll nélkül mentegetik, sokszorosítják őket
- mit sem tudván arról, hogy ki, mikor, mihez férhetett hozzá
Ez a könnyelműség nem csak milliókba, hanem hatalmas presztízsveszteségbe is kerülhet.
Mikor derülhet ki, hogy rosszul csinálod?
Sajnos, ennek rendkívül egyszerű esetei vannak:
- egy csalódott ügyfél feljelentése
- egy rosszindulatú munkatárs szivárogtatása
- egy féltékeny versenytárs bejelentése
- … vagy a hatóság szúrópróba-szerű ellenőrzése
Ilyenkor egyvalamit tehetsz: már előre felkészülsz egy esetleges ellenőrzésre, hogy ne kelljen tartanod egy komolyabb büntetéstől!
Innentől kezdve tudhatsz mindenről!
A GDPR-megfelelés egyik kritériuma, hogy ismerd a személyes adatokat érintő összes folyamatot. Még egy önéletrajz vagy egy ügyféladatokat tartalmazó Excel is okozhat problémát, ha nem tudod, hogy a hálózaton belül található, kiknek van hozzáférése hozzá, és milyen műveleteket végeznek vele (törlés, módosítás, továbbítás).
Villámaudit során megismerkedsz egy olyan szoftverrel, ami 4 héten keresztül, valós időben fogja mutatni, hogy a cégeden belül mi történik a személyes adatokat tartalmazó fájlokkal, majd az eredményeket kiértékelve megmutatjuk, hogyan felelhetsz meg hosszú távon a GDPR-nak!