Arra lehetett számítani, hogy az Európai Unió adatvédelmi szabályrendszerének az élesedését még nem követi azonnal a legnagyobb felügyeletei szigor, ez a türelem azonban mostanra elfogyott. A PreciseSecurity.com szakportál összesítése szerint a 10 legnagyobb idei vétség 402,6 millió euró bírságot, nagyjából 135 milliárd forint értékű büntetést vont maga után.

Az összegnek a túlnyomó részét, 90 százalékát a három legnagyobb büntetési tétel adta ki. A British Airways begyűjtötte az eddigi legnagyobb büntetést 204,6 millió euróval, miután a cég nem tudta kellően biztosítani ügyfeleinek kártyaadatait, és majdnem félmillió utas személyes és fizetési adataihoz juthattak hozzá illetéktelenek.

Kapcsolódó

A Marriot International 110 millió eurós büntetést kapott, amiért hozzáférhettek a szállodalánc 339 millió ügyfél-feljegyzéséhez, közülük 37 millióan európai állampolgárok voltak. A Google ehhez képest kisebb, 50 millió eurós büntetéssel megúszta, hogy a francia hatóságok szerint nem adott felhasználóinak kellő felvilágosítást adathasználati gyakorlatáról.

Az uniós adatvédelmi hatóságok 2018. májusa óta több mint 90 ezer bejelentést kaptak adatvédelmi sérelmekről, amikért az előírások értelmében a cég éves forgalmának 4 százalékát is kiróhatják büntetésként, a sérelmek súlyának függvényében.

Itthon is beütött a szigor

Magyarországon a GDPR felügyeletét ellátó Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) is a kezdeti türelmi időt követően szigorú fellépést ígért. A GDPR blog gyűjtése szerint jó pár eset adódott, amikor a NAIH több százezer, vagy 1-2 millió forintos büntetéseket szabott ki.

Ennél voltak nagyobb tételek is, márciusban a Demokratikus Koalíció weblapjának üzemeltetője kapott 11 milliós bírságot. Az eddigi legnagyobb, 30 milliós büntetés a Szigetnek jutott, a nagyobb fesztiváljaira történő beléptetéssel kapcsolatos adatkezelések miatt.

A GDPR bevezetése Magyarországon, ahogy minden tagállamban komoly jogharmonizációt és az ezzel járó törvénymódosítások sorát igényelte. Változott a munka törvénykönyve, ami így már több kitételt tartalmaz, amivel könnyebb lett a munkáltatók adatvédelemmel kapcsolatos megfelelése. Ilyen például a biometrikus adatkezelés szabályozása, a bűnügyi személyes adatok kezelése, az erkölcsi bizonyítvány kérése és kezelése, illetve a munkáltatói ellenőrzés információtechnológiai eszközök alkalmazásával.

Mindent büntetnek

Nyáron Péterfalvi Attila, a NAIH vezetője azt ígérte, hogy a GDPR türelmi idejének lejárta után nem lesz olyan be nem jelentett adatvédelmi incidenssel kapcsolatos ügy, amelyben nem szab ki bírságot a NAIH. Péterfalvi akkor azt is mondta, hogy az európai gyakorlatban hosszabb távon arra lehet számítani, hogy a kiszabott bírságok szintje közelíteni fog egymáshoz. Ennek összehangolása időigényes lesz, főleg, hogy minden tagországnak saját bírságolási gyakorlata van, azonban nem tartható fenn az a gyakorlat, hogy egy bizonyos jogsértésért ne ugyanaz a mértékű bírság kerüljön kiszabásra az Európai Unión belül mindenhol.

A megfelelés sok országban okoz nehézségeket. A Zyxel hálózati eszközszállító cég gyűjtése szerint a GDPR határideje óta eltelt több mint egy évben Lengyelországban, Portugáliában és Spanyolországban is szabtak ki több százezer euró értékű büntetési tételeket. Németországban 42 büntetést osztottak ki, átlagban 16 ezer euró értékben. Hollandia eddig több mint ezer figyelmeztetést küldött ki, és csupán egy esetben történt tényleges büntetés, ami viszont az egyik legnagyobb volt Európában, 600 ezer euró értékben.

A cég közleménye szerint a biztonságos adatkezelésre törekvő cégeknek az úgynevezett sandboxing megoldásokat kínálják. A sandboxing a gyakorlatban akkor lép működésbe, ha a tűzfal, vagy a fenyegetések kezelő eszköz nem biztos abban, hogy egy fájl teljesen biztonságos. Amennyiben úgy véli, hogy egy adat valamilyen rejtett, rosszindulatú kódot is tartalmazhat, akkor elhelyezi azt a felhőben található "homokozóban", megelőzve az esetleges gyors továbbterjedés és károkozás esélyét.

Ennek piacnak az értéke jelenleg 2,25 milliárd dollárra tehető, ami 2025-re várhatóan eléri a 6,6 milliárd dollárt. Ehhez jó eséllyel jelentősen hozzájárul a GDPR, ahogy a cégeknek többet kell költeniük, hogy az általuk kezelt adatokat jobban védelmezzék.