GDPR hatásvizsgálat utáni pénzbírság


Először azt érdemes tisztázni, hogy mi az a GDPR - kezdte a magyarázatot Sándor Zsolt 

András a Gill & Murry Kft. ügyvezető partnere.   

Az európai unió 2016-ban egységes személyes adatok kezelésére vonatkozó rendeletet adott 

ki, melynek elvárásait 2018. május 25-től kezdődően minden tagállamban alkalmazni kell. 

Vannak még kérdések a rendelettel kapcsolatosan, jogászok és informatikusok nem értenek 

egyet a rendeletben megfogalmazott elvárások alkalmazhatóságával, de 2018. május 25-e 

egyre közelebb van. 


Tapasztalataink szerint - folytatta Sándor - vállalkozások nagy része nem hallott az 

adatkezelés új elvárásairól sőt az eddigi kötelezettségeket sem tartotta be. Magyarországon 

a jelenleg hatályos személyes adat kezelésére vonatkozó szabályozások is elég kemény 

elvárásokat támasztanak, de most az Európai Unió alkotott szabályozást a személyes adatok 

kezeléséről. Lex Google vagy Lex facebooknak is nevezhetnénk a rendeletet, mert 

ismereteim szerint az egyik fő motiváló elem az EU állampolgárok adatainak kezelésének 

felügyelete volt a jogalkotó szándéka.


A rendelet elvárásokat fogalmaz meg minden olyan szereplővel szemben, aki személyes 

adatot kezel, legyen az szállítói szerződésben megadott kapcsolattartó, vevői-, munkavállalói 

adatok, kórházi betegkarton vagy egy egyesületi névsor, de sorolhatnánk még sokáig.

Ennek következtében nemcsak a webáruházaknak kell adatkezelési szabályzatot, 

adatkezelési tájékoztatót készíteni, hanem minden szervezetnek, aki a GDPR rendelet 

hatálya alá tartozik legyen az állami-, gazdasági- vagy nonprofit szervezet vagy egy egyesület.


A legnagyobb kockázata mégis a KKV szektornak van, mert a nagyvállalatokhoz hasonlóan 

sok adatot kezelnek, de nem rendelkeznek olyan szervezeti üzleti folyamatokkal, jogi 

apparátussal és informatikai támogatással melyek segítségével a rendelkezésre álló rövid idő 

alatt képesek lennének a felkészülésre.

A rendelet elvárásainak történő megfeleléshez felül kell vizsgálni az eddigi adatbázisokat, az 

adatkezelési tájékoztatót, az adatkezelési szabályzatot, a belső adatkezelési folyamatokat, a 

személyes adat kezeléssel kapcsolatos ügyfél panaszkezelési és tiltakozási, valamint 

adatkérés eljárásaikat, webáruházak esetén a profil alkotást. Mindezeken felül meg kell 

vizsgálni az adatátadást más cégeknek (alvállalkozó), mindezeket dokumentálni kell. Az 

adatok kezelésének kockázatait fel kell mérni, dokumentálni azokat a tevékenységeket, 

amelyeket a kockázatok kezelésére tett a szervezet, adatkezelési hatásvizsgálatot kell 

végezni. Felül kell vizsgálni az alvállalkozói szerződéseket és meg kell határozni, hogy az 

alvállalkozóink milyen adatokat és milyen módon kezelhetnek.

A sok elvárás között nagyon könnyű hibázni.  A hatóság az első ellenőrzéseket valószínűleg 

nem a vele szemben nagy jogi apparátust felvonultatni képes nagyvállalatokkal kezdi majd, 

hanem a kis-, közepes vállalatok területén várhatjuk az első ellenőrzéseket.

A hatósági ellenőrzésen felül talán még nagyobb kockázatot jelent - tette hozzá Sándor Zsolt 

- az elégedetlen ügyfél, a konkurencia által bejelentett adatkezelés hiba melyet a 

hatóságnak kötelessége lesz kivizsgálni.


Sajnos valós kockázatot jelent a személyes adatok kezelésének elvárásainak nem 

teljesítéséből származó büntetés. 

Ma még nem tudjuk, hogy a hatóság milyen módon fogja arányítani a 6 milliárdos büntetési 

plafonhoz képest a legalsó büntetési tételt, de olyan számokról beszélünk melyek a legtöbb 

KKV-t azonnal csődközeli helyzetbe sodorhatja.