NAIH

GDPR egyszerűen: amit minden cégvezetőnek tudnia kell az adatvédelmi szabályozásról

ápr 9, 2026 | Adatbiztonsági cikkek, hírek

GDPR megfelelőség cégvezetőknek – adatvédelmi kötelezettségek üzleti szemmel

GDPR egyszerűen: amit minden cégvezetőnek tudnia kell az adatvédelmi szabályozásról

A GDPR (General Data Protection Regulation, azaz az EU általános adatvédelmi rendelete) 2018. május 25. óta kötelező érvényű minden olyan szervezetre, amely az Európai Unióban személyes adatokat kezel. A rendelet nem pusztán adminisztratív terhet jelent: kötelezi a cégeket arra, hogy minden adatkezelési tevékenységüket jogalaphoz kössék, az érintett személyek jogait betartsák, és a megfelelőségüket bizonyítani is tudják. A Data Destroy Kft. kifejezetten azzal foglalkozik, hogy segítse a vállalkozásokat az adathordozók biztonságos törlésében és megsemmisítésében, amelyek a GDPR-megfelelőség kritikus, de sokszor elhanyagolt elemei.
Legfontosabb megállapítások:

  • A GDPR minden EU-ban működő, illetve EU-s érintetteket kiszolgáló szervezetre kötelező, mérettől és iparágtól függetlenül — a meg nem felelés akár az éves globális árbevétel 4%-áig terjedő bírsággal járhat.
  • Az „accountability” (elszámoltathatóság) elve szerint nem elég megfelelni a szabályoknak — a cégnek azt is bizonyítania kell, hogy valóban megfelel.
  • A személyes adatokat tartalmazó IT eszközök leselejtezése és az adatok visszaállíthatatlan törlése ugyanolyan GDPR-kötelezettség, mint az adatgyűjtés jogalapjának megléte.

Mi az a GDPR és miért érint minden céget?

A GDPR (General Data Protection Regulation) az Európai Unió 2016-ban elfogadott, 2018. május 25-én hatályba lépett adatvédelmi rendelete. Célja, hogy egységes és kötelező érvényű keretet adjon a személyes adatok kezeléséhez az egész EU-ban. Fontos: nem irányelvről, hanem rendeletről van szó, ami azt jelenti, hogy tagállami jogalkotás nélkül, közvetlenül kötelező minden EU-s tagállamban.

A rendelet hatálya minden személyes adatot kezelő szervezetre kiterjed — a mérettől, iparágtól és jogi formától függetlenül. Vonatkozik Önre, ha:

  • munkavállalók, ügyfelek, partnerek vagy látogatók adatait kezeli;
  • EU-ban működik az Ön cége, vagy EU-s érintetteknek kínál terméket, szolgáltatást;
  • bármilyen formában tárol, elemez, továbbít vagy töröl személyes adatot — legyen az papíron, szerveren, laptopban, CRM-rendszerben vagy e-mailben.

A személyes adat tágabb fogalom, mint gondolná: nem csak az ügyfelek neve és e-mail-címe, hanem az IP-cím, a kamerafelvételek, az alkalmazottak teljesítményadatai, az orvosi információk, de akár a cookie-azonosítók is személyes adatnak minősülhetnek.

Az adatvédelem hét alapelve — cégvezetői olvasatban

A GDPR hét alapelvet rögzít, amelyeket minden adatkezelési tevékenységnél be kell tartani. Az EU adatvédelmi rendelet teljes szövege részletesen meghatározza ezeket, de cégvezetőknek az alábbi egyszerűsített olvasat a lényeg:

  1. Jogszerűség, tisztességesség, átláthatóság — az adatkezelésnek jogalapja kell legyen, és az érintetteknek tudniuk kell róla.
  2. Célhoz kötöttség — az adatot csak arra a célra szabad felhasználni, amire gyűjtötték.
  3. Adattakarékosság — csak annyi és olyan adat gyűjthető, amennyi feltétlenül szükséges.
  4. Pontosság — a tárolt adatoknak naprakésznek és pontosnak kell lenniük.
  5. Korlátozott tárolhatóság — az adatot nem lehet örökre megőrizni; ha már nincs szükség rá, törölni kell.
  6. Integritás és bizalmas jelleg — megfelelő biztonsági intézkedésekkel kell az adatot védeni.
  7. Elszámoltathatóság — az adatkezelőnek nem csak be kell tartania ezeket az elveket, hanem bizonyítania is kell, hogy betartja.

Ez az utolsó pont — az elszámoltathatóság — az, ami a legtöbb cégnek fejtörést okoz. Nem elegendő pusztán helyesen eljárni — dokumentálni is kell.

Ki az adatkezelő és ki az adatfeldolgozó?

A GDPR két kulcsfogalmat különböztet meg: adatkezelő és adatfeldolgozó.

Az adatkezelő az, aki meghatározza, miért és hogyan kezeli az adatot. Ez általában maga a vállalkozás. Az adatkezelőt terheli az elsődleges felelősség a GDPR-megfelelőségért.

Az adatfeldolgozó az, aki az adatkezelő megbízásából, az ő utasításai alapján végez adatkezelési tevékenységet (pl. egy felhőszolgáltató, bérszámfejtő cég, IT-partner). Az adatfeldolgozóval kötelező írásbeli adatfeldolgozói szerződést kötni, amelyben rögzítik a kötelezettségeket.

Cégvezetői szempont: ha külső partnerre bízza az adatok kezelését, feldolgozását — akár csak egy HR-szoftver üzemeltetőjéről van szó —, az nem mentesít a felelősség alól. Az adatkezelő felelős marad azért, hogy a partner is megfelelően jár el.

Mire adhat jogalapot az adatkezelés?

A GDPR hat jogalapot ismer:

  • Hozzájárulás — az érintett egyértelműen beleegyezik (pl. hírlevél-feliratkozás).
  • Szerződés — az adat kezelése szükséges egy szerződés teljesítéséhez (pl. szállítási cím a rendeléshez).
  • Jogi kötelezettség — törvény írja elő az adatkezelést (pl. számviteli nyilvántartás).
  • Létfontosságú érdek — az érintett élete vagy testi épsége forog kockán.
  • Közhatalmi feladat ellátása — állami vagy közérdekű feladat.
  • Jogos érdek — az adatkezelőnek vagy harmadik félnek jogos érdeke fűződik az adatkezeléshez, és ez az érintett jogait nem sérti aránytalanul.

A hozzájárulás bizonyos esetekben egyszerűnek tűnik, de a GDPR szigorú feltételeket támaszt: önkéntesnek, egyértelműnek, tájékozottnak és visszavonhatónak kell lennie. Sok cég — különösen e-kereskedelemben — emiatt inkább a jogos érdeket vagy a szerződéses jogalapot használja.

Az érintett személyek jogai — amit a cégnek biztosítania kell

A GDPR számos alanyi jogot biztosít az érintetteknek (munkavállalóknak, ügyfeleknek, partnereknek). A vállalati szempontból leggyakrabban alkalmazott — és leginkább félreértett — jogok a következők:

  • Tájékoztatáshoz való jog — az érintett jogosult megtudni, hogy a cég mit kezel róla és miért.
  • Hozzáférési jog — az érintett kérheti az adatai másolatát.
  • Helyesbítési jog — kérheti a pontatlan adatok javítását.
  • Törlési jog („az elfeledtetéshez való jog”) — bizonyos feltételek mellett kérheti adatai törlését.
  • Adathordozhatóság — kérheti az adatait géppel olvasható formátumban.
  • Tiltakozáshoz való jog — tiltakozhat az adatkezelés ellen, különösen közvetlen üzletszerzésnél.

Cégvezetői szempont: ezekre a kérelmekre főszabályként 1 hónapon belül válaszolni kell — indokolt esetben ez további 2 hónappal meghosszabbítható, de az érintettet erről értesíteni kell. Ha a szervezetnek nincs erre belső folyamata, az maga is megfelelőségi hiányosság.

Adatbiztonság a GDPR szemszögéből: nemcsak a hackertámadás számít

Sokan az adatbiztonságot kizárólag kibertámadásokkal azonosítják. A GDPR ennél tágabb: minden olyan esemény adatvédelmi incidensnek minősül, amelynek következtében személyes adatokhoz jogosulatlanul hozzáférnek, azokat elveszítik, megsemmisítik vagy megváltoztatják.

Az incidenseket a Nemzeti Adatvédelmi és Információszabadság Hatóságnak (NAIH) főszabályként 72 órán belül be kell jelenteni — kivéve, ha az incidens valószínűsíthetően nem jár kockázattal az érintett személyekre nézve. Ha a kockázat magas, az érintetteket is értesíteni kell.

Az adatbiztonság kötelezettségei kiterjednek arra is, ahogyan a cég az eszközök életciklusát kezeli. Egy visszavett laptop, egy kicserélt szerver, egy eladásra szánt telefon — ha ezeken személyes adatok maradnak, az adatvédelmi incidenst jelenthet. A NAIH egyik állásfoglalása egyértelműen kimondja: az adattörlés akkor érvényes, ha az adat visszaállítása többé nem lehetséges.

Az elszámoltathatóság elve: nem elég „megfelelőnek lenni”

A GDPR leginkább félreértett, mégis legfontosabb elve az elszámoltathatóság (accountability). Ez azt jelenti: nem elég, ha a cég valóban betartja a szabályokat — bizonyítania is kell ezt.

A bizonyítás eszközei lehetnek:

  • adatkezelési tevékenységek nyilvántartása (GDPR 30. cikk szerinti nyilvántartás);
  • adatvédelmi szabályzatok és eljárásrendek;
  • munkavállalók képzési dokumentációja;
  • adatfeldolgozói szerződések;
  • adatvédelmi hatásvizsgálatok (DPIA) kockázatos adatkezeléseknél;
  • adattörlési és megsemmisítési igazolások.

Ez utóbbi különösen fontos az IT eszközök leselejtezésénél. Egy törlési tanúsítvány vagy megsemmisítési jegyzőkönyv nemcsak a folyamat dokumentálása — ez a GDPR-elszámoltathatóság egyik kézzel fogható bizonyítéka.

Szankciók: mennyibe kerülhet a meg nem felelés?

A GDPR kétfokozatú bírságrendszert vezet be:

  • Enyhébb jogsértések (pl. adatfeldolgozói szerződés hiánya, nyilvántartás elmulasztása): az éves globális árbevétel 2%-a, vagy legfeljebb 10 millió euró — a kettő közül a magasabb összeg.
  • Súlyosabb jogsértések (pl. jogtalan adatkezelés, az érintett jogainak megsértése, tiltott adattovábbítás harmadik országba): az éves globális árbevétel 4%-a, vagy legfeljebb 20 millió euró — a kettő közül a magasabb összeg.

A NAIH Magyarországon a hatóság, amely vizsgálatot indíthat, bírságot szabhat ki és kötelező intézkedéseket rendelhet el. A hatóság eljárása nemcsak panasz alapján indulhat — saját kezdeményezésére is végezhet vizsgálatot.

Cégvezetői szempont: a bírságösszegnél talán fontosabb a reputációs kár. Egy nyilvánossá vált adatvédelmi incidens vagy hatósági eljárás az ügyfelekkel, partnerekkel szembeni bizalmat rombolja.

Hogyan érdemes hozzáfogni?

A GDPR-megfelelőség nem egyszeri projekt, hanem folyamatos működési szint. A legtöbb kisebb és közepes vállalat számára a következő lépések adják a helyes kiindulást:

  1. Adatkezelési térkép: Mit kezel a cég, honnan jön, hol tárolódik, ki fér hozzá, mennyi ideig marad?
  2. Jogalapok ellenőrzése: Minden adatkezelési tevékenységnek van-e érvényes jogalapja?
  3. GDPR 30. cikk szerinti nyilvántartás: Főszabályként kötelező minden 250 főnél több alkalmazottat foglalkoztató szervezetnek, de 250 fő alatt is előírás, ha az adatkezelés nem alkalmi jellegű, különleges adatkategóriákat érint, vagy kockázatot jelent az érintettekre — a gyakorlatban ez az esetek nagy részére vonatkozik.
  4. Adatfeldolgozói szerződések: Minden külső partnerrel megkötve?
  5. Érintetti kérelmek kezelési folyamata: Ki kezeli, milyen határidővel, milyen nyilvántartással?
  6. IT eszközök életciklus-kezelése: A selejtezés, adattörlés és megsemmisítés dokumentált, igazolható folyamat?

Ez az utolsó pont az, amellyel sok vállalat meglepően keveset foglalkozik — pedig egy ellenőrzésnél vagy incidens után éppen ez az a pont, ahol a hiány a legkönnyebben megállapítható és a legdrágábban bizonyítható be.

Gyakori kérdések

Ki köteles betartani a GDPR-t?

Minden szervezet, amely természetes személyek személyes adatait kezeli az Európai Unióban — mérettől, iparágtól és jogi formától függetlenül. Egy egyéni vállalkozó, egy kkv és egy multinacionális cég egyaránt hatálya alá esik.

Mi számít „személyes adatnak” a GDPR szerint?

Minden olyan információ, amely alapján egy természetes személy azonosítható vagy azonosítható lehet — beleértve a nevet, e-mail-címet, telefonszámot, IP-címet, GPS-adatot, cookie-azonosítót, sőt bizonyos esetekben a munkahelyi teljesítményadatokat is.

Mikor kell adatvédelmi tisztviselőt (DPO) kinevezni?

Kötelező DPO-t kinevezni, ha a cég közhatalmi szerv, vagy ha alapvető tevékenységként rendszeres és szisztematikus megfigyelést végez nagy léptékben, illetve különleges adatkategóriákat (egészségügyi, büntetőjogi, stb.) kezel nagy léptékben.

Mennyi ideig lehet személyes adatokat tárolni?

Csak addig, amíg az adatkezelési cél fennáll, vagy amíg jogszabály kötelezővé teszi a megőrzést. Utána az adatokat törölni kell — olyan módon, hogy visszaállításuk ne legyen lehetséges.

Mi történik, ha a cég egy laptopot adattörlés nélkül ad tovább?

Ez adatvédelmi incidensnek minősülhet, amelyet 72 órán belül be kell jelenteni a NAIH-nak — ha az incidens kockázatot jelent az érintettekre. Az igazolható, visszaállíthatatlan adattörlés elmaradása közvetlen GDPR-jogsértés.

Hogyan bizonyítható, hogy a cég megfelelően törölte az adatokat?

Tanúsított adattörlési módszerrel (pl. Blancco-szoftveres törlés) vagy fizikai megsemmisítéssel, amelyről írásos igazolás, megsemmisítési jegyzőkönyv vagy törlési tanúsítvány készül.

Elégedetlen volt az ügyfél az ügyfélelégedettségi felmérés GDPR megsértése miatt

dec 20, 2021 | Adatbiztonsági cikkek, hírek

Csak ötmillió forintos bírságról van szó a NAIH október végén közzétett határozatában, ámde látszik, hogy az ügyfélelégedettséggel kapcsolatos adatkezelésnél is figyelni kell a GDPR betartására.

Citroen 2cv gebfc3fe01

A kép csak illusztráció. Forrás: pixabay.com

 

Az ügy röviden arról szól, hogy a Nemzeti Adatvédelmi és Információszabadság Hatósághoz (NAIH) forduló fogyasztó egy szervíznél megvizsgáltatta vagy megjavíttatta autóját. A szervíz elkérte e-mail címét is. Erre az e-mail címre 2021 elején kéretlen e-mail kapott az autó importőrétől, amiben arra kérték, hogy a szervíznél tett látogatásával kapcsolatban töltsön ki egy elégedettségi kérdőívet.

A február 12-én érkezett levélre nem reagált a fogyasztó, így az importőr újból küldött egy második kéretlen levelet február 19-én, amelyben ismételten megkérték, hogy töltse ki az elégedettségi kérdőívet.

Minőségi munkát vártak el

Amint az a hatóság határozatából kiderült, a szervíz és az adott autó importőre között olyan szerződés létezett, melynek értelmében a szervíz csakis minőségi munkát végezhet. Az elvégzett munka minőségét pedig csak úgy tudta megállapítani az importőr, ha megkérdezi az ügyfeleket.

Vagyis a szervizt kötelezte az importőr, hogy az ügyfél adatokat továbbítsa számára. A két fél közötti szerződés másik fontos pontja az volt, hogy az importőr kikötötte, a szerződés egyoldalúan felmondhatja, ha az ügyfélelégedettség nem az általa meghatározott, megfelelő szintű.

Az autó márkájáról és a szervízről nem árultak el adatokat, a határozatból kiderült, hogy francia márkáról van szó, vagyis Citroen, Dacia, Peugeot vagy Renault szervízről és importőrről beszélünk. (Képünk csak illusztráció.)

Autó alvázszámra semmi szükség

Ezzel eddig minden rendben. Azonban problémás, hogy az importőr számára a szervizeléshez köthető személyes adatokat személyhez köthetően továbbították, az ügyfélelégedettség méréséhez és az ügyfélkapcsolatok javításához az ügyfélazonosításra szükségük van.

Még az autó alvázszámát is feltüntették a felmérésre felkérő levélben, amire semmi szükség sem lett volna – hányan ismerjük kívülről saját autónk alvázszámát?

Azt is kifogásolták, hogy az e-mailben nem volt semmilyen információ arra vonatkozóan, hogy a személyes adatok forrása mi volt, és ki milyen jogalappal kezeli az ügyfél személyes adatait. Emiatt az ügyfél nem tudta gyakorolni érintetti jogait, tájékoztatást sem tudott kérni az importőrtől. Az adatfeldolgozó adatkezeléssel kapcsolatos tájékoztatását sem találhatták az e-mailben.

A NAIH az ötmillió forintos bírság meghatározásánál figyelembe vette, hogy:

–  az importőr nem megfelelően tájékoztatta az ügyfeleket

– megsértette a GDPR alapelveit

– az érintett nem tudott tiltakozni előre az adatkezeléssel szemben, mert azt nem is láthatta előre.

Az importőrnek jogos érdeke volt az ügyfelek véleményét kikérdezni, de ez a jogos alap a többi feltételtől (megfelelő tájékoztatás és ebből adódóan az érintett joggyakorlásának képessége) függetlenül nem lehet érvényes. Ugyanakkor ez a jogos érdek nem jelent jogalapot az adatok kezelésére.

A NAIH teljes határozata itt olvasható el.