A GDPR rendelet 2016. április 27 óta hatályos, de csak 2018. május 25-től kell kötelezően alkalmazni. Mivel ma 2020 május 25-ét írunk, így az alábbiakban kigyűjtöttünk néhány érdekesebb számot, adatot ebből az elmúlt két évből…

Mintegy első összefoglalóként.

A büntetések

Az elmúlt két évben a mai nappal bezárólag a különböző nemzeti adatvédelmi hatóságok -harminc ország – összesen 278 döntést, határozatot hoztak a GDPR rendelet alapján.

(megj: itt lehetnek eltérések a különböző kimutatások között, mert még fellebbezések alatt is vannak határozatok, „bejelentések” és nem csak határozatok is vannak, nem minden hatóság kommunikál egyértelműen, stb.)

Érdekes különbségek vannak a hatósági aktivitást illetően:

Érdemes itt is felhívni a figyelmet az ír hatóságra, ahol a legtöbb amerikai (adatkezelő-adatfeldolgozó) multi európai székhelye található. Két év alatt egyetlen határozat, 2020 május 17-én, egy Tusla nevű cég ellen, 75.000 EUR értékben.

A bírságok méretét illetően is elég vegyes a kép.

A két legnagyobb tételt az Egyesült Királyság hatósága az ICO „szabta ki”, 204 millió EUR a British Airways, és 110 millió EUR a Marriott International ellen, de ezek egyike sem végleges, még csak „jelzett”.

Ezen kívül összesen kilenc (!) olyan határozat született az eddigi két év alatt, ahol a bírság összege meghaladta az egymillió EUR-t:

  • Franciaország  50 000 000 €    Google Inc.
  • Olaszország     27 800 000 €    TIM (telekommunikációs cég)
  • Ausztria          18 000 000 €    Osztrák Posta
  • Németország   14 500 000 €    Deutsche Wohnen SE
  • Németország     9 550 000 €    1&1 Telecom GmbH
  • Olaszország       8 500 000 €    Eni Gas e Luce
  • Svédország        7 000 000 €    Google LLC
  • Olaszország       3 000 000 €    Eni Gas e Luce
  • Bulgária           2 600 000 €    Adóhatóság

Csak emlékeztető a büntetések felső határáról: „legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel kell sújtani, azzal, hogy a kettő közül a magasabb összeget kell kiszabni”

 

A hazai hatóság a NAIH évente ad ki beszámolót az előző évi tevékenységéről. A 2019-es naptári évre vonatkozó jelentésben szerepelnek a következő adatok: 

DPO-k (adatvédelmi tisztviselők) száma

A NAIH jelentés 9. oldalán található:

ügykör

2018

2019

DPO nyilvántartásba érkezett elektronikus bejelentések

1.786

4.796

Azaz, a tavalyi év végéig összesen nagyjából 6582 DPO bejelentést kapott a hatóság.

Ez ennyi szervezet bejelentését jelenti.

Mivel a külsős adatvédelmi tisztviselők több helyen is vállalhatják ezt a feladatot, és a nyilvántartásból kiderül, hogy sokan akár több tíz szervezetnek (!?) (pl. önkormányzatnak) is dolgoznak, így az adatvédelmi tisztviselő személyek, szakértők száma ettől jóval kevesebb. Sok a belsős DPO is, aki feltehetően csak egy helyen lát el ilyen feladatokat, de a becslések szerint így is legfeljebb 3-4 ezer különböző „szakemberről” beszélhetünk. Az idézőjel a „kényszerkinevezettek”, a vállalati jogászok, vagy az ilyenkor szokásosan megjelenő szerencsevadászok kinevezése miatt van.

Magyarországon többszázezer kisebb-nagyobb, működő gazdálkodó szervezet van, és emellett még elég sok hatóság, önkormányzat, iskola, egészségügyi intézmény… stb. Nem tudni, hogy ezeknek a szervezetnek milyen aránya lenne köteles adatvédelmi tisztviselőt alkalmazni, mert „fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé”, de feltételezzük, hogy a fenti számoktól azért akár nagyságrenddel is több.

Hatósági szemlélet

A 2018-as hatósági jelentésben a „jog” szó, szótő 957 alkalommal szerepel, az „informatika” = 28 alkalommal.

A tavalyi évre vonatkozó, 2019-es hatósági jelentésben a „jog” már „csak” 786 alkalommal szerepel.

Az informatika 23 alkalommal.

A számítástechnika 8 alkalommal.

A „számítógép” szót NULLA alkalommal használta a jelentés.

A hatóság 2019. évi költségvetési beszámolójának 14. oldalán található adatok szerint a hatóság teljes létszáma 97 fő volt, ebből 59 jogász, és hét informatikus, ebből kettő vezető státuszban, és feltehetően még 2-3 a belsős, rendszergazdai-helpdesk munkákat ellátó kolléga. Azaz a külső ellenőrzési, felügyeleti, hatósági munkára fogható informatikusok száma elég alacsony lehet.

A felmerülő kérdés az, hogy ezek reális, életszerű, gyakorlat-orientált arányok? A GDPR a hatóság szerint kizárólag jogi kérdés??