A GDPR rendelet 2016. április 27 óta hatályos, de csak 2018. május 25-től kell kötelezően alkalmazni. Mivel ma 2020 május 25-ét írunk, így az alábbiakban kigyűjtöttünk néhány érdekesebb számot, adatot ebből az elmúlt két évből…
Mintegy első összefoglalóként.
A büntetések
Az elmúlt két évben a mai nappal bezárólag a különböző nemzeti adatvédelmi hatóságok -harminc ország – összesen 278 döntést, határozatot hoztak a GDPR rendelet alapján.
(megj: itt lehetnek eltérések a különböző kimutatások között, mert még fellebbezések alatt is vannak határozatok, „bejelentések” és nem csak határozatok is vannak, nem minden hatóság kommunikál egyértelműen, stb.)
Érdekes különbségek vannak a hatósági aktivitást illetően:
Érdemes itt is felhívni a figyelmet az ír hatóságra, ahol a legtöbb amerikai (adatkezelő-adatfeldolgozó) multi európai székhelye található. Két év alatt egyetlen határozat, 2020 május 17-én, egy Tusla nevű cég ellen, 75.000 EUR értékben.
A bírságok méretét illetően is elég vegyes a kép.
A két legnagyobb tételt az Egyesült Királyság hatósága az ICO „szabta ki”, 204 millió EUR a British Airways, és 110 millió EUR a Marriott International ellen, de ezek egyike sem végleges, még csak „jelzett”.
Ezen kívül összesen kilenc (!) olyan határozat született az eddigi két év alatt, ahol a bírság összege meghaladta az egymillió EUR-t:
- Franciaország 50 000 000 € Google Inc.
- Olaszország 27 800 000 € TIM (telekommunikációs cég)
- Ausztria 18 000 000 € Osztrák Posta
- Németország 14 500 000 € Deutsche Wohnen SE
- Németország 9 550 000 € 1&1 Telecom GmbH
- Olaszország 8 500 000 € Eni Gas e Luce
- Svédország 7 000 000 € Google LLC
- Olaszország 3 000 000 € Eni Gas e Luce
- Bulgária 2 600 000 € Adóhatóság
Csak emlékeztető a büntetések felső határáról: „legfeljebb 20 000 000 EUR összegű közigazgatási bírsággal, illetve a vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4 %-át kitevő összeggel kell sújtani, azzal, hogy a kettő közül a magasabb összeget kell kiszabni”…
A hazai hatóság a NAIH évente ad ki beszámolót az előző évi tevékenységéről. A 2019-es naptári évre vonatkozó jelentésben szerepelnek a következő adatok:
DPO-k (adatvédelmi tisztviselők) száma
A NAIH jelentés 9. oldalán található:
ügykör |
2018 |
2019 |
DPO nyilvántartásba érkezett elektronikus bejelentések |
1.786 |
4.796 |
Azaz, a tavalyi év végéig összesen nagyjából 6582 DPO bejelentést kapott a hatóság.
Ez ennyi szervezet bejelentését jelenti.
Mivel a külsős adatvédelmi tisztviselők több helyen is vállalhatják ezt a feladatot, és a nyilvántartásból kiderül, hogy sokan akár több tíz szervezetnek (!?) (pl. önkormányzatnak) is dolgoznak, így az adatvédelmi tisztviselő személyek, szakértők száma ettől jóval kevesebb. Sok a belsős DPO is, aki feltehetően csak egy helyen lát el ilyen feladatokat, de a becslések szerint így is legfeljebb 3-4 ezer különböző „szakemberről” beszélhetünk. Az idézőjel a „kényszerkinevezettek”, a vállalati jogászok, vagy az ilyenkor szokásosan megjelenő szerencsevadászok kinevezése miatt van.
Magyarországon többszázezer kisebb-nagyobb, működő gazdálkodó szervezet van, és emellett még elég sok hatóság, önkormányzat, iskola, egészségügyi intézmény… stb. Nem tudni, hogy ezeknek a szervezetnek milyen aránya lenne köteles adatvédelmi tisztviselőt alkalmazni, mert „fő tevékenységei olyan adatkezelési műveleteket foglalnak magukban, amelyek jellegüknél, hatókörüknél és/vagy céljaiknál fogva az érintettek rendszeres és szisztematikus, nagymértékű megfigyelését teszik szükségessé”, de feltételezzük, hogy a fenti számoktól azért akár nagyságrenddel is több.
Hatósági szemlélet
A 2018-as hatósági jelentésben a „jog” szó, szótő 957 alkalommal szerepel, az „informatika” = 28 alkalommal.
A tavalyi évre vonatkozó, 2019-es hatósági jelentésben a „jog” már „csak” 786 alkalommal szerepel.
Az informatika 23 alkalommal.
A számítástechnika 8 alkalommal.
A „számítógép” szót NULLA alkalommal használta a jelentés.
A hatóság 2019. évi költségvetési beszámolójának 14. oldalán található adatok szerint a hatóság teljes létszáma 97 fő volt, ebből 59 jogász, és hét informatikus, ebből kettő vezető státuszban, és feltehetően még 2-3 a belsős, rendszergazdai-helpdesk munkákat ellátó kolléga. Azaz a külső ellenőrzési, felügyeleti, hatósági munkára fogható informatikusok száma elég alacsony lehet.
A felmerülő kérdés az, hogy ezek reális, életszerű, gyakorlat-orientált arányok? A GDPR a hatóság szerint kizárólag jogi kérdés??