Egy évvel az Európai Unió új, általános adatvédelmi rendeletének, a GDPR-nak a bevezetése után az érintett cégek még mindig kevesebb, mint fele véli úgy, hogy megfelel az előírásoknak, minden ötödik vállalat pedig úgy látja, hogy ez nem is lehetséges – többek között ez derül ki az EY és az International Association of Privacy Professionals több mint ötszáz biztonságtechnikai szakértő bevonásával készített nemzetközi kutatásából.

A GDPR bevezetését ugyan komoly előkészítési folyamat előzte meg, az új elvek adaptálása ennek ellenére tulajdonképpen mindenki számára nagyon nagy kihívást jelentett. A rendelet célja az volt, hogy a cégek és egyéb szervezetek helyes adatkezelési gyakorlatot vezessenek be, és az uniós állampolgárok adatai így biztonságban legyenek. Az érintettek szerint azonban a jogalkotók helyenként túllőttek a célon, és olyan elvárásokat fogalmaztak meg, amit nem tud mindenki megugrani.

Ehhez persze kellett az is, hogy a vállalkozások jelentős része komoly késéssel, a bevezetést követően, vagy csak röviddel az előtt reagáljon az új rendelet érkezésére. Mindenesetre a már idézett kutatás szerint mostanra a cégek többsége felismerte a GDPR jelentőségét és komplexitását. A megkérdezett társaságok közel nyolcvan százaléka nyilatkozott úgy, hogy képezte alkalmazottjait és több mint felük növelte az adatvédelmi költségvetését, vett fel új embereket erre a területre, és költött a technológia fejlesztésére is.

Ennek ellenére a cégeknek mindössze 44 százaléka vélekedett úgy, hogy mostanra teljesen megfelel az elvárásoknak, közel felük mondta azt, hogy nagyjából elégedett az elért eredményekkel, 7 százalékuk viszont egyáltalán nem tudja teljesíteni az előírásokat.

Mindez azért probléma, mert aki nem tartja be a szabályokat, nagyon komoly bírságra számíthat: a büntetés elérheti a 20 millió eurót, vagy az érintett vállalat éves bevételeinek 4 százalékát, ha utóbbi a több. A hatóságok pedig egy cseppet sem elnézők: szűk egy évvel az adatvédelmi rendelet életbelépése után már el is kezdték osztogatni a kifejezetten súlyos bírságokat.

A British Airways brit légitársaságot például több mint 180 millió fontra, azaz jelenlegi árfolyamon 66 milliárd forintra büntették egy kibertámadás miatt, aminek eredményeként félmillió utas adatai kerülhettek illetéktelenek kezébe. A hekkerek a vállalat honlapját feltörték, és az azt felkereső felhasználókat egy másik, hamis honlapra irányították át, így szerezték meg adataikat.

Néhány nappal később a világ egyik legnagyobb szállodaláncának, a Marriotnak is hatalmas bírság kiszabását javasolta az illetékes hatóság – náluk szintén egy hekkertámadás során több mint 300 millió vendég adatait lophatták el.

Magyarországon hasonló gigabírságra egyelőre nem volt példa, de a Nemzeti Adatvédelmi és Információszabadság Hatóság itthon is több mint ezer ügyben vizsgálódik.

2019. július 30.

Olvastad már?