Hírek

Adatvédelmi körkép - Tapasztalatok a GDPR hatálybalépése óta

Idén lesz a 3. évfordulója, hogy hatályba lépett az általános adatvédelmi rendelet (GDPR). Cikkünkben röviden bemutatjuk, hogy mindez milyen változásokat hozott a vállalkozások életében és a hatóságok gyakorlatában.

I. A magánszemélyek tudatosságának növekedése

Az Európai Unió Ügynöksége az Alapjogokért (FRA) 2020 nyarán tette közzé kutatását, amely azt vizsgálta, hogy a magánszemélyek mennyire hajlandóak személyes adataikat megosztani, és hogyan alakult tudatosságuk az EU adatvédelmi keretrendszerében. A vizsgálat felmérte az adatok online megosztásával kapcsolatos fogyasztói szokásokat, értve ez alatt azt is, hogy a felhasználók mennyire értik és alkalmazzák az okostelefonok különböző adatvédelmi beállításait.

A felmérés szerint az EU tagállamaiban a válaszadók 69%-a hallott a GDPR-ról, míg a magyar válaszadók esetében ez az arány 56%. Az okostelefonok adatvédelmi beállításaival kapcsolatban a magyar válaszadók 53%-a válaszolta azt, hogy minden alkalmazás esetében ellenőrizni tudják azokat, 25% hogy csak néhány alkalmazás esetében, 18% nemleges választ adott, 4% pedig a „nem tudom” opciót jelölte meg.

Kétségtelen, hogy a felhasználók mára jóval tudatosabbá váltak, amelynek egyenes következménye, hogy az adatvédelmi előírásoknak való megfelelés a piaci szereplők versenyképességének egyik fontos szempontja; olyan tényező, amelyet a fogyasztók figyelembe vesznek a szolgáltatás kiválasztásakor, illetve, ha úgy vélik, hogy fennáll a személyes adataikkal való visszaélés lehetősége, nagyobb számban fordulnak a hatóság felé, mint korábban.

II. Hogyan hatott mindez a vállalkozások üzleti stratégiájára?

Az elmúlt néhány évben az adatvédelem a „nice to have” kategóriából kinőve magát egy üzletileg is megkerülhetetlen és elengedhetetlen szempont lett. Mivel az embereket egyre jobban érdekli, hogyan használják fel személyes adataikat, mára az adatvédelmet a vállalatok a márka megítélésnek fontos alkotóelemeként látják.

A Cisco Data Privacy Benchmark globális tanulmányról szóló riport, amely 2020-ban a szervezetek adatvédelmi felelősségvállalását és azt vizsgálta, hogy mennyivel nő a beszállító kiválasztásának esélye, ha GDPR tanúsítással rendelkezik, az alábbi következtetésekre jutott:

1. Azoknak a szervezeteknek a száma, amelyek úgy válaszoltak, hogy adatvédelmi befektetéseiknek köszönhetően jelentős üzleti előnyöket élveznek, meghaladta a 70%-ot. Ezeket az előnyöket a válaszadók a következőkben jelölték meg:

Értékesítési késedelmek csökkenése (67%)
Gyorsaság és innováció (71%)
Az adatvédelmi incidensekből származó veszteségek csökkentése (71%)
Működési hatékonyság javítása az adatellenőrzések által (72 %)
Vállalkozás vonzóbbá tétele a befektetők számára (73 %)
Az ügyfelek bizalmának és hűségének javítása (74%)

2. Az adatvédelmi befektetésekkel és hasznokkal kapcsolatos adatok összevetésével a CISCO becsléseket végzett a vállalatok adatvédelmi kiadásainak megtérüléséről.

Az összes válaszadó esetén a haszon / költség átlagos megtérülési aránya 2,7 volt, vagyis minden egyes befektetett dollárral a vállalat 2,7 dollár haszonra tett szert. A vállalatok közel fele (47%) úgy vélte, hogy a megtérülés több mint kétszerese a felmerült költségnek, harmaduk szerint az adatvédelmi befektetés összege és az elért haszon körülbelül egyforma, és csupán 8% -uk vélte úgy, hogy nem térültek meg adatvédelmi kiadásaik. Érdekesség, hogy a megtérülésben nincsenek jelentős különbségek a vállalatok nagysága alapján. A nagyobb cégek többet költenek, és több hasznot is realizálnak, de az előnyök és a kiadások aránya hasonló a nagy, közepes és kisvállalatok esetén is.

3. A vizsgált országok válaszadói kivétel nélkül az adatvédelmi elvárásoknak való megfelelés tanúsításának formáit, mint vásárlást befolyásoló tényező, kiemelten fontosnak értékelték. A szervezetek 82%-a nyilatkozott úgy, hogy az adatvédelmi tanúsítványok megléte – mint például az ISO 27701 – döntő jelentőségű pl. amikor terméket vagy szállítót választanak. Az adatok megerősítik, hogy a tanúsítványok megléte mindenképpen pozitív befektetés a vállalatok számára.

III. Az adatvédelmi hatóságok tevékenysége számokban, különös tekintettel a NAIH-ra

A GDPR Enforcement Tracker adatai alapján 2020 végéig az adatvédelmi hatóságok több, mint 250 millió euró, azaz mintegy 90 milliárd forint GDPR bírságot vetettek ki az Unió tagállamaiban. A 2019-2020 években pl. a francia adatvédelmi hatóság (CNIL) sújtotta rekordbírsággal a Google-t, aki nem minden alkalmazásához kért külön hozzájárulást, a hozzájárulás megadásánál néhány opció előre ki volt pipálva, a felhasználók böngészőiben az érintettek előzetes beleegyezése nélkül helyezett el reklámokkal kapcsolatos sütifájlokat és erről nem tájékoztatta megfelelően az internetezőket.

A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) oldalán elérhető döntések alapján a magyarországi büntetések összege 309,8 millió forint. A nyilvános adatok szerint a GDPR élesedése óta, itthon összesen 91 adatvédelmi vizsgálatot indítottak, amelyből 52 eset végződött bírsággal. Ezzel az eredménnyel Magyarország az uniós tagországok bírságolási gyakorlatának élmezőnyében jár. A legtöbb eljárás tárgya az érintetti jogok, a tájékoztatási kötelezettség, az adatvédelmi alapelvek és az adatbiztonság, valamint az adatvédelmi incidensek voltak, de a munkahelyi adatkezelés, a kamerás megfigyelés és az adattovábbítás kérdésével is több ízben foglalkozott a NAIH.

A magyar hatóság eddigi legmagasabb bírságai közé tartozik egy hírközlési szolgáltatóra adatvédelmi incidens miatt kiszabott 100 millió forintos adatvédelmi bírság a célhoz kötöttség és korlátozott tárolhatóság alapelveinek megsértése, valamint a kockázatokkal arányos technikai és szervezési intézkedések alkalmazásának elmulasztása miatt. Egy másik ügyben 60 millió forintos bírságot kapott az a vállalkozás, aki megfelelő jogalap és tájékoztatás hiányában, a GDPR alapelveit megsértve készített hangfelvételeket ügyfélszolgálati irodájában. Ebből is látható, hogy a GDPR kötelező alkalmazása óta a hatóság gyakorlatára nemcsak a fokozott ellenőrzés, de a magasabb bírságok kiszabása is jellemző.

Az ellenőrzés mellett azonban legalább annyira fontos a vállalkozások adatvédelmi tudatosságának növelése, amelyet a NAIH a STAR II. projekt keretében tűzött zászlajára annak megválaszolása végett, hogyan támogathatóak a mikro-, kis-, és középvállalkozások abban, hogy adatkezeléseik megfeleljenek az uniós adatvédelmi rendelet szabta követelményeknek és hogyan fordítható az adatvédelmi tudatosság versenyelőny elérésére a termékek és szolgáltatások nyújtása során.

Lépjen kapcsolatba szakértőinkkel!

Szöllősi Zoltán

Partner, Információbiztonsági szakértő

zszollosi@deloittece.com

Zoltán a Deloitte magyarországi IT Kockázat és Kontrol ill. Belső Ellenőrzési szolgáltatások üzletágát vezető partner. Zoltán több mint 19 éves tapasztalattal rendelkezik audit és tanácsadási projekte... Több

Könyvvizsgálat és könyvvizsgálati tanácsadás

Üzletviteli tanácsadás

Kockázatkezelési tanácsadás

Pénzügyi tanácsadás

Jogi tanácsadás

Adótanácsadás

Fogyasztói ágazat

Energia és energiahordozók

Pénzintézeti szektor

Állami szféra

Élettudományok és Egészségügy

Technológia, média és telekommunikáció

Agrár- és élelmiszeripar

Szolgáltató Központok

Összes iparági szektor

Karrier a Deloitte-nál

Pályakezdők, diákok

Tapasztalt munkavállalók

Élet a Deloitte-nál

Elismeréseink

Sokszínűség & Befogadás

Interjútippek

Őket ismerheted

Hatással vagyunk a jövőre

Ezért jó, ha nálunk dolgozol