GDPR: elfogyott a lendület

​Továbbra is sok még a teendő az adatvédelmi megfelelőség terén. A vállalkozások kezdeti lendülete megtört, miközben az incidensek száma emelkedik.
 

Több mint három éve élesedett a GDPR. A vállalkozások tartva a kilátásba helyezett bírság extrém magas összegétől, nagy lendülettel igyekeztek megfelelni a szabályoknak, ám az elmúlt időszakban mintha ez a tendencia alább hagyott volna. Az adatvédelmi keretrendszer szabályozásában vannak még hiányosságok, miközben egy-egy adatvédelmi incidens komoly anyagi-, és presztízsveszteséggel jár. Vajon mennyire érettek most a vállalkozások adatvédelmi szempontból?
 
Ha megnézzük az elmúlt három év mérlegét, 100 millió eurós bírságot kapott a francia adatvédelmi hatóságtól a Google, miután a keresőóriás a felhasználók előzetes beleegyezése nélkül helyezett el reklámokkal kapcsolatos sütifájlokat, és erről nem megfelelően tájékoztatta ügyfeleit. A British Airways légitársaságnak 20 millió fontjába került, hogy egy kibertámadás elkövetői több százezer ügyfeladathoz fértek hozzá. Adatvédelmi incidens miatt 100, az ügyfélszolgálati irodán készített hangfelvételek miatt pedig 60 millió forintot kellett fizetnie két magyar cégnek, miután a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) eljárást indított ellenük.
 
A tavalyi év legnagyobb visszhangot kiváltó, komoly bírságokkal záruló adatvédelmi ügyei is mutatják, hogy a GDPR 2018-as hatálybalépése óta még a legnagyobb vállalkozások sem tudtak teljes körűen megfelelni a rendelet előírásainak. A Deloitte Magyarország ezért felmérést készített arról, hogy megvizsgálja, vajon a vállalkozások mennyire érettek adatvédelmi szempontból. A felmérés tapasztalatai szerint az adatvédelmi keretrendszerben, a jogi-, és IT kontrollok területén is sok még a hiányosság.
 
„A vállalkozások nehezen követik le az adatvédelemmel kapcsolatos szabályok változását. A GDPR-ral összefüggő vállalati szabályozások ugyan kialakultak, de a gyakorlatban nem működnek megfelelően. Az adatvédelmi keretrendszer statikus, és a rendszeres felülvizsgálata elmarad” - nyilatkozta Dr. Kustos Petra, a Deloitte Legal adatvédelmi csoportvezetője.
 
A szakember szerint az adatvédelmi előírásoknak való megfelelés befolyásolja a vállalkozások versenyképességét, hiszen a beszállítók kiválasztásánál ma már az is szempont, hogyan kezelik a személyes adatokat.
 
Van segítség
 
Az Európai Unió támogatásával működő STAR II projekt pont azt a célt szolgálja, hogy mind a kis-, és középvállalkozások, mind az adatvédelmi hatóságok támogatást kapjanak figyelemfelhívó kampányok, hotline információs vonalak és egyéb megoldások segítségével a GDPR megfelelésének javítására.
 
Az adatvédelmi szabályok betartása azért is rendkívül fontos, mert egy adatvédelmi incidens sokba kerülhet a vállalkozások számára - hívta fel a figyelmet Szöllősi Zoltán, a Deloitte IT kockázatkezelési üzletágának igazgatója. Az incidensek globális átlagos összköltsége 2020-ban 3,86 millió dollár volt egy erről szóló IBM felmérés szerint. A megfelelő válaszintézkedések komoly emberi és anyagi erőforrásokat, valamint időbeni ráfordítást igényelnek. Egy-egy adatvédelmi incidens azonosítására és kezelésére átlagosan 280 nap szükséges, ráadásul a költségek 39 százaléka az incidens után több, mint egy évvel keletkezik. A legnagyobb károkat azonban a reputációs veszteségek elszenvedése jelenti: a válaszadók harmadánál komolyan sérült a cégük hírneve adatvédelmi incidens miatt.