Eva Csomor
Vice President
2018 májusa óta sok cégvezetőnek, marketingesnek, vállalati jogásznak és adatvédelmi szakembernek okoznak komoly fejtörést az általános adatvédelmi rendelet (GDPR) szigorú szabályai. Tegyük a kezünket a szívünkre, és valljuk meg magunknak őszintén, hogy az egyébként a fogyasztók érdekeit szolgáló szabályozás révén milyen üzleti lehetőségekről kellett lemondanunk, vagy bizonyos akcióknak neki sem láttunk a kockázatok miatt. Pedig az „inkább nem csináljuk” hozzáállás helyett létezik más megoldás a kockázatok ésszerű csökkentésére.
Az általános adatvédelmi rendelet megsértéséért 2018 óta kiszabott büntetésekről készített tanulmányt az Atlas VPN. A GDPR bírság európai szinten 2021-ben már meghaladta az 1 milliárd eurót. A tanulmány adatai azt mutatják, hogy az illetékes hazai adatvédelmi hatóság nemzetközi összehasonlításban sok szabálytalanságot talált. Az esetszámokat tekintve a negyedik helyen állunk az európai országok listáján. Márpedig pozíciónk ebben a rangsorban nem előkelő helyezést mutat, hiszen a rendelet 2018-as bevezetése óta a negyedik legtöbb szabálytalanságot Magyarország tárta fel, szám szerint 45 esetet.
Bár Magyarországon az esetek száma jelentős, de a kiszabott bírság összegében több olyan ország is megelőz bennünket egyelőre, ahol az esetszámok alacsonyabbak. Luxemburgban az Amazonra rekord összegű, 746 millió euró, míg a Facebookot is birtokló vállalatra, a Meta-ra Írországban 225 millió euró összegű bírságot szabtak ki. Az itthon is jól ismert H&M Németországban 35 millió eurót meghaladó bírságot kapott. A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) hazánkban rekord összegnek számító 100 millió forintra büntette a Digit még 2020-ban, miután nagyszámú ügyféladatot tartalmazó adatbázisaik megszerezhetővé váltak.
Persze hazai viszonylatban a 45 szabálysértésre eső 828 183 Euró (közel 300 millió forint) sem elhanyagolható. Főleg, ha tisztában vagyunk azzal, hogy a GDPR vétség kapcsán kiszabható maximális bírság 20 millió euró, vagy a vállalkozás előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-a. Tehát nemzetközi cégcsoport esetén nem a hazai leányvállalat, hanem a cégcsoport összbevétele szolgál alapul. Így a bírság extrém gazdasági fenyegetettséget jelent. Nem is beszélve egy GDPR incidens kapcsán keletkező reputációs kockázatról, valamint a közvetlenül vagy közvetve felmerülő költségekről.
2018 tavaszán minden előrelátó gazdasági vállalkozás jelentős erőforrásokat mozgósított, hogy tevékenységét, adatbázisait stb. GDPR konformmá tegye. Korábban írtunk már a 2021 tavaszán az UNIX Kft-t ért zsarolóvírus formájában megnyilvánuló kibertámadásról. Ilyen esetben persze mindent meg kell tenni a zsarolóvírus eltávolítása érdekében. De még fontosabb, hogy előzetesen felkészüljünk a zsarolóvírus elleni védelemre. A legkörültekintőbb felkészülés és üzletmenet mellett is maradhattak azonban olyan adatvédelmi kockázatok, melyek bekövetkezési valószínűsége magas. Az informatikai háttér sebezhetőségéből adódó esemény vagy egy emberi mulasztás is okozhat olyan problémát, ami GDPR incidenshez vezet. Mivel ezeket százszázalékos biztonsággal nem lehet megelőzni, ezért érdemes más módon lefedni őket. Erre kínál megoldást az adatvédelmi felelősségbiztosítás, vagy rövid nevén GDPR biztosítás.
Ha a fentiek alapján arra az elhatározásra jutunk, hogy GDPR biztosításra van szükségünk, akkor fontos tudni, hogy azt megköthetjük önálló adatvédelmi felelősségbiztosítás formájában, vagy komplex cyber biztosítás - magyarul kiberbiztosítás - részeként is elérhető ez a fedezet. A GDPR felelősségbiztosítás kizárólag ezt a nevesített kockázatot kezeli, míg a cyber biztosítás kiberbiztonsági szempontból sokkal összetettebb és szélesebb körű védelmet jelent, ami kiterjed a vállalkozást vagy intézményt fenyegető nem pusztán adatvédelmi jellegű kiberfenyegetésekre is.
A szerzők, Orbán Éva és Németh Csaba, a Marsh Kft. cyber biztosítási szakértői.
Vice President
Vice President, Corporate Client Practice
Hungary