Mennyi a büntetés egy adatvédelmi incidens esetében?

adathalászat

Az adatvédelmi (GDPR) bírság kerete Magyarországon is uniós szinten van meghatározva. Súlyos jogsértésnél a plafon legfeljebb 20 millió euró, vagy – vállalkozás esetén – az előző évi világpiaci árbevétel 4 százaléka, amelyik a magasabb; kevésbé súlyos kategóriánál 10 millió euró vagy 2 százalék a felső határ. A bírság mindig egyedi mérlegeléssel dől el.

Mekkora bírságokra számíthatsz itthon?

  • A NAIH a bírság összegét az európai iránymutatások alapján számítja: mérlegelik a jogsértés súlyát és időtartamát, hogy gondatlan vagy szándékos volt-e, az érintettek számát, az adatok érzékenységét, a korábbi jogsértéseket, az együttműködést és az enyhítő lépéseket.
  • Friss hazai példa: a KRÉTA rendszer fejlesztőjét 2024-ben 110 millió forintra bírságolták adatbiztonsági hiányosságok és késedelmes incidenskezelés miatt.
  • Korábbi hazai rekordbírság kb. 250 millió forint nagyságrend volt egy átláthatatlan, AI-alapú adatkezelés ügyében.
  • Vannak kisebb, néhány milliós vagy akár százezres ügyek is; például a Forbes-ügyekben összesen nagyjából 4,5 millió forint bírság született.

Mi emeli vagy csökkenti a bírságot?

A GDPR 83. cikk (2) szerinti fő szempontok: a jogsértés természete, súlya és időtartama, a szándékosság vagy gondatlanság, az érintettek száma, az adatok jellege (különleges adatok különösen kockázatosak), a korábbi jogsértések, a hatósággal való együttműködés mértéke, valamint a kár enyhítésére tett lépések.

A bírságon túl: mennyibe kerülhet összességében?

Egy adatvédelmi incidens költsége nem áll meg a hatósági bírságnál. Tipikus tételek: üzletkiesés, észlelés és eskaláció költségei, forensics és helyreállítás, külső jogi és PR-támogatás, valamint az érintettek és partnerek értesítésének költsége. Nemzetközi felmérések szerint az átlagos összköltség incidensenként több millió dollár; a 2025-ös iparági riportok nagyságrendi átlaga kb. 4,4 millió USD körül mozog. Itthon a tényleges számla jellemzően alacsonyabb, de a költségstruktúra hasonló.

Kritikus határidő és kitettség

  • Bejelentési kötelezettség: 72 órán belül a NAIH felé. Ennek elmulasztása önmagában is súlyosbító tényező lehet.
  • Ha az érintettek jogaira nézve magas a kockázat, az érintetteket is tájékoztatni kell. Ez külön költség és reputációs kitettség.

 

adatszivárgás

 

A hatósági bírságtól függetlenül az érintettek kártérítést is követelhetnek (vagyoni és nem vagyoni kár). Az európai bírósági gyakorlat szerint tényleges kárt kell igazolni, de a nem vagyoni károkra nincs “küszöbérték”.

Mit jelent ez neked forintban?

  • Jogszabályi plafon: akár több milliárd forintos kitettség a 20 millió eurós/4 százalékos felső keret miatt.
  • Reális NAIH-gyakorlat: nagyobb ügyeknél tíz- vagy százmilliós bírság is előfordulhat (például 110 millió Ft a KRÉTA-ügyben; korábbi rekord ~250 millió Ft), kisebb ügyeknél néhány százezer–néhány millió Ft.
  • Teljes incidensköltség: a bírságon felül jelentős lehet az üzletkiesés, a helyreállítás és az értesítések költsége; nemzetközi átlag alapján ez könnyen meghaladhatja a hatósági bírságot.

De mit jelent ez a jogi kockázat a valóságban? Hogy lehet ellene védekezni? A Jogzóna összefoglalója szerint:

Mit tehet egy cég az incidensek megelőzésére?

Stratégia és keretrendszer

  • Válassz keretrendszert, és ahhoz igazítsd a házirendeket: NIST CSF 2.0 vagy ISO/IEC 27001:2022.
    Példa: jelöljetek ki kontrollgazdákat, és 90 napon belül készítsetek éves audittervet.

  • Készítsetek adatvagyon-leltárt és adatfolyam-térképet: mi, hol, meddig, ki fér hozzá.
    Példa: egy táblázat 6 oszloppal: adatfajta, cél, rendszer, tulajdonos, megőrzési idő, hozzáférők.

  • DPIA és jogalapok rendszeres felülvizsgálata magas kockázatú folyamatoknál.
    Példa: új termék indulásakor DPIA-checklist, Go/No-Go kapuval.

Gyakorlati technikai kontrollok (konkrét beállítás-ötletekkel)

  • Identitás és hozzáférés: SSO + kötelező MFA; legkisebb jogosultság elve; admin fiókok elkülönítése; negyedéves jogosultság-felülvizsgálat.
    Példa: automatikus riport a 90 napja nem használt jogosultságokról, majd tömeges visszavonás.

  • Végpontvédelem és naplózás: EDR a gépeken; központi naplógyűjtés; riasztás szokatlan belépésekre, tömeges exportokra, e-mail szabály-létrehozásra.
    Példa: riasztás, ha egy felhasználó 10 perc alatt 1000 fájlt tölt le.

  • Titkosítás: teljes lemeztitkosítás laptopokon; TLS minden szolgáltatáson; kulcs- és titokkezelés rotációval és naplózással.
    Példa: 6 havonta kötelező API-kulcs rotáció.

  • Frissítés és sebezhetőség-kezelés: automatikus patch; havi sérülékenység-szkennelés; negyedéves külső pentest kritikus rendszerekre.
    Példa: 14 napos SLA a magas kockázatú hibák javítására.

  • E-mail védelem: SPF, DKIM, DMARC fokozatosan p=reject-ig; melléklet-sandbox; BEC/phishing riasztások; tiltott automatikus továbbítás.
    Példa: külső feladót megjelölő [EXTERNAL] előtag és link-előnézet.

  • Biztonság a fejlesztésben: SAST, DAST, függőség-szkennelés és SBOM; titkok vaultban; staging és éles szétválasztása; kötelező code review.
    Példa: CI pipeline bukjon, ha keménykódolt jelszót észlel.

  • Mentés és helyreállítás: 3-2-1 szabály, offline vagy immutábilis másolat; havi visszaállítás-próba; RTO/RPO célértékek.
    Példa: minden hónap első péntekén próba-restore egy éles szerver snapshotból.

  • Eszközpark és DLP: MDM mobilokra; pendrive-szabály; érzékeny fájlok címkézése; vendéghálózat izolálása.
    Példa: USB csak titkosított céges pendrive-val engedélyezett, automatikus naplózással.

  • Hálózat és felhő: szegmentáció, Zero Trust elvek; WAF, rate limiting; felhős konfigurációk folyamatos ellenőrzése.
    Példa: külön szegmens a pénzügyi rendszereknek, csak jump hoston át érhető el.

Szerződések és beszállítói kockázat

  • Adatfeldolgozókkal adatfeldolgozói szerződés és minimum biztonsági követelmények; ha EU-n kívülre megy adat, szerződéses garanciák.
    Példa: kötelező MFA, titkosítás, 24 órás incidens-értesítési kötelezettség a szerződésben.

  • Éves beszállítói kockázatfelmérés és teszt incidens-esemény.
    Példa: tabletop gyakorlat a hírlevél-szolgáltatóval: ki, mikor, mit jelez vissza.

  • Jog az auditálásra és helyesbítési határidők.
    Példa: magas kockázatú hiányosságra 30 napos remediation plan.

Folyamatok és oktatás

  • Tudatosság: negyedéves, rövid, szerepkör-alapú tréning; rendszeres phishing szimulációk; vezetői security minute minden all-hands elején.
    Példa: 5 perces microlearning videók mérhető tudásellenőrzéssel.

  • Onboarding és offboarding: Joiner-Mover-Leaver folyamat; hozzáférések automatikus kiosztása és elvétele; eszközvisszavétel.
    Példa: kilépéskor 4 órán belül minden hozzáférés letiltása, laptop bevonása, e-mail átirányítás szabályozottan.

  • Adatkezelési szabályzatok: adatminimálás, osztályozás és megőrzési idők; érintetti kérelmek kezelési rendje; incidensjelentési csatornák.
    Példa: megőrzési mátrix, amely automatikus törlést indít 2 év inaktivitás után.

  • Fizikai biztonság: beléptető rendszer, vendégkártyák, iratmegsemmisítés, képernyőzár.
    Példa: tiszta asztal szabály 18:00 után ellenőrzéssel.

A fentieknek megfelelően nagyon sok cég készít 30-60-90 napos bevezetési ütemtervet is, konkrét tulajdonosokkal, mérőszámokkal és sablonokkal.

Legújabb cikkeink

Revolt Bank

Revolut megkapta a magyar engedélyt: mit jelent ez neked?
adathalászat

Mennyi a büntetés egy adatvédelmi incidens esetében?
Inkubátor programok – Mi az és kinek jó?

Inkubátor programok – Mi az és kinek jó?
Első millióm
Powered by  GDPR Cookie Compliance
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.