A „betartható szabály" és a „kiszámítható alkalmazás" két külön dolog — és a köztük lévő rés az, ahol a magyar KKV-k a legtöbbet veszítenek. A NAIH 2024-ben 335 millió forint adatvédelmi bírságot szabott ki, a NIS2-audit határideje pedig 2026. június 30. Ez a cikk megmutatja, hol a rés, mennyibe kerül, és mit tehetsz ellene a héten.

Betartható ≠ kiszámítható: a mérlegelési tér, amiről a cégvezetők megfeledkeznek

A legtöbb cégvezető úgy gondol a megfelelésre, mint igen/nem kérdésre: betartottam a szabályt, vagy nem. A valóság kellemetlenebb. A „betartható szabály" és a „kiszámítható alkalmazás" két külön dolog — és a köztük lévő rés az, ahol a magyar KKV-k a legtöbbet veszítenek. Ez a cikk megmutatja, hol a rés, mennyibe kerül, és mit tehetsz ellene a héten.

Két cég, ugyanaz a szabály, más sors

Képzelj el két hasonló méretű céget. Mindkettő ugyanazt a GDPR-előírást követi, ugyanúgy kezeli az ügyféladatokat. Az egyiknél évekig nem történik semmi. A másiknál egy ügyfélpanasz nyomán fél év alatt hatósági vizsgálat indul, és a végén ott a határozat.

A különbség nem a magatartásban van. A különbség az időzítésben és a figyelemben — és ezek fölött neked nincs közvetlen kontrollod.

A számok ezt alátámasztják. A NAIH 2024-ben összesen 335 millió forint adatvédelmi bírságot szabott ki Magyarországon (dmp.hu NAIH-elemzés, 2024). Néhány tipikus tétel ugyanebből az évből:

Mulasztás	Bírság
Kétfaktoros hitelesítés hiánya (adatbiztonság)	20 millió Ft
Munkahelyi kamera nem megfelelő kezelése	15 millió Ft
Betegadat-hozzáférés jogának megsértése	10 millió Ft

Forrás: NAIH 2024-es bírságos esetek elemzése; a hatóság döntései nyilvánosak a NAIH Határozatok/Végzések oldalán.

Egy 20 milliós bírság egy kisvállalkozásnak nem tétel — hanem létkérdés. És nem azért érkezik, mert a cég „nem felelt meg". Hanem mert egy panasz épp odairányította a hatóság figyelmét.

A mérlegelési tér, amit a törvényszöveg nem mutat meg

Minden felügyeleti hatóságnak van mozgástere. Nem köteles minden ügyet azonnal vizsgálni, és nem köteles minden határidőt a leggyorsabban kihasználni. Ezt hívják mérlegelési térnek. Teljesen törvényes — és pont ezért nem tudsz rá előre tervezni.

Nézd a NIS2-t, ami most a legélesebb példa. A kiberbiztonsági felügyeletet a Szabályozott Tevékenységek Felügyeleti Hatósága (SZTFH) látja el (SZTFH kiberbiztonsági felügyelet). Az első kötelező audit határideje 2026. június 30. (3/2025. SZTFH rendelet). A mulasztás ára az árbevétel akár 2 százaléka, maximum 150 millió forint (ITBUSINESS).

A csapda nem a határidőben van. Hanem ebben: a kötelezettség önértékelésen alapul, és nincs automatikus hatósági értesítés arról, hogy rád vonatkozik-e. Te döntöd el, hogy érintett vagy. Az SZTFH ellenőrzései viszont már elindultak (RSM Hungary). Ha rosszul döntöttél, arról a vizsgálat pillanatában értesülsz — nem előtte.

💡 A lényeg: a „betartható szabály" a te kezedben van. A „kiszámítható alkalmazás" nincs. Az időzítés, a figyelem és a hatósági mérlegelés rajtad kívül dől el. A megfelelés akkor erős, ha nem csak a szabályra, hanem a kiszámíthatatlanságra is felkészülsz.

Az ellenérv: nem összeesküvés, hanem erőforrás

Itt érdemes megállni, mert a mérlegelési tér nem rosszhiszeműség. Egy hatóságnak véges kapacitása van. Nem tud mindenkit egyszerre vizsgálni, ezért rangsorol: a panaszok, a bejelentések és a kockázati jelzések irányítják a figyelmét.

Ez normális működés. A te szempontodból viszont a hatás ugyanaz: nem te választod meg, mikor kerülsz sorra. Egy nagyvállalatnak van jogi osztálya, ami ezt a kiszámíthatatlanságot napi rutinként kezeli. Egy KKV-nak nincs — nálad egyetlen vizsgálat is megállíthatja a működést. A kisebb cég tehát nem azért sérülékenyebb, mert többet hibázik, hanem mert kevesebb pufferrel állja a véletlent.

Három fogás, amivel a magad oldalára billented

A jó hír: a mérlegelési tér ellen nem a törvény újraolvasásával védekezel. Hanem azzal, hogy bármikor be tudod bizonyítani a jóhiszeműségedet.

1. Vezess audit nyomot — ne csak felelj meg, legyen bizonyítékod róla. A formális megfelelés kevés. Ha egy döntésed később gyanúsan néz ki, az számít, van-e írásos nyomod: mikor, ki, milyen információ alapján döntött. A NAIH és az SZTFH eljárásában a dátumozott dokumentum a legjobb védőügyvéd. Bírság helyett jellemzően azt nézik, megtetted-e a tőled elvárhatót — és ezt papírral igazolod.

2. A „formálisan jogszerű" még nem nyugalom. Ha egy lépés betartja a betűt, de kívülről úgy fest, mintha kibújnál valami alól, az kockázat — akkor is, ha védhető. Tedd fel a kérdést: hogyan nézne ez ki egy vizsgáló szemével három év múlva? A NIS2 önértékelésénél ez különösen éles. Ha „nem vagyok érintett" döntést hoztál, írd le, mi alapján — ne a fejedben tartsd.

3. Készülj fel előre, ne a baj pillanatában. A felkészülés nem akkor kezdődik, amikor megérkezik a hatósági levél. Akkor már késő nyomot gyártani. A rendben intézett dokumentáció előre — szabályzat, döntési napló, felelősök neve — billenti a mérlegelési teret a te oldaladra. A NIS2-auditra 2026. június 30-ig kell készen állnod; a GDPR-nál nincs ilyen naptári határidő, viszont bármelyik nap jöhet a panasz.

⚠️ Figyelem: ha a megfelelésed csak a szabály betűjéig terjed, de nincs mögötte dátumozott nyom, akkor a kiszámíthatatlan alkalmazás ellen védtelen vagy. A papír nem bürokrácia — a papír a pajzsod.

Eszközök és források

NAIH 2024-es bírságos esetek elemzése: dmp.hu
NAIH hatósági döntések (nyilvános): naih.hu/hatarozatok-vegzesek
NIS2 felügyelet és audit-eljárásrend: 3/2025. (IV. 17.) SZTFH rendelet
NIS2 szankciók indulása: RSM Hungary, ITBUSINESS
Európai GDPR-bírság-trendek: DLA Piper GDPR Fines Survey

Holnap reggel

Nézd meg a legutóbbi három üzleti döntésedet, amelyik szabályozott területet érintett: adatkezelés, kiberbiztonság, közbeszerzés, szerződés. Tedd fel egyetlen kérdést mindegyiknél: ha valaki két év múlva rákérdez, van-e írásos nyomom, hogy jóhiszeműen döntöttem? Ahol nincs — ott a dolgod a héten.

Ha a NIS2-érintettségedben nem vagy biztos, a Niviloop „Érintett a cégem?" kvíze 30 másodperc alatt megmutatja az irányt. Ha pedig az audit-határidő közeleg, egy 30 perces ingyenes konzultáción átnézzük, hol állsz — és mi hiányzik a pajzsodból.

Hogyan készült ez a cikk Szerző: Niviloop / Loop Magazin szerkesztőség. AI-segéd használata: háttér-kutatás és forrás-pakk összeállítása (NAIH, SZTFH, DLA Piper), ténylektor a számokra, helyesírás- és stílus-ellenőrzés. A tartalmi döntéseket ember hozta. Forrás-megjegyzés: ez elvi compliance-magyarázat, nem egyedi jogi tanácsadás. Konkrét ügyben kérj személyre szabott jogi véleményt.