A GDPR 2018 óta él. A bírságok mégis sűrűsödnek — nem azért, mert új a törvény, hanem mert az ellenőrzések komolyodtak. Egy magyar KKV-vezető számára 5 konkrét ellenőrzési pont van, amit 90 perc alatt végig lehet nézni.

GDPR — mit kell tennie egy magyar vállalkozónak?

Ha valaha vásárolt valamit egy webshopból, kapott hírlevelet, vagy kitöltött egy kapcsolati űrlapot — ott személyes adatokkal dolgoztak. A GDPR (General Data Protection Regulation) azt szabályozza, hogy a céged mit csinálhat ezekkel az adatokkal.

Ez nem csak a tech-cégek problémája. Ha van ügyféllistád, munkavállalód, vagy csak egy kapcsolati e-mail-cím a weboldalon — a GDPR vonatkozik rád.

Miért most érdemes ezzel foglalkozni?

2026 első három hónapjában 68 millió euró GDPR-bírságot szabtak ki Európában. Ez az előző év azonos időszakának ötszöröse. Nem új jogszabályok, hanem komolyabb végrehajtás.

Magyarországon a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) az ellenőrző szerv. A magyar kkv-k tévhite, hogy az első bírság automatikusan kisebb. Nem így van. Egy 50 millió eurós árbevételű cégnél a GDPR-maximum 2 millió euró.

A jó hír: a leggyakoribb hibák nem szándékosak, és javítani sem nehéz.

5 pont, amit ma el lehet intézni

01 · Mikor frissült utoljára az adatkezelési tájékoztató?

Ez a weboldaladon elérhető szöveg. Ha 2022 előtt írták, valószínűleg elavult. Tartalmaznia kell:

ki vagy te mint adatkezelő (cégnév, székhely, e-mail),
milyen adatokat gyűjtesz és miért,
mennyi ideig tárolod,
kinek adod tovább (pl. könyvelő, marketing-platform).

Ha nincs tájékoztató — az önmagában jogsértés.

02 · Minden szállítóddal van adatfeldolgozói megállapodás?

Ha valaki más is látja az ügyféladataidat — könyvelő, CRM-szoftver, webáruház-platform, hírlevélküldő — azzal írásos szerződés kell. Ezt hívják DPA-nak (Data Processing Agreement).

A Microsoft 365, a Google Workspace és a legtöbb SaaS-platform online aláírható DPA-t ad. De a könyvelővel és a HR-szoftvered szolgáltatójával is kell.

03 · A munkavállalói adatokat melyik jogalapon kezeled?

A kamera, a beléptetőrendszer, a céges laptop naplózása, az e-mail-monitorozás — mind személyes adat. Nem elég a „munkaviszony" általános hivatkozás. Dokumentált tájékoztatást kell adni a munkavállalóknak arról, mit gyűjtesz és miért.

Ha ezt nem csinálták meg az alkalmazáskor, utólag is pótolható — de ne halasszd.

04 · Mi a teendő, ha adatokat lopnak tőled?

A GDPR szerint 72 órán belül be kell jelenteni a NAIH-nak, ha a kezelt adatokat illetéktelenek elérhették. Ez nem ajánlás, hanem kötelezettség — a 72 óra attól számít, hogy tudomást szerzel az incidensről.

Kérdezd meg magadtól: ha holnap reggel feltörik a levelezésedet, ki mit csinál? Ha nincs válasz — legyen.

05 · Hozzájárulás vagy más jogalap?

A hírlevélre feliratkozóknak aktívan kell beleegyezniük — előre bepipált jelölőnégyzet nem érvényes. Az ajánlatkérőknek elegendő az ún. „jogos érdek" alap, de ezt dokumentálni kell.

Ha a weboldalon sütiket használsz (Google Analytics, Facebook Pixel) — cookie-sávval és szabályzattal kell rendelkezned.

Mit jelent, ha valamit nem csinálsz?

A NAIH bírságai nyilvánosak. Egy partner, aki megnéz téged a szerződés előtt, látja. A reputációs kár sokszor nagyobb, mint a bírság.

A leggyakoribb kisebb bírságok 1–10 millió forint között vannak. Egy hiányos adatkezelési tájékoztató miatt.

Hol kezdj?

Ha nem tudod, hol állsz: nézd végig ezt az 5 pontot. Ha kettőnél többre nem tudsz biztosan igent mondani — kell egy 1-2 órás GDPR-átnézés egy tanácsadóval.

Ez nem hónapos projekt. Egy 10-50 fős cégnél fél nap alatt végigjárható.

Kapcsolódó Közlönyfigyelő bejegyzések:

2024-W49 — GDPR deregulációs módosítás (Infotv.) — mi változott 2025. január 1-jétől

GDPR — mit kell tennie egy magyar vállalkozónak? 5 pont, amit ma el lehet intézni