GDPR 2026: a beszállítók vannak soron — te készen állsz?
Kategória: GDPR | Adatvédelem
Dátum: 2026-04-13
Státusz: Kész — feltölthető
Nyolc éve él a GDPR. A legtöbb magyar cégvezető úgy gondolja, hogy amit kellett, már megtette: van adatkezelési tájékoztató a weboldalon, van cookie banner, és valaki egyszer aláírt egy adatfeldolgozói szerződést. A téma le van tudva.
Csak éppen nem az.
1,2 milliárd euró bírság egyetlen év alatt
2025-ben az európai adatvédelmi hatóságok összesen 1,2 milliárd eurónyi GDPR-bírságot szabtak ki. A rendelet 2018-as bevezetése óta a bírságok teljes összege meghaladja a 7,1 milliárd eurót. A tíz legnagyobb bírságból kilenc tavaly is tech cégeket sújtott — az ír adatvédelmi hatóság egyedül 530 millió eurót szabott ki.
De a számok mögött van egy trend, ami a KKV-kat közelebbről érinti.
A célkereszt áthelyeződik
2026-ban a hatóságok új irányba fordulnak. Az eddigi fókusz a nagy adatkezelőkön volt — a Metákon, TikTokokon, tech óriásokon. Idén az adatfeldolgozók kerülnek sorra. Vagyis azok a cégek, amelyek más megbízásából kezelnek adatokat.
Ha te IT szolgáltató vagy, könyvelőiroda, HR szoftver üzemeltető, marketingügynökség vagy bármilyen vállalkozás, amely ügyfelei adatait dolgozza fel: ez rólad szól.
Az európai adatvédelmi hatóságok elkezdték vizsgálni azokat a beszállítókat, amelyek több adatkezelő megbízásából dolgoznak. A logika egyszerű: ha egy adatfeldolgozó hibázik, az nem egy ügyfelet érint — hanem az összeset. Egyetlen gyenge pont a láncban tíz, húsz vagy száz szervezet adatait veszélyezteti.
Napi 443 incidens Európában
A számok ijesztőek. 2025-ben átlagosan 443 adatvédelmi incidenst jelentettek naponta Európában — 22 százalékkal többet, mint egy évvel korábban. Magyarországon 678 bejelentés érkezett, szemben az előző évi 530-cal.
Az incidensek többsége nem kifinomult hackertámadás. Rossz címzettnek küldött email. Titkosítás nélküli adatbázis. Jogosultságkezelés hiánya. Felmondott munkatárs, akinek még aktív a hozzáférése. Hétköznapi hibák, amelyeket hétköznapi odafigyeléssel meg lehetett volna előzni.
Ami változik 2026-ban
A GDPR maga is változhat. Az Adózóna elemzése szerint a Bizottság felülvizsgálja a rendelet egyes elemeit, különös tekintettel a KKV-k terheire és az adatbiztonsági elvárások pontosítására. Ez nem lazítás — ez finomhangolás, ami várhatóan konkrétabbá teszi, hogy mit kell csinálni, és mit nem.
A gyakorlatban ez annyit jelent, hogy a „megcsináltuk a GDPR-t 2018-ban" hozzáállás már rég nem elég. A szabályozás él, mozog, és a hatóságok egyre aktívabban érvényesítik.
Négy dolog, amit ma megtehetsz
Nézd át az adatfeldolgozói szerződéseidet. Nem az öt éve aláírt sablonokat — a tényleges gyakorlatot. Hova megy az adat, ki fér hozzá, mi történik törlés után? Ha a válasz „nem tudom", az probléma.
Ellenőrizd a hozzáféréseket. Ki fér hozzá az ügyféladatokhoz a cégednél? Mindenki, akinek kell? Vagy mindenki, akinek nem kellett volna már régen? Egy negyedéves hozzáférés-felülvizsgálat tíz percet vesz igénybe és rengeteg kockázatot szüntet meg.
Teszteld az incidenskezelést. A GDPR 72 órát ad az incidens bejelentésére. Ha nincs begyakorolt folyamatod, 72 óra alatt nem fogsz összeszedni mindent, amit a hatóságnak be kell nyújtanod. Csináljatok egy asztali szimulációt — mi lenne, ha holnap reggel kiderülne, hogy adatszivárgás volt?
Frissítsd az adatkezelési tájékoztatót. Nem a weboldalon lévő szöveget — azt is, de elsősorban a belsőt. Tudják a dolgozóid, mit tehetnek és mit nem az ügyféladatokkal? Van belső szabályzatod, ami ezt leírja? Ha nincs, most van idő megcsinálni.
A lényeg
A GDPR nem projekt, amit egyszer elvégzel. Folyamatos karbantartás, mint egy autónál. Ha évekig nem viszel szervizbe, nem az autó hibája, ha lerobban az autópályán.
2026-ban a beszállítók vannak sorra. Ha te az vagy, a kérdés nem az, hogy jön-e ellenőrzés. A kérdés az, hogy ha jön — vagy ha a partnered kéri a dokumentációt —, lesz-e mit felmutatnod.
Források:
- Jogi Fórum — Rekordszámú incidensek és 1,2 milliárd eurónyi GDPR-bírság
- Adózóna — Így változhat a GDPR 2026-ban
- Economx — Milliárdos adatvédelmi bírságok
#GDPR #Adatvédelem #KKV #Compliance #Bírság
