„Van GDPR-unk. Kifüggesztettük a tájékoztatót az ajtóra. Kész."

Ezt mondta nekem egy 38 számítógépes kereskedelmi cég vezetője tavaly márciusban.

„Rendben" - mondtam. „És hol tároljátok az ügyféladatokat?"

„Excel táblázatokban. A munkaállomásokon."

„Titkosítva?"

„Hm... nincs jelszó rajta, ha arra gondolsz."

„És van backup?"

„Van NAS. Automatikusan ment."

„A NAS titkosítva van?"

„...nem."

Eredmény: Ez a cég...

  • ❌ Nem tudja, ki fér hozzá az adatokhoz (nincs hozzáférés-kontroll)
  • ❌ Nem tudja, kit töröltek az adatbázisból (nincs logolás)
  • ❌ Ha ellopják a NAS-t → 12.000 ügyfél adata az utcán
  • ❌ GDPR-bírság: akár 20M EUR vagy éves forgalom 4%-a

De a tájékoztató ott van a falon. 👍

🔥 Kellemetlen igazság:

A GDPR nem arról szól, hogy van-e papírod. Hanem arról, hogy védve vannak-e az adatok.

Ebben a cikkben megmutatom:

  • Mi a GDPR VALÓJÁBAN? (egyszerű nyelven, IT szemszögből)
  • Mi az, amit TÉNYLEG meg kell csinálni? (nem csak papírmunka)
  • Hogyan védik az adatokat KKV-k a gyakorlatban?
  • Valós esetek: mikor büntettek már meg cégeket?
  • Checklist: mennyire vagy GDPR-kompatibilis?

Mi a GDPR egyszerűen?

GDPR = General Data Protection Regulation (Általános Adatvédelmi Rendelet)

2018 május 25 óta kötelező az EU-ban.

Lényeg 1 mondatban:

Ha kezelsz személyes adatokat (név, email, telefonszám, lakcím, IP-cím, stb.), akkor:

  • ✅ Tudnod kell, hol vannak az adatok
  • ✅ Tudnod kell, ki fér hozzájuk
  • Védened kell őket (titkosítás, hozzáférés-kontroll)
  • ✅ Tudnod kell törölni őket, ha kérik
  • ✅ Ha adatsértés van (hacking, elvesztés) → 72 órán belül jelentened kell

Ha ezt nem csinálod meg → bírság.

Mennyi a bírság?

Szabálysértés típusa Max. bírság
Könnyebb szabálysértés (pl. hiányos dokumentáció) 10M EUR vagy forgalom 2%-a
Súlyosabb szabálysértés (pl. adatszivárgás, nincs védelem) 20M EUR vagy forgalom 4%-a

Melyik a NAGYOBB: Ha 500M Ft-os forgalmad van, akkor 4% = 20M Ft bírság.

„De mi kis cég vagyunk, minket nem érdekel ez!"

Ez a legnagyobb tévhit.

GDPR MINDEN cégre vonatkozik, amely EU-ban működik, függetlenül a mérettől.

Néhány valós eset KKV-k esetében:

Eset #1: Hamburgi fogorvosi rendelő (2020)

Mi történt?

  • Betegadatok tárolása titkosítatlan Excel táblázatokban
  • Nincs hozzáférés-kontroll (mindenki elérte)
  • Nem volt backup-titkosítás

Bírság: 20.000 EUR (~7,5M Ft)

Eset #2: Osztrák vendéglátóipari cég (2021)

Mi történt?

  • Kamera rögzítések 60 napig tárolva (engedély nélkül)
  • Nincs tájékoztatás a kamerázásról
  • Alkalmazottak panaszát figyelmen kívül hagyták

Bírság: 28.000 EUR (~10,5M Ft)

Eset #3: Magyar webáruház (2022)

Mi történt?

  • Adatszivárgás (hackelés)
  • 12.000 ügyfél neve, címe, telefonszáma, email címe kiszivárgott
  • NEM jelentették 72 órán belül (csak 3 hét múlva derült ki)

Bírság: 15M Ft + ügyfélkártérítési perek

⚠️ Figyelem:

A bírság NEM az egyetlen kár. Van még:
• Reputációs veszteség (ügyfelek elvesztése)
• Jogi költségek (ügyvéd, per)
• IT-helyreállítás (ha adatszivárgás volt)
Összesen akár 10-50x a bírság összege.

Mit kell TÉNYLEG megcsinálni? (IT szemszögből)

A GDPR nem jogi, hanem technikai kérdés. 80%-a IT-feladat.

1. Tudnod kell, HOL vannak az adatok

Kérdések:

  • Hol tároljátok az ügyféladatokat? (szerver, munkaállomás, felhő?)
  • Hol van a backup? (NAS, Azure, USB?)
  • Van email archívum? (Exchange, Gmail?)
  • Van CRM/ERP rendszer? (Számlázz.hu, NAV Online Számla, egyedi szoftver?)

Dokumentáld: „Adatkezelési Nyilvántartás" (egyszerű táblázat)

Adat típusa Hol van? Ki fér hozzá? Védelem
Ügyfél név, cím, telefon CRM (szerver) Értékesítés csapat (5 fő) Jelszóvédett, SSL titkosítás
Munkavállaló adatok Bérszámfejtő szoftver Gazdasági vezető Jelszóvédett, 2FA engedélyezve
Email levelezés Exchange Online Minden alkalmazott TLS titkosítás, MFA

2. Tudnod kell, KI fér hozzájuk

Hozzáférés-kontroll = Ki láthatja az adatokat?

Példa:

  • ✅ Értékesítő: lát ügyféladatokat (CRM)
  • ❌ Értékesítő: NEM lát bérszámfejtési adatokat
  • ✅ Gazdasági vezető: lát mindent
  • ❌ IT-üzemeltető: NEM lát tartalmakat, csak rendszerinformációkat

Hogyan?

  • Active Directory (AD) / Entra ID (Azure AD): felhasználói csoportok
  • Fájlszerver: jogosultságok mappánként
  • CRM/ERP: szerepkörök (admin, user, read-only)

3. Védened kell őket

Minimális technikai követelmények:

  • Titkosítás: Adatok titkosítva tárolva (BitLocker, FileVault, NAS titkosítás)
  • Hozzáférés-kontroll: Jelszóvédelem, jogosultsági csoportok
  • Backup titkosítás: A mentések is titkosítva vannak
  • Multi-Factor Authentication (MFA): 2-faktoros bejelentkezés
  • Napló (logging): Ki, mikor, mit nyitott meg/törölt?
  • Vírusvédelem: Frissített antivírus + EDR
  • Firewall: Hálózati védelem külső támadások ellen

4. Törölni tudod, ha kérik

„Elfeledtetéshez való jog" (GDPR 17. cikk)

Ha egy ügyfél kéri, hogy töröld az adatait → 30 napon belül meg kell tenned.

De hol van az adat?

  • CRM adatbázisban
  • Email levelezésben (levéltár)
  • Backupokban (7-30 napos megőrzés)
  • Papír alapú dokumentumokban
  • Harmadik fél rendszereiben (Google Analytics, Facebook Ads, stb.)

Meg kell találnod ÉS törölnöd MINDENHONNAN.

Dokumentáld: „Adattörlési eljárás" (lépésről lépésre)

5. Ha adatsértés van → 72 óra alatt jelentened kell

Adatsértés = bármi, ami veszélyezteti az adatokat:

  • Ransomware támadás
  • Hacking / adatszivárgás
  • Laptop ellopása (ha nem volt titkosítva)
  • Email-fiók feltörése
  • Véletlen nyilvános megosztás (pl. Google Drive link mindenki számára elérhető)

Mit kell tenned?

  1. Azonnal dokumentáld: Mi történt? Mikor? Hány embert érint?
  2. Értesítsd a NAIH-ot (Nemzeti Adatvédelmi és Információszabadság Hatóság): 72 órán belül
  3. Értesítsd az érintetteket: Ha magas kockázatú (pl. bankkártya adatok)
  4. Intézkedj: Zárd le a sérült rendszert, változtasd meg a jelszavakat, stb.

⚠️ KRITIKUS:

Ha NEM jelented 72 órán belül → automatikus súlyosabb bírság!

Hogyan csináljuk mi? (Példa: 40 számítógépes cég)

1. Adatok helye és védelme:

  • Szerver: Windows Server 2022, BitLocker titkosítás
  • Fájlok: hozzáférés AD csoportok szerint (értékesítés, admin, pénzügy)
  • Backup: NAS (titkosítva) + Azure Backup (titkosítva, immutable)
  • Email: Microsoft 365, MFA kötelező mindenkinél

2. Hozzáférés-kontroll:

  • Active Directory: felhasználók csoportokba rendezve
  • Minden alkalmazott csak a saját munkájához szükséges adatokat látja
  • IT-admin: teljes hozzáférés (de naplózva van minden lépés)

3. Napló (audit log):

  • Fájlszerver: ki, mikor nyitott meg/törölt/módosított fájlt
  • Email: bejelentkezési napló (ki, mikor, honnan)
  • Backup: ki kezdeményezett visszatöltést

4. Adattörlési folyamat:

  • Ügyfél kéri adatai törlését
  • IT: törlés CRM-ből, email archívumból, backupból (30 napos megőrzés után automatikusan törlődik)
  • Dokumentálás: „2026-02-06: XY ügyfél adatai törölve (GDPR kérés)"

5. Incidenskezelési terv:

  • Ha adatsértés van → 1 órán belül IT-értesítés
  • IT: dokumentálja az eseményt, leállítja a sérült rendszert
  • NAIH bejelentés: 72 órán belül (ha szükséges)

GDPR checklist: Mennyire vagy kompatibilis?

✅ GDPR compliance checklist (KKV-knak):

📋 Dokumentáció

  • ☐ Van adatkezelési tájékoztató (weboldal, iroda)
  • ☐ Van adatkezelési nyilvántartás (hol, milyen adatok vannak)
  • ☐ Van adattörlési eljárás (hogyan kell törölni)
  • ☐ Van incidenskezelési terv (mi a teendő adatsértésnél)

🔒 Technikai védelem

  • ☐ Adatok titkosítva tárolva (BitLocker, FileVault, NAS titkosítás)
  • ☐ Backup titkosítva
  • ☐ Multi-Factor Authentication (MFA) engedélyezve
  • ☐ Hozzáférés-kontroll (nem mindenki lát mindent)
  • ☐ Vírusvédelem + EDR aktív
  • ☐ Firewall konfigurálva

📊 Naplózás és monitoring

  • ☐ Fájlszerver hozzáférési napló (ki, mikor, mit nyitott)
  • ☐ Email bejelentkezési napló
  • ☐ Backup napló (sikeres/sikertelen mentések)

🚨 Incidenskezelés

  • ☐ Tudod, mit kell tenni adatsértés esetén
  • ☐ Van kapcsolat a NAIH-hoz (bejelentési folyamat)
  • ☐ Van helyreállítási terv (disaster recovery)

Hány pipád van?
15-18 pipa: ✅ Kiváló! GDPR-kompatibilis vagy.
10-14 pipa: ⚠️ Jó irány, de vannak rések.
0-9 pipa: 🚨 Kritikus! Sürgősen cselekedj!

„Túl bonyolult! Segítség!"

Értem. A GDPR valóban komplex.

De a lényeg egyszerű:

  • Tudd, hol vannak az adatok
  • Védd meg őket (titkosítás, hozzáférés-kontroll)
  • Tudj törölni, ha kérik
  • Ha baj van, jelentsd 72 órán belül

Alternatíva: Kiszervezett IT-üzemeltetés + GDPR-támogatás

Mi (BUSINESS-IT) a havidíjas IT-csomagunkban biztosítjuk:

  • ✅ GDPR audit: átvizsgáljuk a rendszeredet
  • ✅ Adatkezelési nyilvántartás elkészítése
  • ✅ Technikai védelem beállítása (titkosítás, MFA, backup)
  • ✅ Incidenskezelési terv készítése
  • ✅ 24/7 monitoring: azonnal szólunk, ha baj van
  • ✅ NAIH bejelentés segítése (ha szükséges)

Eredmény: Te arra koncentrálsz, ami a te szakmád. Mi meg arra, hogy az adataid biztonságban legyenek.

Kérj GDPR-auditot!

Átvizsgáljuk a rendszeredet GDPR szempontból.
Megmutatjuk, hol vannak rések, és hogyan javítsd ki.

Ingyenes GDPR-audit kérése

Kapcsolódó cikkek: