Ugrás a fő tartalomhoz

⚖️ A GDPR és a hackelés találkozása – miért lesz ebből bírság?

Sokan azt hiszik, hogy ha valakit feltörnek, az „nem az ő hibájuk”.
De a GDPR szerint ez nem így van.

Ha nem védted az adatokat megfelelően – te vagy a felelős.

Ebben a cikkben megmutatjuk, miért lehet egy kibertámadásból súlyos adatvédelmi bírság, és hogyan kerülheted el.

📌 Mi az a GDPR?

A GDPR (Általános Adatvédelmi Rendelet) egy uniós szabályozás, amely meghatározza, hogyan kell kezelni a személyes adatokat:

  • kinek van hozzáférése
  • hol tároljuk
  • hogyan védjük meg
  • mi történik, ha baj van

A GDPR nem technikai szabályzat – de nagyon komolyan veszi az IT-biztonságot.

💣 Mi történik, ha feltörnek?

Tegyük fel, hogy egy támadó:

  • belép a rendszeredbe
  • letölti az ügyfél-adatbázist
  • e-mail címeket, jelszavakat, telefonszámokat visz el

Ez nemcsak informatikai incidens, hanem:

adatvédelmi incidens, amit be kell jelentened a NAIH-nak (Nemzeti Adatvédelmi és Információszabadság Hatóság).

💸 Mekkora lehet a bírság?

Akár:

  • 20 millió euró, vagy
  • az éves globális árbevétel 4%-a

…attól függően, melyik a magasabb.

Ez persze extrém eset – de a magyar NAIH is rendszeresen oszt ki milliós bírságokat, ha:

  • nem volt bejelentés időben
  • nem vezettek incidensnaplót
  • nem volt megfelelő technikai védelem

🔍 Milyen hibák vezetnek GDPR bírsághoz hackelés után?

  1. ❌ Nem volt naprakész vírusvédelem, tűzfal, frissítés
  2. ❌ Nem használtak titkosítást érzékeny adatokra
  3. ❌ Nem volt 2FA az admin felületen
  4. ❌ Nem készült rendszeres biztonsági mentés
  5. ❌ Nem jelentették be 72 órán belül az adatvédelmi incidenst

Ezek nem „opciók” – ezek GDPR kötelezettségek.

✅ Hogyan védekezhetsz?

1. Biztonság beépítve (security by design)

Már a rendszer tervezésénél figyelembe kell venni az adatvédelmi szempontokat.

2. Rendszeres sebezhetőségvizsgálat

Ha évente legalább egyszer nem nézitek át a rendszert, a felelősség a tiéd lesz, ha baj van.

3. Incidensnapló és szabályzat

  • Mi számít incidensnek?
  • Ki jelenti?
  • Mikor lép életbe a protokoll?

Ezeket dokumentálni kell.

4. Adatminimalizálás

Ne gyűjts adatot, ha nincs rá szükséged. Amit nem tárolsz, azt nem is lophatják el.

🧠 Összefoglalva

  • A hackelés nem mentség a GDPR alól – hanem bizonyíték, hogy valamit nem tettél meg.
  • Ha van adat – felelősséged is van.
  • A NAIH nem kérdez: ha volt incidens, vizsgál és bírságol.

A jó biztonság nemcsak a hekkerek ellen véd –
hanem a jogi következményektől is megóv.

➡️ Következő ajánlott cikk: Backup – oké, de hova mented, és hogyan?