Dr. Liber Ádámmal, a Magyar Vállalati Compliance társaság Adatvédelmi munkabizottságának vezetőjével beszélgettünk, aki a 2025. október 3-án megrendezésre kerülő Compliance & Investigations Hungary 2025 konferencián „Versenyképesség vs. megfelelés – mit hoz a GDPR reform?” címmel fog előadást tartani.
Hogyan változtatja meg a GDPR reform a vállalatok nemzetközi versenyképességét, különösen a kisebb szereplők számára?
A GDPR reformjával kapcsolatos jelenlegi törekvés alapvetően a versenyképesség és az alapjogok védelme közötti egyensúly újradefiniálásáról szól, amelynek középpontjában a kisebb vállalatok helyzetének javítása áll. A reform szükségességét az a széles körben elterjedt kritika hívta életre, hogy a rendelet jelenlegi formájában gátolja az innovációt és aránytalan terheket ró a vállalkozásokra, különösen a kis- és középvállalkozásokra (KKV-kra).
Ezt a problémát a GDPR „one-size-fits-all” (mindenkire egy méret) megközelítése okozza, amely gyakorlatilag ugyanazokat a komplex adminisztratív kötelezettségeket írja elő egy KKV számára, mint egy globális technológiai óriásvállalatnak. Ez a megközelítés azért bizonyult hibásnak, mert a rendeletben elviekben megjelenő kockázatalapú megközelítés a gyakorlatban nem működik hatékonyan, mivel a szabályozói és megfelelési erőforrásokat nem a legkockázatosabb területekre koncentrálja. Az alacsony kockázatú adatkezelést végző KKV-kra is komoly dokumentációs és megfelelési kötelezettségeket hárít, amelyek elvonják az erőforrásokat a növekedéstől és a fejlesztéstől. Ezzel párhuzamosan a rendszer és a fellépés nem elég hatékony a Big Tech vállalatok rendszerszintű visszaéléseivel szemben; a magas bírságok számukra gyakran nem jelentenek valódi elrettentő erőt, és csupán az üzletmenet beépített költségeivé válnak.
Ezt a problémát ismerte fel Mario Draghi „Az európai versenyképesség jövője” című jelentése is, amely rámutatott, hogy az EU túlszabályozottsága komoly versenyhátrányt okoz. A jelentés szerint a KKV-k 55%-a a szabályozási és adminisztratív terheket tekinti a legnagyobb kihívásnak, ami alátámasztja a reform megalapozottságát. Ezzel kapcsolatosan számos reformjavaslat jelent meg, melyek széles skálán mozognak, a kisebb, célzott módosításoktól a GDPR alapvető logikáját is megkérdőjelező, rendszerszintű átalakítási tervekig és éppen ezt a „one-size-fits-all” logikát kívánják felváltani egy differenciáltabb rendszerrel.
A Draghi-jelentésre adott közvetlen politikai válaszként az Európai Bizottság 2025 májusában bemutatta a negyedik „Omnibus” egyszerűsítési csomagot. A csomag célja a KKV-k és az újonnan definiált, 750-nél kevesebb alkalmazottat foglalkoztató kis- és közepes piaci tőkeértékű vállalatok (SMC) adminisztratív terheinek csökkentése anélkül, hogy a GDPR alapelveit és alapvető kötelezettségeit megkérdőjeleznék. A javaslat legjelentősebb könnyítése, hogy a nyilvántartás-vezetési kötelezettség alóli mentesség küszöbét a jelenlegi, alacsony „valószínű kockázatról” a szigorúbb „magas kockázatra” emeli SMC-k számára. Kritikus hangok szerint azonban a csomag csupán „kozmetikázás”, és nem oldja meg a GDPR rendszerszintű problémáit.
Ennél differenciáltabb megközelítést tartalmaz Axel Voss európai parlamenti képviselő és Max Schrems közös javaslata, amely háromszintű modellt vázol fel és a kockázat mellett a cégméretet és az üzleti modellt is figyelembe venné. A legkisebb vállalkozások számára („GDPR Mini”) nem lenne kötelező adatvédelmi tisztviselőt (DPO) kinevezni, egyszerűsödnének az átláthatósági és dokumentációs követelmények, míg azokra a vállalatokra, amelyek üzleti modellje alapvetően a személyes adatok kezelésére épül, mint az óriás onlineplatformok, online hirdetési cégekre és adatbrókerek, még szigorúbb kötelezettségek vonatkoznának.
Ezek a változások kézzelfogható előnyökkel járnának a kisebb szereplők számára. A dokumentációs és jelentéstételi kötelezettségek csökkentése felszabadítaná a szűkös vállalati erőforrásokat (pénzügyi, technológiai és emberi), amelyeket a cégek az alaptevékenységükre, és a növekedésre fordíthatnának. A kevesebb adminisztráció közvetlen költségmegtakarítást is jelentene, például a jogi tanácsadáson vagy a megfelelőséget támogató szoftvereken. Ez lehetővé tenné a vállalatok számára, hogy erőforrásaikat másra fordítsák, miközben kevesebb GDPR-specifikus adminisztrációval kellene számolniuk. Hosszú távon a kiszámíthatóbb és egyszerűbb szabályozási környezet a jövőbeli változásokra való felkészülést is megkönnyítené, olcsóbbá és hatékonyabbá téve a megfelelést.
Az EU versenyképességének növelése adatvédelmi területen tehát legitim és fontos cél. Ugyanakkor a reform legnagyobb veszélye az, hogy a deregulációs törekvések – amelyeket a nagyvállalati (Big Tech) lobbiérdekek is fűtenek – a védelmi szint általános csökkenését eredményezik. A cél egy olyan egyensúlyi állapot elérése, ahol a szabályozás tehermentesíti a kisebb szereplőket anélkül, hogy feláldozná az alapvető adatvédelmi jogokat, amelyek a fogyasztói bizalom és a fenntartható digitális gazdaság alapját képezik.
A reform milyen konkrét változásokat hozhat a jövőbeli adatvédelmi bírságok terén?
A Bizottság által javasolt negyedik „Omnibus” csomag nem érinti az adatvédelmi bírságok kérdését, azonban a GDPR reformjával kapcsolatos javaslatok a bírságolási gyakorlatban is jelentős differenciálást vetítenek előre, ami a jelenlegi bírságolási keretrendszerhez képest komoly változást jelentene.
A legkézzelfoghatóbb javaslat a Voss-Schrems modell „GDPR Mini” rétegéhez kapcsolódik. Ez a javaslat egyértelműen alacsonyabb bírságmaximumot határozna meg a (kis)vállalkozások túlnyomó többsége számára. Példaként egy 500 000 eurós felső határt említenek a jelenlegi 10 vagy 20 millió eurós (vagy a globális nettó éves árbevétel 2-4%-át kitevő) maximum helyett. Ez a változás megszüntetné azt a helyzetet, ahol egy KKV számára egy adatvédelmi bírság egzisztenciális fenyegetést jelent, mellyel arányosabbá tenné a szankciókat.
Bár a többi javaslat nem nevesít konkrét összegeket, a kockázatalapú megközelítés logikájából következik, hogy a bírságok mértékét a jövőben még nyomatékosabban befolyásolná az adatkezelés kockázati szintje. Egy adatvédelmi szempontból alacsony kockázatú tevékenység (pl. egy egyéni vállalkozó ügyféllistája) megsértése esetén a bírság várhatóan jóval enyhébb lenne, mint egy azonos típusú mulasztás egy magas kockázatú személyes adatkezelést végző vállalat esetében (pl. adatbróker cég profilalkotása). Ez a hatóságok számára is egyértelműbb keretet adna a szankciók arányos megállapításához.
A rétegzett modell másik oldala, hogy a legmagasabb kockázatot jelentő szereplőkre (online óriásplatformok, adatbrókerek) a jelenleginél is szigorúbb következmények várhatnak. A Voss-Schrems javaslat olyan elemeket tartalmaz, mint a bizonyítási teher megfordítása (a cégnek kell bizonyítania a megfelelést) és a valódi következmények a strukturális jogsértésekért. Bár ez nem feltétlenül jelenti a bírságösszegek százalékos emelését, a gyakorlatban megkönnyítheti a hatóságok számára magasabb, elrettentő bírságok kiszabását és egyéb jogkövetkezmények alkalmazását a rendszerszintű jogsértéseket elkövető nagyvállalatokkal szemben.
A jövőbeli bírságolási gyakorlat tehát valószínűleg egy differenciáltabb, a kockázatokkal és a vállalat méretével arányosabb rendszerré alakulhat. Ez egyrészt csökkenti a KKV-k pénzügyi kockázatait, másrészt lehetővé teszi a hatóságok számára, hogy erőforrásaikat a legnagyobb adatvédelmi kockázatot jelentő adatkezelőkre összpontosítsák.
Hogyan illeszthető be a stratégiába az adatvédelem mint lehetőség (nem csak kötelezettség), és milyen jó gyakorlatok mutatkoznak ebben a reform fényében?
A GDPR reformja körüli vita egy alapvető paradigmaváltást tükröz: az adatvédelem mára túllépett azon, hogy puszta jogi kötelezettségként lehetne kezelni, és egyértelműen üzleti versenytényezővé vált, különösen az adatintenzív szektorokban. A korábbi modell, amely a magas bírságok elrettentő erejére épült, a gyakorlatban kevésbé bizonyult hatékonynak, különösen a nagy technológiai vállalatok esetében. A jóhiszeműen eljáró KKV-k és nonprofit szervezetek terheit nyilvánvalóan csökkenteni kell és a bírságolás helyett a tudatosításra, megfelelés ösztönzésére és a támogatásra kell helyezni a hangsúlyt. Az asztalon lévő reformjavaslatok szerint ennek leghatékonyabb módja nem a szabályok eltörlése, hanem KKV-k számára a megfelelés megkönnyítése, jobb, gyakorlatiasabb, és ágazatspecifikus iránymutatásokkal, könnyen használható digitális eszközökkel (pl. adatvédelmi hatásvizsgálati sablonok, közös adatvédelmi incidens bejelentő űrlap), valamint megfelelési támogatással. A reformtörekvések, különösen a KKV szektorra vonatkozó hangsúlyeltolódással, arra világítanak rá, hogy a valódi motivációt a megfelelésre már nem elsősorban a hatósági szankciók, hanem a piac és a fogyasztói bizalom jelenti.
Ez a változás a fogyasztók növekvő tudatosságából fakad. Az adatvédelmi szempontból kifogásolható vállalatoktól az ügyfeleik is elfordulnak. A felmérések egyértelműen mutatják, hogy a bizalom kulcsfontosságú: a fogyasztók jelentős része nem vásárolna többet egy olyan cégtől, amely nem tartja be az adatbiztonsági követelményeket. Egy másik mérvadó kutatás szerint a vállalatok megfelelési törekvéseinek fő mozgatórugója ma már a fogyasztói bizalom kiépítése. Az adatvédelmi megfelelés tehát nem csupán jogi dokumentumok elkészítéséből és fiókba helyezéséről szól, hanem a bizalom építőkövei, amelyek meggyőzik az ügyfeleket, beszállítókat és munkavállalókat, hogy megosszák személyes adataikat egy vállalattal – a bizalom pedig közvetlenül elősegíti az üzletet.
A nem megfelelő adatkezelés kockázatai ma már messze túlmutatnak a pénzbírságokon. Míg a GDPR alapján kiszabható bírságok KKV-k számára továbbra is jelentősek maradnak, a valódi és komolyabb veszteséget gyakran a jó hírnév sérelme okozza. A közvélemény egyre érzékenyebb az adatvédelmi kérdésekre, a sajtó pedig előszeretettel csap le az adatszivárgási botrányokra, ami egyetlen ügy kapcsán is komoly reputációs veszteséget okozhat. Ez közvetlenül vezethet a részvények értékének és a legfontosabb, a vásárlói bizalom elvesztéséhez, amelynek helyreállítása sokkal költségesebb, mint a megelőzésbe és a megfelelésbe fektetett erőforrások ára.
A reform fényében a KKV-k egyszerűsítési lehetőséget kaphatnak, amely lehetővé teszik számukra, hogy a megfelelést intelligensebben kezeljék. A reformok a kockázatalapú megközelítés felé mozdulnak el. A KKV-knak nem kell túlbonyolítaniuk a megfelelést. Ahelyett, hogy egy nagyvállalathoz hasonlóan mindenre kiterjedő, költséges adminisztrációt építenének ki, azonosítaniuk kell a legmagasabb kockázatú adatkezelési folyamataikat, és az erőforrásaikat célzottan ezekre kell fordítaniuk, miközben az alacsony kockázatú területeken egyszerűsített eljárásokat alkalmazhatnak.
A GDPR reformja tehát arra ösztönzné a vállalatokat, hogy az adatvédelmet ne nyűgnek, hanem a fenntartható növekedés és a fogyasztói bizalom alapkövének tekintsék. Azok a cégek, amelyek ezt a szemléletet beépítik stratégiájukba, nemcsak a jövőbeli szabályozási környezetnek fognak jobban megfelelni, hanem a piacon is egyértelmű versenyelőnyre tehetnek szert.
Az előadás „Versenyképesség vs. megfelelés – mit hoz a GDPR reform” címmel a Compliance & Investigations Hungary 2025 konferencián hallgatható meg.
Hagyj üzenetet