24/7 Támogatás
GYIK
 Irányítópult
Fiók Egyenlege:    
GDPR-bírságok jönnek rád 2025-ben: ébresztő a hosting iparágban!

GDPR-bírságok jönnek rád 2025-ben: ébresztő a hosting iparágban!

Ápr 10, 2026 gdpr data protection hosting compliance data processor liability regulatory enforcement cloud security saas compliance data retention cyber risk management

A Váratlan Fordulat, Amit Mindenki Előre Láthatott Volna

Ha managed hosting szolgáltató vagy, EU-s ügyféladatokat kezelsz, vagy adatplatformot működtetsz, ez téged érint. A régi beidegződés, hogy az ügyfelek viselik a GDPR felelősségét helyetted? Vége.

A GDPR első hét évében egyszerű volt a képlet: adatbreach-nél a felhasználókkal közvetlen kapcsolatban álló cég fizetett. A hosting provider, a cloud szolgáltató vagy az infrastruktúra réteg megúszta. Ez tartott 2018-tól 2024-ig.

2025-ben minden megváltozott. Két friss határozat bizonyítja, ami ébren tarthatja a hosting vezetőket.

Első Eset: Az NHS IT-Zakó, Ami 3,07 Millió Fontba Került

2025 márciusában a brit ICO előzetlenül járt el: közvetlenül megbüntetett egy adatfeldolgozót.

Az Advanced Computer Software Group az NHS-nak ad IT-szolgáltatásokat. 2022 augusztusában ransomware támadás tört be egy gyenge ügyfélfiókon keresztül, MFA nélkül. Közel 900 beteg adata került veszélybe, összesen 82 946 emberről volt szó.

A lényeg: nem a betegekkel való kapcsolat miatt büntették őket, hanem mert nem védték meg a szerződéses adatokat.

Az ICO feltárta a hibákat:

  • MFA hiánya az egészségügyi adatokat kezelő rendszerekben
  • Nincs átfogó sebezhetőség-szkennelés
  • Gyenge patch management

Kezdetben 6,1 millió fontot róttak ki, együttműködés után lejjebb vitték 3,07 millióra. Az üzenet egyértelmű: a UK GDPR 32. cikke előírja a megfelelő technikai és szervezeti biztonsági intézkedéseket. Ha szerződés alapján dolgozol, te vagy a felelős. Pont.

Nem az NHS-t büntették. A feldolgozót.

Második Eset: Az Adattárolási Csapda, Ami 1 Millió Euróba Került

Öt hónappal később a francia CNIL hozott precedensértékű döntést a Mobius Solutions ellen, egy brit SaaS-cég ellen, ami a Deezer hirdetési adatait kezelte.

Szerződés végeztével a Mobius nem törölte az adatokat. Sőt, a saját szolgáltatásukat fejlesztették vele, Deezer tudta nélkül.

Három szabálysértés:

  1. Adatok megtartása szerződés után (28(3)(g) cikk sérülése)
  2. Adatok feldolgozása a meghatalmazón kívüli utasításra (28(3)(a) cikk sérülése)
  3. Hiányos feldolgozási nyilvántartás (30. cikk sérülése)

Büntetés: 1 millió euró.

Hosting szempontból kulcsfontosságú: 46 millió Deezer-felhasználó adata. A Mobiusnak nem volt EU-s telephelye, így a CNIL közvetlenül léphetett. Három év vizsgálat (2022 novembere – 2025 decembere) után a feldolgozó fizetett.

Miért Figyelj Erre Hosting Vállalkozóként?

Ezek nem kivételek. Precedensek. Íme, mit rögzítenek:

Közvetlen felelősség a biztonsági gyakorlatokért. Az ügyfél DPA-ja nem véd meg. Szerződéses kötelezettség átadódik, de a szabályozói kockázat nem. Ha gyenge a technikai védelem, téged büntetnek.

Adattörlés kötelező, nem opcionális. Szerződés végeztével törölni kell az adatokat a megegyezett módon. "Hátha kell még" vagy saját fejlesztésre megtartani? Közvetlen büntetés vár. A Mobius-ügy pont ezt bizonyítja.

Biztonsági sztenderdek kötelezők. MFA, sebezhetőség-kezelés, patchek, hozzáférés-vezérlés – 2025-ben ezek alapkövetelmények. Ellenőrzésnél kiderül a gyengeség, büntetés követi.

Dokumentáció élet-halál kérdés. A Mobius nyilvántartás-hiánya külön szabálysértés volt. Feldolgozási nyilvántartások, auditok, incidenst logok, retention policy-k – ezek bizonyítékok. Ha nincs papír, feltételezik a szabálytalanságot.

Mit Tegyél Most Azonnal?

Ha EU-adatokat kezezel hostinggal, managed szolgáltatással vagy SaaS-szal, itt a csekklista:

  1. Nézd át a biztonsági architektúrát. MFA, titkosítás, hálózati szegmentálás, vuln scanning – minden személyes adatot érintő rendszerben megvan? Ha nem, ki vagy téve.

  2. Ellenőrizd az adatmegtartást. Szerződés végén az automatizmus töröl? Vagy backups-ban lapul örökké? Írd le a retention periódusokat, és tartsd be.

  3. Erősítsd meg a DPA-kat. Legyenek világosak a biztonsági kötelezettségek, törlési folyamatok, audit jogok. Ne legyenek ködösek.

  4. Építs ki teljes logolást és monitorozást. Bizonyítsd, mit dolgozol fel, ki fér hozzá, hogyan véded. Ez a védvonaled.

  5. Gondolkodj cyber insurance-on. A GDPR-büntetések komolyak. Nem fed mindent, de része a kockázatkezelésnek.

  6. Vonj be jogászt. Az új precedensek frissek. Kell szakértő, aki érti a technikai és jogi oldalakat.

A Kemény Valóság

A feldolgozók közvetlen felelősségét a GDPR 2018 óta rögzíti a törvény. A hatóságok eddig a kontrollereket ütötték, mert az volt a könnyű célpont.

2025-ben rájöttek: büntethetik a tényleges adatkezelőket is. És megteszik.

Az Advanced és a Mobius megmutatta az utat. Nem ők lesznek az utolsók. Minden EU-adatot érintő hosting, SaaS vagy cloud most célpont.

Nem arról van szó, hogy büntetnek-e feldolgozókat. Már megtörtént. Arról szól, hogy felkészültél-e.

Mi a NameOcean-nél a Vibe Hostingot compliance-first alapon építettük, mert ismerjük ezt a terepet. De a megfelelőség nem vehető – be kell építeni az infrastruktúrába, dokumentációba, mindennapokba.

Kezdd el most. A precedens megvan.

Read in other languages:

RU BG EL CS UZ TR SV FI RO PT PL NB NL IT FR ES DE DA ZH-HANS EN