CLVPartners

Compliance

Az EDPS 2025. évi jelentése: Új korszak a nagyvállalati adatvédelemben és a technológiai compliance-ben

Olvasási idő: 6 perc

Az Európai Adatvédelmi Biztos (EDPS) közzétette 2025. évi éves jelentését (a továbbiakban: „Jelentés”) amelyben részletesen bemutatja a gyorsan változó digitális világban a személyes adatok védelme érdekében végzett tevékenységét. A Jelentés egyértelműen jelzi, hogy az európai adatvédelmi és digitális szabályozási környezet új szakaszba lépett: a hangsúly már nem pusztán a formális GDPR-szabályzatokon, hanem az AI-rendszerek, a felhőszolgáltatások és a nemzetközi adattovábbítások tényleges működési kontrolljain van. A vizsgálatok középpontjában tipikusan azok az eszközök és folyamatok állnak, amelyeket a legtöbb szervezet napi szinten használ: Microsoft 365, cloud infrastruktúra, generatív AI-megoldások, mobilalkalmazások, HR-rendszerek. Jelen cikkünkben bemutatjuk a Jelentés főbb megállapításait és a megfeleléshez szükséges szempontokat, javaslatokat vetünk fel.

MI-irányítás: a megfelelőség új dimenziója

A Jelentés egyik legfontosabb üzenete, hogy a mesterséges intelligencia (a továbbiakban: „MI”, vagy „AI”) feletti vállalati kontroll (AI governance) rövid időn belül önálló, kiemelt megfelelőségi (compliance) területté növi ki magát. A mesterséges intelligencia már nem kísérleti technológia, hanem a mindennapi működés részévé vált az uniós intézményekben és egyre több szervezetnél is. Az EDPS a felkészülés jegyében már meg is tette az első komoly lépéseket:

Külön AI-részleget hozott létre: megerősítette az újonnan létrehozott MI-egységet, hogy felkészüljön a mesterséges intelligenciáról szóló EU rendelet alapján a felügyeleti feladatokra.

Feltérképezte a generatív AI-használatot: felmérte a jelenlegi MI-ökoszisztémát a tiltott gyakorlatok és a nagy kockázatú rendszerek tekintetében, és közzétett egy jelentést, amely rávilágít az MI-használat domináns területeire és a jogérvényesítési prioritásokra.

AI regulatory sandbox programot indított: egy szabályozási tesztkörnyezet mintaprojekt keretében biztonságos környezetet teremtett az innovatív MI-rendszerek hatósági felügyelet melletti fejlesztéséhez és teszteléséhez.

Új AI kockázatkezelési útmutatót adott ki az AI-rendszerek fejlesztéséhez és bevezetéséhez kapcsolódó technikai kockázatok azonosítására és mérséklésére.

A szabályozói fókusz különösen az alábbi specifikus területeken erősödik:

a generatív AI-eszközök vállalati használata;

a „dobozos” (off-the-shelf) AI-megoldások megfelelősége;

a magas kockázatú AI-rendszerek szigorú kontrollja;

az AI és a személyes adatok jogi kapcsolata;

az AI-rendszerek technikai kockázatkezelése.

Nagyvállalati környezetben ez azt jelenti, hogy az AI használata már nem kizárólag IT- vagy innovációs kérdés, hanem kiemelt jogi, compliance- és adatvédelmi kockázati terület is, ezért a szervezeteknek már most fel kell készülniük arra, hogy az AI-megoldásokat a GDPR és az mesterséges intelligenciáról szóló EU rendelet követelményeinek megfelelően vezessék be, dokumentálják, felügyeljék és használják a mindennapi működés során.

Microsoft 365 és nagyvállalati IT-rendszerek:

Az EDPS 2025-ben tovább erősítette a nagy informatikai rendszerek – köztük a Microsoft 365-höz hasonló felhőszolgáltatások – feletti felügyeletet. A korábbi vizsgálatok tanulsága, hogy a megfelelőség nem kizárólag szerződéses kérdés, hanem az adatfeldolgozás teljes életciklusára kiterjedő vizsgálatot igényel.

A vizsgálat fókuszában a nagyvállalatok számára is kritikus kérdések álltak:

a harmadik országokba irányuló nemzetközi adattovábbítások;

az összetett aladatfeldolgozó-láncok átláthatósága;

az adatokhoz való hozzáférések kontrollja;

a megfelelő technikai és szervezeti garanciák megléte.

A Jelentés egyik legfontosabb üzenete, hogy önmagában a szolgáltatói szerződés vagy a „GDPR-kompatibilis” megjelölés már nem elegendő. A felügyeleti gyakorlat egyre inkább a tényleges működési kontrollokat, a technikai intézkedéseket és a dokumentált kockázatelemzéseket vizsgálja. Emiatt mindenképpen javasolt a beszállítói szerződések limitált, adatvédelmi szempontú felülvizsgálata – javaslatunk alapján ezt elegendő egyszer megtenni és azt követően beépíteni a folyamatba egy olyan kontrollt, ami változás esetén szintén biztosítja a megfelelést vagy ami lehetővé teszi az időszakos felülvizsgálatot, visszaellenőrzést.

Nemzetközi adattovábbítások

A harmadik országokba irányuló adattovábbítások továbbra is kiemelt ellenőrzési területet jelentenek. Az EDPS itt is hangsúlyozza, hogy a megfelelő szerződések önmagukban nem elegendők. A megfelelés megítélése során egyre nagyobb szerepet kap az adattovábbítási hatásvizsgálat (TIA) tényleges tartalma, a harmadik országok jogi és gyakorlati környezetének értékelése, valamint az alkalmazott technikai és szervezeti intézkedések valós működése.  A modern felhőalapú rendszereknél az adatvédelmi jog szerint a távoli hozzáférés is adattovábbításnak minősül. Ha egy harmadik országbeli (pl. indiai vagy amerikai) IT-mérnök support vagy rendszerkarbantartás céljából belép egy Európában tárolt adatbázisba, az adat jogilag elhagyja az EGT-t. Ennek kockázatait kizárólag egy TIA képes érdemben felmérni. Ez különösen releváns olyan környezetekben, ahol globális cloud infrastruktúrák, vagy központi IT-támogatás működnek. A gyakorlatban ez azt jelenti, hogy a vállalatoknak érdemes feltérképezni, hogy akár a beszállító működési jellege, akár a cégcsoport által előírt folyamatok miatt történik-e adattovábbítás az unión kívül és azt megfelelően minősíteni.

A jövő adatvédelme technológiai fókuszú lesz

Az EDPS Jelentése alapján az európai adatvédelmi gyakorlat végérvényesen technológiai irányba mozdult el. A felügyeleti fókusz középpontjában a mesterséges intelligencia érthető és elszámoltatható működése, a felhőszolgáltatások folyamatos ellenőrzése, valamint a kiberbiztonság és az adatvédelem teljes fúziója áll. Az adatvédelmi megfelelés így többé nem egy elszigetelt jogi feladat, hanem a cégvezetés, a beszerzés, a digitális transzformáció és az IT-biztonság közös, mindennapi felelőssége.

Az EDPS Jelentése alapján jól látható: a következő években azok a szervezetek lesznek versenyelőnyben, amelyek felismerik a paradigmaváltást, és nem pusztán formális, papíralapú GDPR-megfelelést, hanem valódi, auditálható technológiai governance-rendszert építenek ki.

Kép forrása: pexels.com, Fotó: Jcmotive

Az EDPS 2025. évi jelentése: Új korszak a nagyvállalati adatvédelemben és a technológiai compliance-ben Read More »

Az ügyvezető felelőssége és a felelősségkorlátozás lehetséges módjai

Olvasási idő: 7 perc

Bevezetés

A magyar társasági jog kulcsszereplője a gazdasági társaságok operatív irányításáért felelős vezető tisztségviselő, kft. esetén tipikusan az ügyvezető. A Polgár Törvénykönyvről szóló 2013. évi V. törvény („Polgári Törvényköny”) részletesen meghatározza a rájuk vonatkozó alapvető szabályokat és felelősségüket is, mely nem csupán a mindennapi operatív döntésekre, hanem kiemelten a társaság pénzügyi és fenntarthatósági beszámolóira is kiterjed. Mindez különösen hangsúlyossá válik az egyre közeledő általános beszámolási időszakkal. A naptári évvel megegyező üzleti évet alkalmazó társaságok számára május hónap kiemelkedő jelentőségű, ugyanis május 20-ig be kell nyújtani a legfőbb adóbevallásokat, május 31-ig pedig hivatalosan is el kell fogadni és közzé kell tenni az éves beszámolót. A közelgő határidők miatt fontos, hogy ügyfeleink tisztában legyenek az ügyvezető ennek vonatkozásában fennálló feladatainak és felelősségének legfontosabb szabályaival.

Jelen cikkünkben az ügyvezetők – első sorban – éves beszámolóval kapcsolatban fennálló felelősségének kérdését járjuk körül. Ezen kereteken belül bemutatjuk, hol húzódnak e felelősség határai és hogyan lehet ezeket a kockázatokat tudatosan, megfelelő védőhálók kiépítésével korlátozni.

Az ügyvezető felelősségéről általánosságban

A Ptk. világosan lefekteti az ügyvezetés alapelveit. Az ügyvezető a társaság operatív irányításáért felel, és ezen tevékenységét a társaság érdekeinek elsődlegessége alapján köteles ellátni.

Az ügyvezetővel szemben támasztott legfontosabb elvárás az úgynevezett „gondos üzletember” mércéje. Ez az objektív mérce megköveteli, hogy a vezető tisztségviselő a döntéseit minden esetben megfelelő informáltság mellett, jóhiszeműen, a lehetséges üzleti és jogi kockázatok előzetes mérlegelésével, és kizárólag a társaság érdekeit szem előtt tartva hozza meg. Ez a gyakorlatban azt jelenti, hogy az operatív irányítás során az ügyvezető nem hozhat olyan döntést, amely saját vagy harmadik fél (ideértve a tagokat is) érdekeit a társaság gazdasági stabilitása elé helyezi. A Ptk. ezzel egyértelművé teszi, hogy a korlátozott felelősség kizárólag a tagokat védi, az ügyvezető mögöttes személyes felelőssége a tisztségéből fakadó mulasztásokért és jogsértésekért ettől függetlenül fennáll.

A beszámoló előkészítésével és elfogadásával kapcsolatos felelősség

Az ügyvezető egyik jelentős feladata a számviteli törvény szerinti éves beszámoló elkészítése, elfogadtatása és közzététele. Noha a könyvvezetést és az adóbevallások összeállítását gyakorta külső vagy belső könyvelők, számviteli szakemberek végzik, a jogi és kártérítési felelősség a könyvvezetés szabályszerűségéért és a beszámoló tartalmának valódiságáért az ügyvezetőt terheli.

A beszámoló elfogadása, valamint az adózott eredmény felhasználására vonatkozó döntés a társaság legfőbb szervének kizárólagos hatásköre. Az ügyvezető kötelezettsége ennek kapcsán a tervezet elkészítése, a legfőbb szerv elé terjesztése, és az eredmény felhasználására vonatkozó írásbeli javaslat megtétele.

Amennyiben pedig az ügyvezető érzékeli, hogy a társaság tőkehelyzete nem megfelelő, köteles intézkedni a taggyűlés összehívása iránt és kezdeményezni a helyzet mihamarabbi orvoslását.

Az ügyvezetői felelősség mitigálása – gyakorlati lehetőségek

Felmentvény adása

Maga a Polgári Törvénykönyv is tartalmaz az ügyvezetők felelősségének korlátozására szolgáló eszközt, az ún. felmentvény adását. A felmentvény lényege, hogy a legfőbb szerv igazolja az előző üzleti évben kifejtett ügyvezetői tevékenység megfelelőségét. Megadása esetén a társaság a későbbiekben főszabály szerint nem érvényesíthet kártérítési igényt az adott időszakra vonatkozó ügyvezetési kötelezettségszegés miatt.

Fontos azonban tisztázni, hogy a felmentvény nem nyújt abszolút védelmet. Amennyiben utóbb bebizonyosodik, hogy a felmentvény alapjául szolgáló tények, adatok valótlanok vagy hiányosak voltak, e körben a társaság kártérítés iránti igénye fennáll az ügyvezetővel szemben.

Belső eljárásrend kialakítása

Az ügyvezető felelőssége oly módon korlátozható, ha a jelentős döntések meghozatalára a vállalaton belül megfelelő eljárásrend kerül kialakításra. Ez számos módon megvalósulhat (pl.: együttes aláírási rendszer bevezetése vagy adott terület szerint történő jóváhagyási-aláírási folyamat alkalmazása).

Legfőbb szervi jóváhagyáshoz kötött döntések

Nagyon gyakori, hogy bizonyos, alapvetően az ügyvezető hatáskörébe tartozó döntéseket egy társaság előzetes legfőbb szervi jóváhagyáshoz köt. Ezek meghatározása számos módon megtörténhet (pl.: döntési tárgykör alapján vagy meghatározott pénzügyi limitre tekintettel). Természetesen annak sincs akadálya, hogy az ügyvezetés olyan kérdésben kérjen jóváhagyást a taggyűléstől, amelyhez jogszabály és létesítő okirat szerint alapvetően nem kötelessége. Ilyen esetben – támogatottság esetén – értelemszerűen csökken az ügyvezető felelőssége.

Külső szakértők bevonása

Ahogy fentebb már említettük, a társaság valamennyi operatív döntéséért alapvető az ügyvezető tartozik felelősséggel. Könnyen belátható azonban, hogy az ügyvezetőnek sokszor olyan speciális (szakmai) kérdésekben is döntést kell hoznia, amely adott esetben saját szakértelmén kívül eső tárgykör. Ilyen esetekben mindenképpen javasolt a lehetséges kockázatok és döntési opciók előzetes, szakértő bevonásával történő megvizsgálása, hiszen az ennek fényében hozott végső ügyvezetői döntés megalapozottabb lehet. Ezen túlmenően pedig értelemszerűen az ügyvezető esetleges későbbi felelősségének mértékét is csökkentheti.

Ügyvezetői felelősségbiztosítás

Az ügyvezetők felelőssége rendkívül széleskörű, hiszen döntéseik a vállalat működésének szinte minden területére kihatnak, a gazdálkodástól kezdve a jogszabályi megfelelésen át egészen a munkavállalókkal és üzleti partnerekkel szembeni kötelezettségekig. Ráadásul nem csupán a társaság, hanem bizonyos esetekben saját magánvagyonukkal is felelhetnek az általuk okozott károkért, ami jelentős személyes kockázatot jelent. Az egyre összetettebb és szigorúbban szabályozott gazdasági környezetben pedig egyre könnyebb akár akaratlanul is hibát elkövetni, amely komoly jogi és pénzügyi következményekkel járhat. E kockázatok mérséklésére nyújthat megoldást az ügyvezetői felelősségbiztosítás (D&O biztosítás), amely fedezetet biztosít a vezető tisztségviselők ellen indított kártérítési igények esetén. A biztosítás jellemzően megtéríti a jogi védekezés költségeit, valamint – a szerződésben meghatározott feltételek mellett – a megítélt kártérítéseket is, így hozzájárul ahhoz, hogy az ügyvezetők nagyobb biztonsággal hozhassanak felelős döntéseket.

Összegzés

Jól látható, hogy az ügyvezetők feladatköre rendkívül szerteágazó, miközben felelősségük is kifejezetten szigorúan alakul, és sok esetben jelentős személyes kockázatot hordoz. Ebben a komplex és folyamatosan változó környezetben elengedhetetlen a tudatos felkészülés és a megfelelő védelmi háló kialakítása. Ide tartozik többek között a jól átgondolt és dokumentált döntéshozatali eljárások bevezetése, a belső kontrollrendszerek megerősítése, valamint adott esetben a megfelelő biztosítási védelem megléte is. Mindezek együttesen járulnak hozzá ahhoz, hogy az ügyvezetők feladataikat átlátható, jogszerű és biztonságos keretek között láthassák el, csökkentve a hibázás és az abból fakadó felelősség kockázatát. Mivel a vállalatok működése folyamatosan változik, ezért egy évekkel korábban kialakított ügyvezetési rend kapcsán indokolt visszatérő felülvizsgálatot tartani, hogy követi-e a módosult eljárásrendeket és a menedzsmenthez tartozó felelősség is ehhez igazodik-e.

Kép forrása: Pexels.com, Vlada Karpovich

Az ügyvezető felelőssége és a felelősségkorlátozás lehetséges módjai Read More »

CLVPartners
Adatvédelmi áttekintés

Ez a weboldal sütiket használ, hogy a lehető legjobb felhasználói élményt nyújthassuk. A cookie-k információit tárolja a böngészőjében, és olyan funkciókat lát el, mint a felismerés, amikor visszatér a weboldalunkra, és segítjük a csapatunkat abban, hogy megértsék, hogy a weboldal mely részei érdekesek és hasznosak.