DLA Piper: Ismét megugrott a GDPR-bírságok mértéke Európában

2023-ban rekordösszegű GDPR-bírságot szabtak ki Európában, a kiszabott bírságok összértéke a tavalyi évben elérte a 1,78 milliárd eurót – derül ki a DLA Piper által publikált nemzetközi tanulmányból*. A riport az általános adatvédelmi rendelet (GDPR) hatályba lépése óta vizsgálja Magyarországon, valamint további 30 európai államban az adatvédelmi bírságok és az adatvédelmi incidensek alakulását.

Habár a GDPR közel 6 éve lépett hatályba, az adatkezelési incidensek nyomán kiszabott bírságok értéke még mindig növekedést mutat. 2023 végére közel 36 százalékkal ugrott meg a bírságok összértéke az előző évhez képest, ezzel Európában a 2018 óta kiszabott bírságok összértéke már eléri a 4,6 milliárd eurót.

Célkeresztben a közösségi média platformok

A növekedés hátterében leginkább a technológiai óriásokra kiszabott hatalmas bírságok állnak. Az ír adatvédelmi hatóság 2023 májusában újabb rekordot jelentő, 1,2 milliárd euró értékű bírságok szabott ki a Metára. Az adatvédelmi hatóság ezen felül arra is kötelezte a Facebook, Instagram és Whatsapp anyavállalatát, hogy függessze fel a személyes adatok Egyesült Államokba történő továbbítását, azonban az Európai Bizottság által júliusban elfogadott EU-USA adatvédelmi keretrendszer végül enyhített az évek óta húzódó aggályokon a tengerentúli adattovábbítások tekintetében.

EU-USA adatvédelmi keretrendszer

Az EU-USA adatvédelmi keretre vonatkozó megfelelőségi határozat megállapította, hogy az USA megfelelő védelmi szintet biztosít az EU-ból az amerikai vállalatoknak továbbított személyes adatok tekintetében. A határozat alapján az uniós országokból (valamint Izlandról, Liechtensteinből és Norvégiából) további adatvédelmi garanciák alkalmazása nélkül továbbíthatóak személyes adatok a keretrendszerben részt vevő amerikai szervezetek részére. A keret több biztosítékot is bevezetett, többek között az amerikai hírszerző szolgálatok uniós adatokhoz való hozzáférésének szükséges és arányos mértékre való korlátozását.

Mivel a nagyobb tengerentúli technológiai vállalatok európai székhelye Írországban és Luxemburgban található, az említett két ország helyezkedik el a GDPR-bírságokat összegző listák elején. Írországban eddig összesen 2,86 milliárd euró értékben szabtak ki bírságot, míg Luxemburgban ez az összeg meghaladja a 746 millió eurót. A harmadik helyet Franciaország foglalja el, 546 millió eurónyi kiszabott pénzbírsággal.

Magyarország a középmezőnyben

A 2018. május 25-től kiszabott GDPR-bírságok összértékét tekintve Magyarország a 17. helyen szerepel az európai mezőnyben, mintegy 3,2 millió eurónyi (1,2 milliárd forintos) kiszabott bírsággal.

2023-ban a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) többek között 80 millió forintos pénzbírságot szabott ki – az eredeti 100 millió forintos bírság kiszabását követően megismételt eljárásban – egy hírközlési szolgáltatóval szemben, illetve 30 millió forintos pénzbírságot állapított meg egy szépségszalon üzemeltetője tekintetében, aki összesen 32 kamera üzemeltetésével jogellenesen figyelte meg munkavállalóit és vendégeit, ráadásul a felvételek rögzítésre is kerültek

A NAIH felé a tavalyi évben hozzávetőlegesen 500 adatvédelmi incidenst jelentettek, 2018 óta ezzel összesen több mint 3200 bejelentés érkezett Magyarországon.

„A hatóság az eljárások során súlyosító tényezőként kezelte, ha az incidens olyan adatbiztonsági hiányosság miatt következett be, amely a vállalat által könnyen észlelhető és kezelhető lett volna. A döntések, illetve a kiszabott bírságok mértékének meghatározása során kiemelt szempont volt a jogsértés jellege, hatása és időtartama is, figyelembe véve az érintettek számát és az általuk elszenvedett kár mértékét” – mondta el Kozma Zoltán, a DLA Piper Hungary technológiai csoportvezetője.

A teljes riport innen érhető el.