Egy év alatt meghétszereződött a kiszabott GDPR bírságok mértéke

2018. május 25. óta minden vállalkozás számára kötelező az európai általános adatvédelmi rendelet, a GDPR alkalmazása. Súlyos vétség esetén a cégcsoport szintű árbevétel 4 százaléka, avagy 20 millió eurós bírság is kiszabható.

A tavalyi évre nagy hatással volt a még 2020-ban az Európai Bíróság által a Schrems II. ügyben hozott ítélet, melynek értelmében érvénytelenné vált az EU és USA közötti adattovábbítást lehetővé tévő adatvédelmi pajzs (Privacy Shield). Ez a gyakorlatban azt jelenti, hogy 

szigorodtak azok a feltételek, amelyek alapján személyes adatot harmadik országba, illetve nemzetközi szervezet részére lehet továbbítani.

Nemzetközi trendek

Az uniós adatvédelmi hatóságok 2021. január 28. óta összesen 1,1 milliárd euró összegű bírságot szabtak ki az általános adatvédelmi rendelet megsértése miatt,

amely hétszeres növekedést jelent a 2020-ban mért 158,5 millió eurós összeghez képest.

A GDPR-rendelet 2018-as hatályba lépése óta Luxemburg és Írország után sorrendben Franciaország, Németország, Olaszország és az Egyesült Királyság hatóságai szabták ki a legnagyobb mértékű bírságokat. A korábbi években Luxemburg még nem szerepelt az aggregált listán, azonban egy online kereskedővel szemben tavaly kirótt 746 millió eurós rekord bírsággal egyből az élre került.

Az a tendencia volt megfigyelhető az elmúlt években, hogy a nyugat-európai országokban ritkábban, ugyanakkor nagyobb összegű, míg a mediterrán országokban gyakrabban, de kisebb összegű bírságokat szabnak ki a hatóságok

– emelte ki Kozma Zoltán, partner, a DLA Piper Hungary Technológiai csoportvezetője.

A növekvő mértékű büntetési tételek mellett az elmúlt évben az adatvédelmi incidensek bejelentésének száma is növekedett Európában. Átlagosan naponta 365 ilyen bejelentés érkezett a hatóságokhoz, így összesen 2021-ben több mint 130 ezer bejelentésre került sor, amely 8 százalékos növekedést jelent 2020-hoz képest. 

A legtöbb bejelentés 2018 májusa óta Németországban, Hollandiában, az Egyesült Királyságban, Lengyelországban és Dániában történt, 

azonban, ha az eredményeket az országok lakosságához viszonyítva vizsgáljuk, Hollandia kerül az élre, a 100 ezer főre jutó 150,7 bejelentéssel. A legkevesebb bejelentett incidens Görögországban, Csehországban és Horvátországban történt.

Magyarország is élen jár a GDPR-büntetések kiszabásában

2018 óta 115 esetben szabott ki bírságot a Nemzeti Adatvédelmi és Információszabadság Hatóság, összesen 476 millió forint (1,3 millió euró) összegben. 

Ezzel hazánk, a kiszabott bírságok összértékét tekintve, a 14. helyen áll, Lengyelországot (2,2 millió euró), Bulgáriát (3,1 millió euró) és Norvégiát (7,8 millió euró) követve a sorban.

Magyarországon a GDPR-szabályozás bevezetése óta eddig a legmagasabb összegű bírságot (288 ezer euró) egy hírközlési szolgáltató kapta, 

miután a cég nem megfelelő adatvédelmi háttérintézkedéseinek hatására nagyszámú ügyféladatot tartalmazó adatbázisai hozzáférhetővé váltak. Azonban Magyarország jelentősen elmarad a legmagasabb bírságot kiszabó országoktól, amelyek közül a 10. helyen álló Alsó-Szászország német tartomány is a magyar rekordösszeg mintegy 36-szorosával (10, 4 millió euró) került fel a tízes toplista végére.