2022-ben 1,64 milliárd euró értékben szabtak ki GDPR-bírságot Európában, a rendelet 2018-as hatályba lépése óta kiszabott büntetések összértéke pedig ezzel eléri a 2,92 milliárd eurót – derül ki a DLA Piper által publikált globális tanulmányból*. A riport, amellett, hogy összegzi és bemutatja a tavalyi évben Magyarországon, valamint további 30 európai államban kiszabott GDPR-bírságok mértékét, átfogó képet ad a végrehajtási trendekről és betekintést enged a várható fejleményekbe is.
A DLA Piper a GDPR-rendelet 2018-as hatályba lépése óta vizsgálja az adatkezelési incidensek alakulását. Az előző, 2022 elején közzétett riport előrejelzéseivel összhangban, a tavalyi évben a végrehajtási eljárások és büntetések fókuszában a digitális hirdetéstechnológia (Ad-tech) és a viselkedés-alapú, célzott online hirdetések álltak.
Írország és Luxemburg a nemzetközi listák élén
Írország és Luxemburg egyaránt kedvelt lokációnak tekinthető az Európában terjeszkedni kívánó, tengerentúli technológiai vállalatok körében – ennek tükrében, továbbá, mivel az európai adatvédelmi szabályozók továbbra is a tech szektorra összpontosítanak, nem meglepő, hogy az említett két ország helyezkedik el a GDPR-bírságokat összegző listák elején.
Az első helyen, a 2018. május 25-től kiszabott GDPR-bírságok összértékét tekintve Írország zárt, több mint 1,3 milliárd eurónyi kiszabott büntetéssel. A második helyet Luxemburg foglalja el, ahol a hatóságok a GDPR-rendelet hatályba lépése óta mintegy 746 millió euró összértékű bírságot szabtak ki – ennek szinte teljes egészét egy büntetés teszi ki, amely ezzel a kontinens legnagyobb egyedi büntetésének bizonyult 2022-ben. A harmadik helyen Franciaország szerepel, közel 430 millió eurónyi kiszabott pénzbírsággal a GDPR-rendelet 2018-as életbe lépése óta.
Írország első helyezésében jelentős súllyal bírnak a Facebook és az Instagram anyavállalatára, a Meta-ra kiszabott büntetések – a legmagasabb, 405 millió euró összegű büntetést a gyermekek személyes adatainak védelmét érintő mulasztások miatt szabták ki a vállalatra. A Facebook és az Instagram a 2023-as évet is két, nemzetközi léptékben is jelentős bírsággal kezdte Írországban: az előbbi 210 millió euró, utóbbi 180 millió euró értékű pénzbírságot kapott a viselkedés-alapú hirdetésekhez használt fogyasztói profilalkotási gyakorlatai miatt.
Rekordbírság Magyarországon
A GDPR-bírságok Magyarországot sem kerülték el az elmúlt években – az összesített lista középmezőnyében (16.) végeztünk, mintegy 2,2 millió eurónyi kiszabott büntetéssel, melyek között egy rekordösszegű bírság is szerepelt: a Nemzeti Adatvédelmi és Információszabadság Hatóság 250 millió forintra büntetett egy magyar bankot, amely mesterségesintelligencia-alapú hangelemző szoftverrel automatikusan értékelte a call centeres hívásokat, és elemezte az ügyfelek érzelmi állapotát. A vizsgált időszakban 711 incidenst jelentettek, ami 25%-os növekedést jelent az egy évvel korábbi időszak esetszámához képest.
„A DLA Piper jelen riportja, valamint a közelmúlt nemzetközi és hazai bírságai is mutatják, hogy a digitalizáció széleskörű elterjedése fokozott óvatosságot és odafigyelést kíván meg a vállalatoktól a GDPR-elvek betartása során. Ide tartoznak többek között a mesterségesintelligencia-alapú megoldások, az online hirdetéstechnológiák, valamint az adatvédelmi szabályzatok online rendszerek használatára, és a személyes adatok tárolására vonatkozó részei is. Az online szektor további növekedésével a tendencia várhatóan a jövőben is folytatódik”
– mondta el Kozma Zoltán, a DLA Piper Hungary Technológia csapatának vezetője.
* A GDPR fines and data breach survey riport a 2022. január és 2023. január között kiszabott bírságok országonkénti táblázatát tartalmazza, a felmérés kiterjed az Európai Unió mind a 27 tagállamára, valamint az Egyesült Királyságra, Norvégiára, Izlandra és Liechtensteinre.
Szerző:
Kozma Zoltán
Szellemi Alkotások és Technológiai csoportvezető