2024-ben az uniós adatvédelmi hatóságok összesen 1,2 milliárd euró bírságot szabtak ki, ezzel a büntetések összértéke 5,88 milliárd euróra nőtt a rendelet alkalmazandóvá válása óta – derül ki a DLA Piper legfrissebb, immár hetedik alkalommal megjelenő riportjából.* A legmagasabb összegű bírságok ismét a technológiai szektort sújtották, miközben az adatvédelem fókuszában a vezetői felelősség és az AI-eszközök adatvédelmi kérdései állnak.
Habár a 2024-ben kiszabott bírságok összértéke 33 százalékkal esett vissza az előző évi 1,78 milliárd euróhoz képest, ez nem jelenti azt, hogy a hangsúly eltolódott volna a személyes adatokkal kapcsolatos jogérvényesítésről. A csökkenés oka elsősorban annak tudható be, hogy 2023-ban az ír adatvédelmi hatóság a Meta részére rekordösszegű, 1,2 milliárd euró bírságot szabott ki, ami a valaha volt legmagasabb büntetés.
A 2024-es évben is a technológiai szektor és a közösségi média szereplőit érintették leginkább az adatvédelmi szankciók: a tíz legmagasabb bírságból kilencet ebben a szektorban működő szervezetek kapták. Az ír hatóság például 310 millió eurós bírságot szabott ki a LinkedInre, ugyanis a szervezet a felhasználói adatok elemzése és azok célzott hirdetésekhez való kezelése során számos pontban megsértette a GDPR alapelveit. Egy másik jelentős szankció szintén Írországban történt: a Meta 251 millió eurós bírságot kapott egy adatvédelmi incidens kapcsán, amely az Európai Gazdasági Térségben (EEA) élő 3 millió felhasználót érintett.
A technológiai szektor mellett a pénzügyi és az energetikai ágazat szereplői is jelentős bírságokat kaptak. A spanyol adatvédelmi hatóság két, összesen 6,2 millió euró összegű bírságot szabott ki egy nagybankkal szemben a nem megfelelő biztonsági intézkedések miatt, az olasz adatvédelmi hatóság pedig 5 millió eurós bírsággal sújtott egy közüzemi szolgáltatót, mert az elavult vagy pontatlan ügyféladatokat használt.
Magyarország a régiós középmezőnyben
Magyarország a 2018. május 25 óta kiszabott GDPR-bírságok összértékét tekintve a mintegy 4,2 millió euró (1,7 milliárd forintos) kiszabott bírsággal megtartotta tavalyi 17. helyét az európai mezőnyben – míg az első három helyen Írország (3,5 milliárd euró), Luxemburg (746 millió euró) és Franciaország (597 millió euró) végzett. A legnagyobb hazai figyelmet kiváltó ügyek között említhető a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) szankciója egy fejvadász cég ellen, amely a jelentések szerint jogellenesen kezelte és osztotta meg több ezer álláskereső adatait. Emellett a NAIH a tavalyi évben figyelmeztetést tett közzé a hangfelvételek jogszerű kezelésére vonatkozóan is.
Célkeresztben az AI és a vezetői felelősség
Az AI-technológiák adatvédelmi vonatkozásai szintén a szabályozók figyelmének középpontjában állnak. Míg Írországban az X chatbot adatkezelési gyakorlatát vizsgálták hangsúlyosan, a holland adatvédelmi hatóság 290 millió eurós rekordbírságot szabott ki egy személyszállító alkalmazásra személyes adatok harmadik országba történő továbbítása miatt, továbbá 30,5 millió eurós bírságot rótt ki a Clearview AI vállalatra, adatgyűjtésre és arcfelismerő rendszerekre vonatkozó GDPR-sértések miatt. A holland adatvédelmi hatóság azt is vizsgálja, hogy a vállalat igazgatóit személyes felelősség is terheli-e a GDPR többszöri megsértéséért.
"Az Európai Uniós szabályok egyre inkább összepontosítanak a vállalati vezetők személyes felelősségére is, szigorúbb megfelelési követelményeket támasztva. Tagállamonként eltérő, hogy a hatóságok rendelkeznek-e jogkörrel a személyes felelősség megállapítására a GDPR megsértése esetén."
– mondta el Almásy Márk, a DLA Piper Hungary Szellemi Alkotások és Technológiai csoportjának ügyvédje.
Milyen adatvédelmi kihívások várhatóak idén?
Várhatóan idén is nagy figyelmet kap a “consent or pay” (hozzájárulás vagy fizetés) modell, amelyet élénk viták kísértek 2024-ben, ugyanis a modell lényege, hogy a felhasználók mindössze két megoldás közül választhatnak: hozzájárulnak a személyes adataik viselkedésalapú hirdetésekhez való felhasználásához vagy fizetnek a szolgáltatásért. Az Európai Adatvédelmi Testület (EDPB) tavaly áprilisban végül véleményt fogadott el arról, miszerint a nagy online platformoknak lehetővé kell tenniük, hogy a felhasználó választhasson egy további, úgynevezett “egyenértékű alternatívát”, amely ingyenes és mentes a viselkedésalapú hirdetésektől. Bár a testület nem jelentette ki, hogy ezek a modellek semmilyen esetben sem lehetnek jogszerűek, de arra jutott, hogy a legtöbb esetben nem felelnek meg a GDPR előírásainak az érvényes hozzájárulásra vonatkozóan, ebből fakadóan pedig jogellenesek.
Az EDPB decemberben közzétett, szintén régóta várt véleménye az AI-modellekkel kapcsolatos adatvédelmi szempontokról nem ad egyértelmű iránymutatást, így a személyes adatok jogszerű felhasználásának határai továbbra is bizonytalanok az AI eszközök esetében.
"A mesterséges intelligencia gyors elterjedése és a szigorú uniós adatvédelmi jogszabályok következtében az elkövetkező években számos hatósági vizsgálatra, szankcióra és bírósági eljárásokra számíthatunk."
– tette hozzá Kozma Zoltán, a DLA Piper Hungary Szellemi Alkotások és Technológia csoportvezető partnere.
A teljes riport ezen a linken érhető el.
* A GDPR fines and data breach survey riport a 2024. január és 2025. január között kiszabott bírságok országonkénti táblázatát tartalmazza. A felmérés az Európai Unió 27 tagállamára, valamint az Egyesült Királyságra, Norvégiára, Izlandra és Liechtensteinre terjed ki.
Szerzők: Kozma Zoltán, Almásy Márk

Kozma Zoltán
Szellemi Alkotások és Technológiai csoportvezető
Kozma Zoltán
Kérdése van? Keressen minket bizalommal!
Kövesse LinkedIn oldalunkat!
További tartalmaink technológia témában

Újabb lépés a biztonságos pénzügyi szektor felé – élesedik a DORA rendelet
2025. január 17-től életbe lép az EU pénzügyi szektorát érintő DORA rendelet, amely jelentős változásokat hoz. Almásy Márk, a DLA Piper Hungary ügyvédje összefoglalta a legfontosabb tudnivalókat.

A mesterséges intelligencia nélkülözhetetlen infrastruktúrái: az adatközpontok
Az adatközpontok soha nem látott ütemben fejlődnek, jelentős energiaigényük miatt a fenntarthatósági kihívások és az ellátásbiztonság egyre inkább központi kérdéssé válnak.

Hogyan tovább önvezetés? Új közlekedési kormányzati stratégia Németországban
Napjaink bizonytalan gazdasági környezetében milyen irányba halad az autonóm és hálózatba kapcsolt közlekedés? Ezen kérdés kapcsán Nyalka Csaba, a DLA Piper Hungary együttműködő szenior ügyvédje nyújt tájékoztatást egy friss iparági fejleményről.