Az európai adatvédelmi hatóságok 2025-ben összesen mintegy 1,2 milliárd eurónyi GDPR-bírságot szabtak ki, ezzel a rendelet 2018-as alkalmazandóvá válása óta kiszabott szankciók összértéke meghaladja a 7,1 milliárd eurót – derül ki a DLA Piper legfrissebb, évente megjelenő GDPR Fines and Data Breach Survey című riportjából*. Bár a tavaly kiszabott bírság összege nem haladja meg az előző évi szintjét, az adatvédelmi incidensek bejelentése új csúcsra emelkedett Európában.
A jelentés szerint a legnagyobb összegű bírságok továbbra is elsősorban a technológiai szektort sújtják: tavaly a tíz legmagasabb bírságból kilencet a nagy tech cégek kapták. 2025-ben az év legnagyobb bírságát az ír adatvédelmi hatóság szabta ki, összesen 530 millió euró értékben.
A GDPR alkalmazandóvá válása óta Írországban szabták ki a legtöbb bírságot, amely leginkább annak köszönhető, hogy itt található több nagy technológiai és közösségimédia-platform európai székhelye, köztük a korábban 1,2 milliárd eurós csúcsbírságot kapó Meta is. . Az összesített bírságösszegek tekintetében Franciaország áll a 2. helyen (1,1 milliárd euró), amelyet Luxemburg
(746,56 millió euró) követ.
Rekordszámú adatvédelmi incidens-bejelentés
Habár a kiszabott bírságok összértéke 2025-ben nem emelkedett az előző év azonos időszakához képest, a bejelentett adatvédelmi incidensek száma jelentősen megugrott: 2025-ben átlagosan 443 incidenst jelentettek naponta Európában, ami 22 százalékos növekedést jelent az előző évi, napi 365 esettel összevetve.
Nem egyértelmű, hogy mi állhat a növekedés hátterében, de a fokozódó kiberfenyegetések, a geopolitikai feszültségek, valamint az olyan – incidensek bejelentésére vonatkozó követelményeket is előíró – új szabályozások, mint a NIS2 irányelv és a DORA rendelet mind hozzájárulhatnak az emelkedéshez.
"Nem véletlen, hogy az EU Digitális Omnibusz rendelete a bejelentési kötelezettség küszöbének megemelését javasolja, annak érdekében, hogy csak azok az incidensek kerüljenek a hatóságokhoz, amelyek valóban magas kockázatot jelentenek az érintettek jogaira nézve. A felügyeleti hatóságokat az utóbbi időben elárasztották a bejelentések, és – érthető módon – a valóban kockázatos esetekre szeretnének koncentrálni"
2025. november 19‑én az Európai Bizottság bemutatta a „Digitális Omnibusz” nevű javaslatcsomagot, amelynek célja az EU szélesebb digitális szabályozási keretrendszerének korszerűsítése, valamint a mesterséges intelligenciára, a kiberbiztonságra és az adatokra vonatkozó szabályok egyszerűsítése.
A javaslatok között szerepel egy uniós szintű, egységes adatvédelmi incidens‑bejelentési portál is, amely a GDPR, a NIS2, a DORA és más keretrendszerek párhuzamos kötelezettségei miatt keletkező adminisztratív terhek csökkentését célozza.
A „report once, share many” (“egyszeri jelentés, több felhasználás”) elv alapján a módosítások többek között:
- emelnék a bejelentési küszöbértéket, hogy csak az egyénekre nézve magas kockázatot jelentő incidenseket kelljen bejelenteni a felügyeleti hatóságoknak;
- meghosszabbítanák a bejelentési határidőt 72 óráról 96 órára;
- létrehoznának egy központosított portált (amelyet az uniós kiberbiztonsági ügynökség, az ENISA üzemeltetne), egy harmonizált incidens‑bejelentő űrlappal, amely más, átfedést jelentő bejelentési kötelezettségeket is kezelne
Előtérbe kerültek a kártérítési igények és a nem vagyoni kár értelmezése
Európai Unió Bírósága (EUB) 2025 szeptemberében az egyik döntésében kimondta, hogy a GDPR megsértéséből fakadó “nem vagyoni kár” magában foglalhatja a személyes adatokkal való visszaélés miatti félelmet vagy szorongást is – így ez is kártérítési alapot képezhet, ugyanakkor az érintetteknek bizonyítaniuk kell a negatív érzelmek fennállását, valamint azt, hogy ezek valóban a GDPR megsértéséből erednek.
Az EU-ban és az Egyesült Királyságban már több döntés született az ilyen típusú kártérítési igényekkel kapcsolatban, ezek azonban eddig vegyes képet mutatnak – volt olyan, amely a felperesek javára, mások inkább az alperesnek kedveznek, illetve egy írországi döntésben nemrég kimondták, hogy az ilyen jellegű kártérítés összege várhatóan többnyire csekély lesz.
Magyarország a középmezőnyben
Magyarországon 2018. május 25. óta közel 4,5 millió euró (1,7 milliárd forintos) bírságot szabott ki Nemzeti Adatvédelmi és Információszabadság Hatóság, ezzel a 17. helyen szerepel az uniós mezőnyben.
A tavalyi évben Magyarországon csökkent a kiszabott bírságok összértéke, viszont a bejelentett adatvédelmi incidensek száma növekedett: 2025-ben 678, míg az azt megelőző évben mindössze 530 ilyen bejelentés érkezett. A bírságösszeg csökkenésének okai között feltehetően az adatvédelmi hatóság ügyterhe és a hatósági eljárások elhúzódása állhat.
Merre tart az adatvédelmi szabályozás Európában?
A jelentés előrejelzései szerint a következő évben a hatóságok nagyobb hangsúlyt fektetnek majd a GDPR adatbiztonsági követelményeinek érvényesítésére, és várhatóan több vizsgálatot indítanak azon beszállítók ellen, amelyek több adatkezelő megbízásából járnak el adatfeldolgozóként. Ezek a vállalatok különösen vonzó célpontnak számítanak a támadók számára, mivel gyakran több ügyfél érzékeny adatait kezelik, illetve belépést is jelenthetnek különböző digitális rendszerekbe.
"Ezt a tendenciát ösztönzik majd várhatóan a geopolitikai feszültségek fokozódása, valamint a pénzügyi szolgáltatásokat és a kritikus infrastruktúrákat érő, egyre súlyosabb kibertámadások is. A folyamatot a szabályozói fókusz is erősíti: az olyan szabályozások mint a NIS2, DORA és a kiberrezilienciáról szóló rendelet már kifejezetten az ellátási láncok biztonságára és ellenállóképességére írnak elő követelményeket. Ezáltal elengedhetetlenné válik az érintett vállalatok számára az adatvédelmi és kiberbiztonsági intézkedések további erősítése"
A teljes riport ezen a linken érhető el.
* A GDPR Fines and Data Breach Survey riport a 2025. január és 2026. január között kiszabott bírságok országonkénti táblázatát tartalmazza. A felmérés az Európai Unió 27 tagállamára, valamint az Egyesült Királyságra, Norvégiára, Izlandra és Liechtensteinre terjed ki.
Szerzők: Kozma Zoltán, Almásy Márk
Kozma Zoltán
Szellemi Alkotások és Technológiai csoportvezető
Kozma Zoltán
További tartalmaink technológia témában
Interview with Zoltán Kozma | BBJ: The Most Influential Legal Executives in Hungary 2025
In the latest edition of BBJ’s “The Most Influential Legal Executives in Hungary 2025” Zoltán Kozma shared his thoughts on the current and future challenges of the legal market.
Automatizált és autonóm vezetés Svájcban: új közlekedési jogszabály lépett hatályba
Svájc is megalkotta azt a komplex jogi-műszaki szabályrendszert, amely már túlmutat a tesztelésen és lehetővé teszi az SAE besorolása szerinti 3. és 4. szintű járművek üzemszerű működtetését.
Közel 6 milliárd euró bírság a GDPR óta
2024-ben az uniós adatvédelmi hatóságok összesen 1,2 milliárd euró bírságot szabtak ki, ezzel a büntetések összértéke 5,88 milliárd euróra nőtt a rendelet alkalmazandóvá válása óta – derül ki a DLA Piper legfrissebb, immár hetedik alkalommal megjelenő riportjából.*