A GDPR (általános adatvédelmi rendelet) 2018-ban lépett hatályba, és ez idő alatt számos szervezet bukott meg a szabályai miatt. Valójában több mint 650 bírságot szabtak ki a GDPR megsértésével kapcsolatban, összesen több mint 280 millió euró értékben alig több mint három év alatt. Melyek voltak tehát a legsúlyosabb büntetések? Melyek a leggyakoribb jogsértések? És mely országok voltak a legsúlyosabb jogsértők? Az ESET alámerült az adatokba, hogy kiderítse!
Az eddigi legnagyobb GDPR-bírságok
1. Amazon - 746 millió euró
Az eddigi legjelentősebb GDPR-bírság csak viszonylag nemrég született, de minden korábbi bírságot felülmúlt: a technológiai óriáscéget, az Amazont 746 millió euróra büntették. A bírság több mint kétszerese minden korábbi GDPR-bírságot együttvéve, és ez az első igazán jelentős bírság, amelyet kiszabtak. Az Amazon jelenleg fellebbez a döntés ellen (amelyet Luxemburg hozott ellene), így a döntés mérföldkőnek számít a GDPR korai történetében, bárhogy is alakuljon.
2. Google - 50 millió euró
A második legmagasabb GDPR-bírságot az egyik legnagyobb szervezet kapta: a Google. A keresőmotor-óriást 50 millió euróra bírságolta a francia adatvédelmi hatóság, a CNIL. Úgy ítélték meg, hogy a Google nem tájékoztatta megfelelően a felhasználóit arról, hogyan gyűjtik az adataikat, és hogyan használják fel azokat a célzott hirdetések keretében. Bár a bírság ellen 2020-ban fellebbeztek, a fellebbezést a francia Conseil d'État, az ország legfelsőbb bírósága elutasította, és a bírság helybenhagyását rendelte el.
3. H&M - 35,3 millió euró
A H&M Hennes & Mauritz online áruház A.B. & Co. KG (ismertebb nevén egyszerűen csak H&M) tavaly valamivel kevesebb mint 35,3 millió eurós bírságot kapott több száz alkalmazottjának illegális megfigyelése miatt. Kiderült, hogy a divatáru-kiskereskedő a nürnbergi szolgáltatóközpontjában túlzottan sok adatot tárolt az alkalmazottakról, többek között a családjukra, vallásukra és betegségükre vonatkozó adatokat. A Google-lal és az Amazonnal ellentétben azonban a H&M vállalta a bírságot, és ígéretet tett arra, hogy kártalanítja az érintett alkalmazottakat.
Az eddigi legnagyobb GDPR-bírságok
Magyarország is sok szabálytalanságot talált, az esetszámokat tekintve a negyedik az európai országok között. Hazánkban 43 esetben büntettek, és ezért 811 ezer eurós bírságot szabták ki. Leginkább csak az esetek számában voltunk erősek, a listán hátrébb álló országok közül többnél jelentősen nagyobb bírságokat szabtak ki: Németországban például 28 esethez társul 49 milliónyi euró büntetés, de mindenkit leköröz Luxemburg, ahol 746 milliós volt a bírság, mint látni fogjuk, nem véletlenül.
A GDPR-bírságok leggyakoribb okai
Az eddigi bírságok többsége az "adatkezelés elégtelen jogalapja" kategóriába esett, és a legutóbbi Amazon-bírságig ez volt az a szabály, amely a legmagasabb átlagos bírságért és az eddig kifizetett GDPR-bírságok legmagasabb összegéért is felelős volt.
Lényegében egy szervezetnek tudnia kell bizonyítani, hogy van olyan jogalap, amely az Ön adatainak feldolgozását "szükségessé" teszi, nem pedig egyszerűen csak hasznossá, amit több mint 270 vállalat nem tett meg.
A második leggyakoribb bírságolási ok a "nem megfelelő technikai és szervezeti intézkedések az információbiztonság biztosítására" volt, a GDPR 2018-as bevezetése óta 155 jogsértés történt. A két legnagyobb ilyen bírságot az Egyesült Királyságon belül szabták ki, ahol a British Airways-t és a Marriott International-t 22 millió, illetve 20,45 millió eurós bírsággal sújtották 2020 októberében.
Ez a konkrét GDPR-szabály a fogyasztók személyes adatainak védelmét célozza: jogsértésre akkor kerül sor, ha úgy ítélik meg, hogy egy szervezet nem biztosította megfelelően a fogyasztók adatainak biztonságát.
A harmadik leggyakoribb jogsértés sokkal általánosabb volt: "az általános adatfeldolgozási elveknek való meg nem felelés", amely a GDPR kevésbé súlyos megsértését takarja.
Az e jogsértésért kiszabott teljes és átlagos bírságok számait nagyban befolyásolja az Amazonra idén kiszabott jelentős bírság, amelynek átlagos összege 5,2 millió euró, a kiszabott bírságok összege pedig 782 millió euró volt.
A GDPR-bírságok leggyakoribb okai
Az eddigi legtöbb GDPR-bírságot kiszabó országok
Bár a spanyol szervezetekkel szemben kiszabott átlagos bírság meglehetősen alacsony, alig több mint 118 000 euró, valójában Spanyolországban szabták ki messze a legtöbb bírságot: 273 bírsággal a régió az összes eddigi GDPR-szabálysértés valamivel több mint egyharmadát tudhatja magáénak. Ez egyetlen ország esetében hatalmas számú bírság, még akkor is, ha a kiszabott összegek nem olyan magasak, mint a kontinens más országai esetében.
Olaszország a második legtöbb bírságot kiszabó ország: 2018 óta több mint 84 millió euróról van szó. A legjelentősebb esetük a Gruppo TIM-é volt, akiket 27,8 millió euróra büntettek, őket követte a WINDTRE (16,7 millió euró) és a Vodafone Italy (12,25 millió euró).
Románia átlagos GDPR-bírsága igen szerény, 11 659 euró, ami az egyik legalacsonyabb Európában, de a nemzet még így is sok bírságot kapott, és ezzel a harmadik helyen áll a listán. A legjelentősebb a Raiffeisen Bank 150 000 eurós bírsága volt - ami elhalványul a más országok nagyvállalatai által kiszabott bírságokhoz képest. Ehelyett a romániai bírságok gyakran jóval alacsonyabbak voltak, általában csak néhány ezer eurót tettek ki.
A GDPR-jelentés - Mely vállalkozásokat sújtották a legnagyobb GDPR-bírságokkal?