Az uniós adatvédelmi hatóságok 2021. január 28. óta összesen 1,25 milliárd dollár bírságot szabtak ki az államközösség általános adatvédelmi rendeletének megsértése miatt - közölte a DLA Piper ügyvédi iroda minapi jelentésében. Ez az összeg az egy évvel korábbi mintegy 180 millió dollárról hatalmasat ugrott. A cégek által a szabályozóknak küldött, adatvédelmi incidensekről szóló bejelentések szerényebb mértékben, 8 százalékkal, átlagosan napi 356-ra emelkedtek.
A GDPR 2018 óta van hatályban. Az uniós adatvédelmi szabályok átfogó módosításainak célja, hogy az európai fogyasztók nagyobb kontrollt kapjanak az adataik felett. A vállalatoknak egyértelmű jogalapot kell igazolniuk a felhasználók személyes adatainak gyűjtéséhez és feldolgozásához. A cégeknek pedig az első észleléstől számított 72 órán belül értesíteniük kell a hatóságokat minden adatszegésről.
A szabályok be nem tartása súlyos bírságokat vonhat maga után. Jelesül a vállalat éves globális bevételének 4 százalékát vagy 20 millió eurót, attól függően, hogy melyik a nagyobb összeg.
"A GDPR mindenképpen eredményes volt abban, hogy mindenki komolyan vette, és odafigyelt az adatvédelmi jogszabályokra, az adatvédelmi szabályok betartatására. A GDPR előtt, ha bírsággal sújtottak, és a nagyobb adatfeldolgozók közé tartoztál, az egy kerekítési hiba volt, alig tudtad kifizetni belőle a karácsonyi partit. Most pedig már közel egymilliárd eurós bírságokat kaptál" - mondta Ross McKean, a DLA Piper brit adatvédelmi és biztonsági csoportjának elnöke a CNBC-nek.
Tavaly az uniós szabályozók rekordösszegű bírságokat szabtak ki a GDPR alapján, és a büntetések nagy részét a nagyvállalatok kapták. A luxemburgi adatvédelmi felügyelettől 746 millió eurós bírságot kapott az Amazon, míg az írországi hatóságok 225 millió eurós büntetést szabtak ki a Meta WhatsAppra. Mindkét ügyben folyamatban van a bírsági fellebbezés.
McKean szerint gyakran eltart egy ideig, amíg a szabályozó hatóságok nagy összegű bírságokat szabnak ki, ha azokat új jogszabály alapozza meg. "Ez azért van, mert a vizsgálatok eltartanak egy darabig. A törvény pedig még mindig tele van rengeteg nyitott jogi kérdéssel" - mondta. A nyitott kérdések közé tartozik az EU és az Egyesült Államok közötti, határokon átnyúló adattovábbítás kérdése.
Az Európai Bíróság 2020-ban egy fontos döntést hozott, amelyben érvénytelenítette a Privacy Shield keretrendszer alkalmazását, amely az Atlanti-óceánon át történő adattovábbítás jogi kerete. Az ítélet "Schrems II" néven vált ismertté, az ügyet eredetileg kezdeményező Max Schrems osztrák adatvédelmi aktivista után. Miközben az adatvédelmi pajzsot érvénytelenítették, az Európai Bíróság fenntartotta az általános szerződési záradékok érvényességét, amely az EU és az Egyesült Államok közötti adatáramlás jogi szempontból való biztosításának másik mechanizmusa. A cégek pedig még mindig küzdenek az ítélet következményeivel. Az ítélet fő állítása az, hogy az amerikai adatvédelmi rendszer nem egyenértékű az uniós rendszerrel.
McKean szerint a szervezetek számára a jövőben a legnagyobb fejfájást az EU és az Egyesült Államok közötti adattovábbítás jogi bizonytalansága okozza. Egyelőre életben tartják a szabványos szerződéses záradékokat (SCC), amelyek alkalmazása messze a legnépszerűbb módszer az ilyen adattovábbítások jogi feldolgozására, mivel az EU és az USA tisztviselői az adatvédelmi pajzs helyébe lépő új adatpaktummal kapcsolatos terveket dolgoznak ki.
A Facebook anyavállalata, a Meta heves vitába keveredett az ír adatvédelmi bizottsággal az ügyben. A DPC felszólította a Metát, hogy ne használja az SCC-ket a felhasználói információk Európából az Egyesült Államokba történő továbbítására, mivel vizsgálja a vállalat adattovábbítási gyakorlatát. A Meta elérte, hogy ideiglenesen befagyasszák a rendelkezést, de az ír legfelsőbb bíróság elutasította azt, és lehetővé tette a felügyelő hatóság számára, hogy folytassa a vizsgálatot.
A közelmúltban egy figyelemre méltó ügyben az osztrák adatvédelmi felügyelőség szerint a Google Analytics használata sérti a GDPR-t, mivel potenciálisan kiszolgáltatja a felhasználók adatait az amerikai hírszerző ügynökségeknek. A határozat nem magát a Google-t, hanem a Google webanalitikai szolgáltatását használó kiadót célozza.
A Meta és más nagy amerikai technológiai vállalatokhoz hasonlóan a Google is az SCC-kre támaszkodik az EU és az USA közötti adattovábbítások feldolgozásához. A Google akkor azt mondta, hogy a Google Analyticset használó cégek "ellenőrzik, hogy milyen adatokat gyűjtenek ezekkel az eszközökkel, és hogyan használják fel azokat", és hogy a vállalat "számos biztosítékot, ellenőrzést és erőforrást nyújt a megfeleléshez".
A megnövekedett jogi bizonytalanság mellett McKean szerint arra számít, hogy 2022-ben további fellebbezések jelennek meg a GDPR-bírságok ellen.