Mindennapi életünk egyre nagyobb része költözik át az online térbe, és ma már az egészségügyi adatainktól a pénzügyi tevékenységünkig aligha akad olyan személyes információ, aminek ne lenne nyoma az interneten. Ez persze rengeteg előnnyel jár, felgyorsítja és kényelmesebbé teszi az adatok kezelését és feldolgozását, ugyanakkor a legkülönfélébb visszaélésekre is módot ad.
Ezt a problémát sokáig a szőnyeg alá söpörték, a 2010-es évek elejétől azonban kezdték egyre komolyabban venni, és végül az EU-ban hosszú viták és a különböző érdekcsoportok közötti birkózás után 2018-ban megszületett az Általános Adatvédelmi Rendelet (General Data Protection Regulation, röviden GDPR) néven ismert szabályozás, amely új szintre emelte az európai internet-felhasználók adatvédelmét.
A GDPR megtiltja, hogy a cégek szükségtelenül, illetve világos magyarázat és egyértelmű hozzájárulás nélkül gyűjtsenek rólunk személyes adatokat, továbbá arról is gondoskodik, hogy a már megszerzett adatokat kizárólag arra a célra lehessen felhasználni, amelyre az adatgyűjtés irányult. Ha pedig az adatok illetéktelen kézbe kerülnének, vagy indokolatlanul sokáig tárolják őket, a GDPR súlyos büntetéseket helyez kilátásba az adatkezelő számára.
A szabályozás megszegőire mindenekelőtt borsos pénzbírság vár. A panaszokat mind a 27 tagországban kivizsgálják, és ha megalapozottaknak bizonyulnak, a vétkes 20 millió eurós, illetve a cég teljes bevételének 4 százalékára rúgó büntetéssel sújtható (a nagyobb összeg az irányadó). De a cég nem ússza meg ennyivel, mert elvileg az adatvisszaélések áldozatainak is kártérítést kell fizetnie.
A büntetések kiszabásakor az érintettek általában fellebbezni szoktak, és a végső szót a bíróság mondja ki.
A nagy technológiai cégek mindegyike vállalta, hogy betartja az európai adatvédelmi törvényeket, de ez nem minden esetben sikerült. Eddig a Google, a Meta (a Facebook anyacége) és a Twitter kapott súlyos büntetést, és jelenleg is több vizsgálat folyik ellenük. De nem csupán ők a GDPR célpontjai: a szigorú előírásokat minden olyan cégnek be kell tartania, amely az interneten keresztül bonyolítja üzleteit.
Most pedig lássuk az idáig kiszabott legnagyobb büntetéseket.
1. Amazon - 746 millió euró (847 millió dollár)
A GDPR rövid történetében kiszabott legnagyobb pénzbüntetés az Amazont sújtotta. 2021 júliusában a luxemburgi adatvédelmi hivatal döntött úgy, hogy az Amazon fogyasztói adatkezelésében mutatkozó problémák miatt a cégre 746 millió eurós bírságot ró ki. A cég vitatja a döntést, és a fellebbezést adott be ellene.
2. WhatsApp - 225 millió euró (255 millió dollár)
2021 szeptemberében Írország adatvédelmi biztosa a WhatsApp tevékenységével foglalkozó hároméves vizsgálat lezárása nyomán a második legnagyobb GDPR-bírságot rótta ki a WhatsApp anyacégére, a Facebookra (jelenlegi nevén Metára). A WhatsApp bűne a biztos szerint az volt, hogy nem egyértelműen közölte a felhasználókkal az adatfelhasználás módját. Az adatvédelmi biztos a WhatsApp és a Facebook adatmegosztását is kifogásolta.
A WhatsApp szóvivője természetesen vitatta a döntést, és ezúttal sem maradt el a fellebbezés.
3. Google - 50 millió euró (56,6 millió dollár)
A GDPR egyik legelső "áldozata" a Google volt, amelyet a francia biztos azért büntetett meg, mert nem fedte fel a felhasználók előtt, hogyan gyűjti és használja célzott reklámozásra az adataikat. Akárcsak a WhatsApp esetében, itt is a GDPR által megkövetelt transzparencia hiánya volt az, ami miatt a Google-t elmarasztalták.
A cég fellebbezett, de a francia bíróság helybenhagyta a bírságot.
4. H&M - 35 millió euró (41 millió dollár)
A H&M kiskereskedelmi cég az alkalmazottak megfigyelése miatt kapott büntetést Németországban. A H&M rögzítette azokat az úgynevezett "welcome-back" megbeszéléseket, amelyeket hosszabb távollét után visszatért dolgozókkal folytattak, és a felvételeket a dolgozók tudtán kívül a cég vezetőinek továbbította.
A felvételek bizalmas információkat tartalmaztak a dolgozók magánéletéről, és ezek alapján a H&M-nél olyan személyes profilokat hoztak létre az alkalmazottakról, amelyeket munkaügyi döntéseknél is felhasználtak.
5. TIM - 27,8 millió euró (31,5 millió dollár)
Ezt a súlyos büntetést 2020 januárjában az olasz adatvédelmi biztos rótta ki az olasz távközlési cégre. A TIM számos vétséget követett el az adatgyűjtéssel és -felhasználással kapcsolatban, de fő bűne az volt, hogy nemkívánatos, reklámcélú hívásokkal zaklatta a felhasználókat. Volt olyan ügyfél, akit egy hónapon belül 155-ször hívtak fel a TIM alkalmazottai!