Magyarország élen jár a GDPR-bírságok kiszabásában

2018. május 25. óta minden vállalkozásnak kötelező az európai általános adatvédelmi rendelet, a GDPR alkalmazása. A szabályozásnak való megfelelés sokszor megköveteli vállalati folyamatok felülvizsgálatát és átalakítását, az adatfeldolgozó partnerek körültekintő megválasztását. Súlyos vétség esetén a cégcsoport szintű árbevétel 4 százaléka, avagy 20 millió eurós bírság is kiszabható – hívja fel a figyelmet a DLA Piper 2022-es globális GDPR and Data Breach riportja.

A tavalyi évre nagy hatással volt a még 2020-ban az Európai Bíróság által a Schrems II. ügyben hozott ítélet, melynek értelmében érvénytelenné vált az EU és USA közötti adattovábbítást lehetővé tévő adatvédelmi pajzs (Privacy Shield). Ez a gyakorlatban azt jelenti, hogy szigorodtak azok a feltételek, amelyek alapján személyes adatot harmadik országba, illetve nemzetközi szervezet részére lehet továbbítani.

Nemzetközi trendek

A 2021-es év mozgalmasnak bizonyult az új rekordokat felállító bírságoló döntéseknek köszönhetően is. Az uniós adatvédelmi hatóságok 2021. január 28. óta összesen 1,1 milliárd euró összegű bírságot szabtak ki az általános adatvédelmi rendelet megsértése miatt, amely hétszeres növekedést jelent a 2020-ban mért 158,5 millió eurós összeghez képest.

A DLA Piper a GDPR-rendelet 2018-as hatályba lépése óta vizsgálja az adatkezelési incidensek alakulását. Ez idő alatt Luxemburg és Írország után sorrendben Franciaország, Németország, Olaszország és az Egyesült Királyság hatóságai szabták ki a legnagyobb mértékű bírságokat. A korábbi években Luxemburg még nem szerepelt az aggregált listán, azonban egy online kereskedővel szemben tavaly kirótt 746 millió eurós rekord bírsággal egyből az élre került.

„Az a tendencia volt megfigyelhető az elmúlt években, hogy a nyugat-európai országokban ritkábban, ugyanakkor nagyobb összegű, míg a mediterrán országokban gyakrabban, de kisebb összegű bírságokat szabnak ki a hatóságok” – emelte ki Kozma Zoltán, a DLA Piper Hungary Technológiai csoportvezető partnere.

A növekvő mértékű büntetési tételek mellett az elmúlt évben az adatvédelmi incidensek bejelentésének száma is növekedett Európában. Átlagosan naponta 365 ilyen bejelentés érkezett a hatóságokhoz, így összesen 2021-ben több mint 130 ezer bejelentésre került sor, amely 8 százalékos növekedést jelent 2020-hoz képest. A legtöbb bejelentés 2018 májusa óta Németországban, Hollandiában, az Egyesült Királyságban, Lengyelországban és Dániában történt, azonban, ha az eredményeket az országok lakosságához viszonyítva vizsgáljuk, Hollandia kerül az élre, a 100 ezer főre jutó 150,7 bejelentéssel. A legkevesebb riportált incidens Görögországban, Csehországban és Horvátországban történt.

Magyarország is élen jár 

2018 óta 115 esetben szabott ki bírságot a Nemzeti Adatvédelmi és Információszabadság Hatóság, összesen 476 millió forint (1,3 millió euró) összegben. Ezzel hazánk, a kiszabott bírságok összértékét tekintve, a 14. helyen áll, Lengyelországot (2,2 millió euró), Bulgáriát (3,1 millió euró) és Norvégiát (7,8 millió euró) követve a sorban.

Magyarországon a GDPR-szabályozás bevezetése óta eddig a legmagasabb összegű bírságot (288 ezer euró) egy hírközlési szolgáltató kapta, miután a cég nem megfelelő adatvédelmi háttérintézkedéseinek hatására nagyszámú ügyféladatot tartalmazó adatbázisai hozzáférhetővé váltak. Azonban még a magyar viszonylatban rekord összegű bírsággal is Magyarország jelentősen elmarad a legmagasabb bírságot kiszabó országoktól, amelyek közül a 10. helyen álló Alsó-Szászország német tartomány is a magyar rekordösszeg mintegy 36-szorosával (10, 4 millió euró) került fel a tízes toplista végére.

„A GDPR-szabályozás alkalmazása óta eltelt több mint három évben már számos vállalat tett lépéseket a megfelelés érdekében, azonban a megfelelés nem egy egyszeri feladat. Az adatbiztonsági intézkedések megfelelőségét és az adatkezelések jogszerűségét folyamatosan és rendszeresen vizsgálni kell és meg kell tenni a szükséges intézkedéseket. Ezáltal jelentősen csökkenthető a szigorú szabályozásból fakadó anyagi és reputációs kockázat is.” – hívta fel a figyelmet Kozma Zoltán.