A DLA Piper a GDPR-rendelet 2018-as hatályba lépése óta vizsgálja az adatkezelési incidensek alakulását. Az előző, 2022 elején közzétett riport előrejelzéseivel összhangban, a tavalyi évben a végrehajtási eljárások és büntetések fókuszában a digitális hirdetéstechnológia (Ad-tech) és a viselkedés-alapú, célzott online hirdetések álltak.
Írország és Luxemburg a nemzetközi listák élén
Írország és Luxemburg egyaránt kedvelt lokációnak tekinthető az Európában terjeszkedni kívánó, tengerentúli technológiai vállalatok körében – ennek tükrében, továbbá, mivel az európai adatvédelmi szabályozók továbbra is a tech szektorra összpontosítanak, nem meglepő, hogy az említett két ország helyezkedik el a GDPR-bírságokat összegző listák elején.
Az első helyen, a 2018. május 25-től kiszabott GDPR-bírságok összértékét tekintve Írország zárt, több mint 1,3 milliárd eurónyi kiszabott büntetéssel. A második helyet Luxemburg foglalja el, ahol a hatóságok a GDPR-rendelet hatályba lépése óta mintegy 746 millió euró összértékű bírságot szabtak ki – ennek szinte teljes egészét egy büntetés teszi ki, amely ezzel a kontinens legnagyobb egyedi büntetésének bizonyult. A harmadik helyen Franciaország szerepel közel 430 millió eurónyi kiszabott pénzbírsággal a GDPR-rendelet 2018-as életbe lépése óta.
Az írek már több mint 1,3 milliárd eurónyi GDPR-bírságot róttak ki. (fotó: EnvatoElements)
Írország első helyezésében jelentős súllyal bírnak a Facebook és az Instagram anyavállalatára, a Meta-ra kiszabott büntetések – a legmagasabb, 405 millió euró összegű büntetést a gyermekek személyes adatainak védelmét érintő mulasztások miatt szabták ki a vállalatra. A Facebook és az Instagram a 2023-as évet is két, nemzetközi léptékben is jelentős bírsággal kezdte Írországban: az előbbi 210 millió euró, utóbbi 180 millió euró értékű pénzbírságot kapott a viselkedés-alapú hirdetésekhez használt fogyasztói profilalkotási gyakorlatai miatt.
Rekordbírság Magyarországon
A GDPR-bírságok Magyarországot sem kerülték el az elmúlt években – az összesített lista középmezőnyében (16.) végeztünk, mintegy 2,2 millió eurónyi kiszabott büntetéssel, melyek között egy rekordösszegű bírság is szerepelt: a Nemzeti Adatvédelmi és Információszabadság Hatóság 250 millió forintra büntetett egy magyar bankot, amely mesterségesintelligencia-alapú hangelemző szoftverrel automatikusan értékelte a call centeres hívásokat, és elemezte az ügyfelek érzelmi állapotát. A vizsgált időszakban 711 incidenst jelentettek, ami 25%-os növekedést jelent az egy évvel korábbi időszak esetszámához képest.
„A DLA Piper jelen riportja, valamint a közelmúlt nemzetközi és hazai bírságai is mutatják, hogy a digitalizáció széleskörű elterjedése fokozott óvatosságot és odafigyelést kíván meg a vállalatoktól a GDPR-elvek betartása során. Ide tartoznak többek között a mesterségesintelligencia-alapú megoldások, az online hirdetéstechnológiák, valamint az adatvédelmi szabályzatok online rendszerek használatára, és a személyes adatok tárolására vonatkozó részei is. Az online szektor további növekedésével a tendencia várhatóan a jövőben is folytatódik” – mondta el Kozma Zoltán, DLA Piper Hungary Technológia csapatának vezetője.