Írország továbbra is a legrigorózusabb végrehajtója az adatvédelmi szabályoknak. Az ír hatóság (DPC) 2018 májusa, vagyis a GDPR hatályba lépése óta 3,5 milliárd euró bírságot szabtak ki. Ez több mint négyszer annyi, mint a második helyen álló luxemburgi adatvédelmi hatóság, amely ugyanebben az időszakban 746,38 millió euró bírságot szabott ki.
Összesen mintegy hatmilliárd euró bírság
A GDPR hatályba lépése óta bejelentett bírságok összértéke jelenleg 5,88 milliárd euró. A GDPR alapján valaha kiszabott legnagyobb bírságnak továbbra is az ír DPC által a Meta Platforms Ireland Ltd ellen 2023-ban kiszabott 1,2 milliárd eurós büntetés számít.
Az elmúlt egy évben 1,2 milliárd euró bírságot szabtak ki az uniós hatóságok. Ez mintegy harmadával (33 százalékkal) marad el a megelőző évben kiszabott bírságok összességétől. Ezzel pedig egy hét évig tartó, folyamatosan növekvő tendencia tört meg. Sajnos a trendtörésnek egészen prózai okai vannak – egész pontosan a kiugró 2023-as bázis. Ez pedig szinte kizárólag a Meta elleni rekordösszegű, 1,2 milliárd eurós bírságnak köszönhető, amely jelentős torzítást okozott a 2023-as adatokban. A DLA Piper jelentése szerint hasonló rekordbírságot nem regisztráltak 2024-ben.
A rekordösszegű bírságok elsődleges „célpontjai” továbbra is a nagy technológiai vállalatok és a közösségi médiaóriások. A GDPR hatálya alatt a tíz legnagyobb bírság közül szinte az összeset ebben az ágazatban szabták ki. Csak idén az ír adatvédelmi bizottság 310 millió eurós bírságot szabott ki a LinkedInre és 251 millió eurót a Metára. A holland adatvédelmi hatóság tavaly augusztusában 290 millió eurós bírságot szabott ki egy fuvarmegosztóra, mert személyes adatokat továbbított harmadik országba.
Jelentősen bővült a végrehajtás más ágazatokban, így a pénzügyi szolgáltatások és az energetika területén is. A spanyol adatvédelmi hatóság például két, összesen 6,2 millió euró értékű bírságot szabott ki egy nagybankkal szemben nem megfelelő biztonsági intézkedések miatt. Az olasz hatóság pedig ötmillió euróval büntetett egy közüzemi szolgáltatót elavult ügyféladatok felhasználása miatt.
A személyes felelősökre figyelnek a szabályozók?
Az Egyesült Királyságban tavaly kiugróan kevés bírságot szabtak ki. John Edwards brit adatvédelmi biztos tavaly novemberi nyilatkozata szerint nem biztos, hogy a bírságoknak lenne a legnagyobb hatásuk. Azok inkább csak évekig tartó pereskedésbe taszítanák a hivatalt.
A DLA Piper szintén kiemeli az összefoglalóban: a holland adatvédelmi bizottság bejelentette, hogy vizsgálja, hogy a Clearview AI igazgatóit személyesen felelőssé teheti-e a GDPR számos megsértéséért. Az ügy előzménye, hogy a vállalat ellen 30,5 millió eurós kártérítési határozatot hoztak. A személyes felelősségre vonás lehetőségét vizsgáló újszerű vizsgálat hangsúlyeltolódást jelez a szabályozó hatóságoknál. Felismerték ugyanis a személyes felelősség erejét a jobb megfelelés ösztönzése érdekében.
Adatvédelmi incidensekről szóló értesítések
A naponta átlagosan bejelentett adatvédelmi incidensek száma a 2023-as 335-ről tavaly 363-ra emelkedett. A szervezetek egyre óvatosabbak az adatvédelmi incidensek bejelentésével kapcsolatban, tekintettel a bejelentést követő vizsgálatokra, végrehajtásra, bírságokra és kártérítési igényekre.
Hollandia, Németország és Lengyelország továbbra is az első három ország a bejelentett adatvédelmi incidensek legmagasabb száma tekintetében. Hollandiában 33 471, Németországban 27 829, Lengyelországban pedig 14 286 adatvédelmi incidenst jelentettek be.
Új trend: a mesterséges intelligencia
Tavaly számos határozat jelezte az adatvédelmi hatóságok szándékát, hogy megvizsgálják, mennyire vannak összhangban az MI-t alkalmazó technológiák a magánélet védelmével és az adatvédelmi jogszabályokkal.
A vállalkozások számára ez azt jelenti, hogy a GDPR-nak való megfelelést be kell építeniük az MI-alapú rendszereik alapvető kialakításába és funkcióiba.
(Kép: unsplash.com/ev)
