Rekordszámú adatvédelmi incidenst jelentettek 2025-ben - Az európai adatvédelmi hatóságok összesen 1,2 milliárd eurónyi GDPR-bírságot szabtak ki - Merre tart a szabályozás?

Az európai adatvédelmi hatóságok 2025-ben összesen mintegy 1,2 milliárd eurónyi GDPR-bírságot szabtak ki, ezzel a rendelet 2018-as alkalmazandóvá válása óta kiszabott szankciók összértéke meghaladja a 7,1 milliárd eurót – derül ki a DLA Piper legfrissebb, évente megjelenő GDPR Fines and Data Breach Survey című riportjából*. Bár a tavaly kiszabott bírság összege nem haladja meg az előző évi szintjét, az adatvédelmi incidensek bejelentése új csúcsra emelkedett Európában.

A jelentés szerint a legnagyobb összegű bírságok továbbra is elsősorban a technológiai szektort sújtják: tavaly a tíz legmagasabb bírságból kilencet a nagy tech cégek kapták.

2025-ben az év legnagyobb bírságát az ír adatvédelmi hatóság szabta ki, összesen 530 millió euró értékben.

A GDPR alkalmazandóvá válása óta Írországban szabták ki a legtöbb bírságot, amely leginkább annak köszönhető, hogy itt található több nagy technológiai és közösségimédia-platform európai székhelye, köztük a korábban 1,2 milliárd eurós csúcsbírságot kapó Meta is. Az összesített bírságösszegek tekintetében Franciaország áll a 2. helyen (1,1 milliárd euró), amelyet Luxemburg (746,56 millió euró) követ.

Rekordszámú adatvédelmi incidens-bejelentés

Habár a kiszabott bírságok összértéke 2025-ben nem emelkedett az előző év azonos időszakához képest, a bejelentett adatvédelmi incidensek száma jelentősen megugrott:

2025-ben átlagosan 443 incidenst jelentettek naponta Európában, ami 22 százalékos növekedést jelent az előző évi, napi 365 esettel összevetve.

Nem egyértelmű, hogy mi állhat a növekedés hátterében, de a fokozódó kiberfenyegetések, a geopolitikai feszültségek, valamint az olyan – incidensek bejelentésére vonatkozó követelményeket is előíró – új szabályozások, mint a NIS2 irányelv és a DORA rendelet mind hozzájárulhatnak az emelkedéshez.

„Nem véletlen, hogy az EU Digitális Omnibusz rendelete a bejelentési kötelezettség küszöbének megemelését javasolja, annak érdekében, hogy csak azok az incidensek kerüljenek a hatóságokhoz, amelyek valóban magas kockázatot jelentenek az érintettek jogaira nézve. A felügyeleti hatóságokat az utóbbi időben elárasztották a bejelentések, és – érthető módon – a valóban kockázatos esetekre szeretnének koncentrálni” – mondta el Almásy Márk, a DLA Piper Hungary Szellemi Alkotások és Technológia csoportjának ügyvédje.

2025. november 19‑én az Európai Bizottság bemutatta a „Digitális Omnibusz” nevű javaslatcsomagot, amelynek célja az EU szélesebb digitális szabályozási keretrendszerének korszerűsítése, valamint a mesterséges intelligenciára, a kiberbiztonságra és az adatokra vonatkozó szabályok egyszerűsítése.

A javaslatok között szerepel egy uniós szintű, egységes adatvédelmi incidens‑bejelentési portál is, amely a GDPR, a NIS2, a DORA és más keretrendszerek párhuzamos kötelezettségei miatt keletkező adminisztratív terhek csökkentését célozza.

A „report once, share many” (“egyszeri jelentés, több felhasználás”) elv alapján a módosítások többek között:

emelnék a bejelentési küszöbértéket, hogy csak az egyénekre nézve magas kockázatot jelentő incidenseket kelljen bejelenteni a felügyeleti hatóságoknak;
meghosszabbítanák a bejelentési határidőt 72 óráról 96 órára;
létrehoznának egy központosított portált (amelyet az uniós kiberbiztonsági ügynökség, az ENISA üzemeltetne), egy harmonizált incidensbejelentő űrlappal, amely más, átfedést jelentő bejelentési kötelezettségeket is kezelne.

Előtérbe kerültek a kártérítési igények és a nem vagyoni kár értelmezése

Az Európai Unió Bírósága (EUB) 2025 szeptemberében az egyik döntésében kimondta, hogy a GDPR megsértéséből fakadó “nem vagyoni kár” magában foglalhatja a személyes adatokkal való visszaélés miatti félelmet vagy szorongást is – így ez is kártérítési alapot képezhet, ugyanakkor az érintetteknek bizonyítaniuk kell a negatív érzelmek fennállását, valamint azt, hogy ezek valóban a GDPR megsértéséből erednek.

Az EU-ban és az Egyesült Királyságban már több döntés született az ilyen típusú kártérítési igényekkel kapcsolatban, ezek azonban eddig vegyes képet mutatnak – volt olyan, amely a felperesek javára, mások inkább az alperesnek kedveznek, illetve egy írországi döntésben nemrég kimondták, hogy az ilyen jellegű kártérítés összege várhatóan többnyire csekély lesz.

Magyarország a középmezőnyben

Magyarországon 2018. május 25. óta közel 4,5 millió euró (1,7 milliárd forintos) bírságot szabott ki Nemzeti Adatvédelmi és Információszabadság Hatóság, ezzel a 17. helyen szerepel az uniós mezőnyben.

A tavalyi évben Magyarországon csökkent a kiszabott bírságok összértéke, viszont a bejelentett adatvédelmi incidensek száma növekedett: 2025-ben 678, míg az azt megelőző évben mindössze 530 ilyen bejelentés érkezett. A bírságösszeg csökkenésének okai között feltehetően az adatvédelmi hatóság ügyterhe és a hatósági eljárások elhúzódása állhat.

Merre tart az adatvédelmi szabályozás Európában?

A jelentés előrejelzései szerint a következő évben a hatóságok nagyobb hangsúlyt fektetnek majd a GDPR adatbiztonsági követelményeinek érvényesítésére, és várhatóan több vizsgálatot indítanak azon beszállítók ellen, amelyek több adatkezelő megbízásából járnak el adatfeldolgozóként. Ezek a vállalatok különösen vonzó célpontnak számítanak a támadók számára, mivel gyakran több ügyfél érzékeny adatait kezelik, illetve belépést is jelenthetnek különböző digitális rendszerekbe.

„Ezt a tendenciát ösztönzik majd várhatóan a geopolitikai feszültségek fokozódása, valamint a pénzügyi szolgáltatásokat és a kritikus infrastruktúrákat érő, egyre súlyosabb kibertámadások is. A folyamatot a szabályozói fókusz is erősíti: az olyan szabályozások, mint a NIS2, DORA és a kiberrezilienciáról szóló rendelet már kifejezetten az ellátási láncok biztonságára és ellenállóképességére írnak elő követelményeket. Ezáltal elengedhetetlenné válik az érintett vállalatok számára az adatvédelmi és kiberbiztonsági intézkedések további erősítése” – tette hozzá Kozma Zoltán, a DLA Piper Hungary Szellemi Alkotások és Technológia csoportvezető partnere.

* A GDPR Fines and Data Breach Survey riport a 2025. január és 2026. január között kiszabott bírságok országonkénti táblázatát tartalmazza. A felmérés az Európai Unió 27 tagállamára, valamint az Egyesült Királyságra, Norvégiára, Izlandra és Liechtensteinre terjed ki.

Almásy Márk, a DLA Piper Hungary Szellemi Alkotások és Technológia csoportjának ügyvédje:

Kozma Zoltán, a DLA Piper Hungary Szellemi Alkotások és Technológia csoportvezető partnere:

Kapcsolódó tartalmak

Shadow AI: amikor a mesterséges intelligencia kikerül a kontroll alól – Mesterségesen emberi podcast!

Mi a probléma a webáruházak kötelező felhasználói fiókjaival? – Adatvédelmi kockázatok és jelentős bírságok – Amit a vállalkozásoknak tudni érdemes!

AI-projektek adat-, kontroll- és felelősségi hiányosságokkal – Mi a teendő? – Hasznos összefoglaló január 28 – az Adatvédelem Nemzetközi Napja alkalmából!

Közérdekű adatnak számít-e az egyedi ügyben keletkezett adatok összesítése? – Az Ab döntésében közérdekű adatigényléssel kapcsolatos kérdéseket tisztáz!

Sérti-e az Alaptörvényt a kettős természetű adatok nyilvánosságának korlátozása? – Az Ab döntésében a banktitok megismerhetőségével kapcsolatos kérdéseket tisztáz!

Egy adatvédelmi incidens tanulságai: az adatfeldolgozók kötelezettségei az adatok bizalmas kezelése és törlése során

Közvetlen adatgyűjtésnek számít-e a jegyellenőrök testkamera-használata? – Az EuB ítéletében az utastájékoztatással kapcsolatos kérdéseket tisztáz!

Hogyan készítsünk MI-jártasság oktatási anyagot? – Hasznos szakértői tanácsok az AI Act 4. cikkének való megfelelésre vonatkozóan!

Alapulhat-e a munkaerő-felvétel kizárólag algoritmus által hozott döntéseken? – Saját kezdeményezésű jogalkotási jelentést fogadott el az EP az automatizált rendszerek munkahelyi alkalmazásának szabályozásáról