A GDPR alkalmazandóságát követő ún. „türelmi időszak” lezárult: 2020-ban sem kímélték a tagállami hatóságok a jogsértőket, milliárdos nagyságrendű bírságok kiszabására is sor került. Mely szektorokat érintette leginkább a nem megfelelő adatkezelési tevékenység?

A GDPR alkalmazandóságát követő második legnagyobb, azonban a 2020-as évben a legmagasabb összegű bírságot a Hamburgi Adatvédelmi Hatóság szabta ki a nürnbergi Hennes & Mauritz AB (közismertebb nevén: H&M) ellen. A 35 258 707 euró – közel 13 milliárd forintnak megfelelő – összegű bírság kiszabását megelőző vizsgálati eljárás során kiderült, hogy a H&M legalább 6 éve széles körben gyűjtött személyes – és szenzitív – adatokat alkalmazottai magánéletével kapcsolatban, amelyet egy közel 50 fős hozzáféréssel rendelkező központi adatbázisban tároltak. A hatóság a mintegy 60 GB terjedelmű adat átvizsgálása után megállapította, hogy a H&M adatkezelési tevékenysége súlyosan megsértette az alkalmazottak személyiségi jogait és élesen szembemegy a GDPR rendelkezéseivel.

A tavalyi év második legmagasabb összegű GDPR bírságát az olasz adatvédelmi hatóság rótta ki 27 802 946 euró – közel 10 milliárd forintnak megfelelő – összegben a Telekom Italia (TIM SpA) részére, amely jogsértő adatkezelésében több millió természetes személy érintettségét állapította meg a hatóság. A bírság kiszabását a jogszerű adatkezelés alapvető követelményeinek megsértésével és a különösen nagyszámú érintetti körrel indokolta a hatóság, miszerint a Telekom Italia a vele szerződéses kapcsolatban nem álló személyeket – az érintettek hozzájárulása nélkül – kereskedelmi célból telefonon megkereste. Az egy főre jutó marketing célú megkeresések száma egyes esetekben akár a 150-et is elérte.

A bírságolási gyakorlatot részben a Covid-19 világjárvány is módosította: történt mindez a harmadik legnagyobb összegben kiszabott bírság esetén. A British Airways légitársasággal szemben a Brit Adatvédelmi Hatóság eredetileg 184.000.000 font – azaz közel 75 millió forint értékben – bírság kiszabását helyezte kilátásba, azonban a koronavírus-járvány eredményezte gazdasági válság következtében a bírság összegét 20 millió fontra – azaz 8 milliárd forintra – redukálta. A bírsághoz egy kibertámadás során kialakult adatvédelmi incidens vezetett, amely során közel félmillió természetes személy adatai váltak hozzáférhetővé.

Hazánkban sem példa nélküli a magas bírságolási gyakorlat. A NAIH átlagosan 2,5 millió forint értékben sújtja bírsággal esetenként a cégeket. A legtöbb vállalat a mai napig késlekedik az adatvédelmi rendeletben foglaltak betartásához szükséges IT-fejlesztések végrehajtásával és a megfelelő biztonsági intézkedések alkalmazásával, amelyekkel rendszerint megelőzhető lenne egy esetleges kibertámadás és adatvédelmi incidens kialakulása. A hazai adatvédelmi hatóság a legmagasabb bírságot a Digi Távközlési és Szolgáltató Kft.-re szabta ki tavaly júniusban összesen 100 000 000 forint értékben. Ez esetben szintén a nem megfelelő informatikai rendszer okozta az adatvédelmi incidenst, amely a nagyszámú érintetti kör személyes adataihoz való jogosulatlan hozzáférését eredményezte.