2024-ben az uniós adatvédelmi hatóságok összesen 1,2 milliárd euró bírságot szabtak ki, ezzel a büntetések összértéke 5,88 milliárd euróra nőtt a rendelet alkalmazandóvá válása óta – derül ki a DLA Piper legfrissebb, immár hetedik alkalommal megjelenő riportjából*. A legmagasabb összegű bírságok ismét a technológiai szektort sújtották, miközben az adatvédelem fókuszában a vezetői felelősség és az AI-eszközök adatvédelmi kérdései állnak.
Habár a 2024-ben kiszabott bírságok összértéke 33 százalékkal esett vissza az előző évi 1,78 milliárd euróhoz képest, ez nem jelenti azt, hogy a hangsúly eltolódott volna a személyes adatokkal kapcsolatos jogérvényesítésről. A csökkenés oka elsősorban annak tudható be, hogy 2023-ban az ír adatvédelmi hatóság a Meta részére rekordösszegű, 1,2 milliárd eurós bírságot szabott ki, ami a valaha volt legmagasabb büntetés.
A 2024-es évben is a technológiai szektor és a közösségi média szereplőit érintették leginkább az adatvédelmi szankciók: a tíz legmagasabb bírságból kilencet ebben a szektorban működő szervezetek kapták.
Az ír hatóság például 310 millió eurós bírságot szabott ki a LinkedInre, ugyanis a szervezet a felhasználói adatok elemzése és azok célzott hirdetésekhez való kezelése során számos pontban megsértette a GDPR alapelveit. Egy másik jelentős szankció szintén Írországban történt: a Meta 251 millió eurós bírságot kapott egy adatvédelmi incidens kapcsán, amely az Európai Gazdasági Térségben (EEA) élő 3 millió felhasználót érintett.
A technológiai szektor mellett a pénzügyi és az energetikai ágazat szereplői is jelentős bírságokat kaptak. A spanyol adatvédelmi hatóság két, összesen 6,2 millió euró összegű bírságot szabott ki egy nagybankkal szemben a nem megfelelő biztonsági intézkedések miatt, az olasz adatvédelmi hatóság pedig 5 millió eurós bírsággal sújtott egy közüzemi szolgáltatót, mert az elavult vagy pontatlan ügyféladatokat használt.
Magyarország a régiós középmezőnyben
Magyarország a 2018. május 25. óta kiszabott GDPR-bírságok összértékét tekintve a mintegy 4,2 millió euró (1,7 milliárd forintos) kiszabott bírsággal megtartotta tavalyi 17. helyét az európai mezőnyben – míg az első három helyen Írország (3,5 milliárd euró), Luxemburg (746 millió euró) és Franciaország (597 millió euró) végzett.
A legnagyobb hazai figyelmet kiváltó ügyek között említhető a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) szankciója egy fejvadász cég ellen, amely a jelentések szerint jogellenesen kezelte és osztotta meg több ezer álláskereső adatait. Emellett a NAIH a tavalyi évben figyelmeztetést tett közzé a hangfelvételek jogszerű kezelésére vonatkozóan is.
Célkeresztben az AI és a vezetői felelősség
Az AI-technológiák adatvédelmi vonatkozásai szintén a szabályozók figyelmének középpontjában állnak. Míg Írországban az X chatbot adatkezelési gyakorlatát vizsgálták hangsúlyosan, a holland adatvédelmi hatóság 290 millió eurós rekordbírságot szabott ki egy személyszállító alkalmazásra személyes adatok harmadik országba történő továbbítása miatt, továbbá 30,5 millió eurós bírságot rótt ki a Clearview AI vállalatra, adatgyűjtésre és arcfelismerő rendszerekre vonatkozó GDPR-sértések miatt. A holland adatvédelmi hatóság azt is vizsgálja, hogy a vállalat igazgatóit személyes felelősség is terheli-e a GDPR többszöri megsértéséért.
“Az Európai Uniós szabályok egyre inkább összpontosítanak a vállalati vezetők személyes felelősségére is, szigorúbb megfelelési követelményeket támasztva. Tagállamonként eltérő, hogy a hatóságok rendelkeznek-e jogkörrel a személyes felelősség megállapítására a GDPR megsértése esetén”
– mondta el Almásy Márk, a DLA Piper Hungary Szellemi Alkotások és Technológiai csoportjának ügyvédje.
Milyen adatvédelmi kihívások várhatóak idén?
Várhatóan idén is nagy figyelmet kap a “consent or pay” (hozzájárulás vagy fizetés) modell, amelyet élénk viták kísértek 2024-ben, ugyanis a modell lényege, hogy a felhasználók mindössze két megoldás közül választhatnak: hozzájárulnak a személyes adataik viselkedésalapú hirdetésekhez való felhasználásához vagy fizetnek a szolgáltatásért.
Az Európai Adatvédelmi Testület (EDPB) tavaly áprilisban végül véleményt fogadott el arról, miszerint a nagy online platformoknak lehetővé kell tenniük, hogy a felhasználó választhasson egy további, úgynevezett “egyenértékű alternatívát”, amely ingyenes és mentes a viselkedésalapú hirdetésektől.
Bár a testület nem jelentette ki, hogy ezek a modellek semmilyen esetben sem lehetnek jogszerűek, de arra jutott, hogy a legtöbb esetben nem felelnek meg a GDPR előírásainak az érvényes hozzájárulásra vonatkozóan, ebből fakadóan pedig jogellenesek.
Az EDPB decemberben közzétett, szintén régóta várt véleménye az AI-modellekkel kapcsolatos adatvédelmi szempontokról nem ad egyértelmű iránymutatást, így a személyes adatok jogszerű felhasználásának határai továbbra is bizonytalanok az AI-eszközök esetében.
“A mesterséges intelligencia gyors elterjedése és a szigorú uniós adatvédelmi jogszabályok következtében az elkövetkező években számos hatósági vizsgálatra, szankcióra és bírósági eljárásokra számíthatunk”
– tette hozzá Kozma Zoltán, a DLA Piper Hungary Szellemi Alkotások és Technológia csoportvezető partnere.
A teljes riport ITT érhető el.
Almásy Márk, a DLA Piper Hungary Szellemi Alkotások és Technológiai csoportjának ügyvédje:
Kozma Zoltán, a DLA Piper Hungary Szellemi Alkotások és Technológia csoportvezető partnere:
* A GDPR fines and data breach survey riport a 2024. január és 2025. január között kiszabott bírságok országonkénti táblázatát tartalmazza. A felmérés az Európai Unió 27 tagállamára, valamint az Egyesült Királyságra, Norvégiára, Izlandra és Liechtensteinre terjed ki.
