Egy év telt el a GDPR alkalmazandóvá válásától. A GDPR 2016-ban történt elfogadását követően - a nagyon magas bírságtételeknek is köszönhetően - hamar az érdeklődés középpontjába került. A két éves felkészülést követően mindenki izgatottan várta, hogy mikor, miért és hol, de legfőképpen milyen összegű bírságokkal sújtanak le az adatvédelmi hatóságok.
Az Európai Adatvédelmi Testület 2019 februárjában közzétett összefoglalója 11 hatóság által kiszabott összesen 55.955.871 euró összegű bírságról ad számot, amelyből a legjelentősebb tétel a francia hatóság (CNIL) által a Google adatkezelése kapcsán kiszabott 50 millió euró összegű bírság.
A GDPR első évfordulója kapcsán az alábbiakban áttekintjük az elmúlt évben kiszabott főbb bírságokat (a teljesség igénye nélkül).
Ausztria: Az első bírságot a GDPR alapján az osztrák adatvédelmi hatóság szabta ki, 5.280 euró összegben, videó megfigyelőrendszerrel megvalósított adatkezeléssel kapcsolatban. Az osztrák hatóság a GDPR 5. cikk (1) bekezdés a) és c) pontjának („jogszerűség, tisztességes eljárás és átláthatóság” és „adattakarékosság”), valamint a 6. cikk (1) bekezdésének (jogalapok) megsértését állapította meg, mivel az adatkezelő által elhelyezett kamerák közterületet is megfigyeltek, a szükségesnél több adat gyűjtésére került sor, amelyeket 72 óra elteltét követően nem töröltek. Ezen túlmenően a felvételkészítésre nem hívták fel megfelelően az érintettek figyelmét.
Dánia: A dán adatvédelmi hatóság kb. 160 ezer eurós (1.2 millió dán korona) összegű bírság kiszabására tett javaslatot egy taxi társasággal szemben (Dániában és Észtországban a hatóság nem szabhat ki közvetlenül bírságot). A taxi társaság ugyanis a törlési kötelezettségének nem tett eleget (legalábbis részben), mivel - indokolása szerint - a belső rendszereinek a felépítése ezt nem tette lehetővé. A dán adatvédelmi hatóság szerint ezzel megsértette a célhoz kötöttség, az adattakarékosság és a korlátozott tárolhatóság elveit is.
Franciaország: Az eddigi legmagasabb összegű bírságot Franciaországban szabta ki a hatóság a Google-al szemben 50 millió euró összegben. A CNIL a transzparens működés és a megfelelő tájékoztatás hiányát állapította meg, valamint azt, hogy ennek következtében a hirdetések személyre szabása kapcsán a Google nem rendelkezik megfelelő hozzájárulással. A megfelelő jogalap hiánya két okra vezethető vissza, egyrészt nem kellően tájékozott a hozzájárulás, másrészt se nem konkrét, se nem egyértelmű.
Lengyelország: A lengyel adatvédelmi hatóság (UODO) az első bírságot csak 2019. márciusában szabta ki a GDPR alapján, viszont rögtön jelentős összegű bírságról döntött. A bírság összege 943 000 PLN (azaz körülbelül 220 000 euró). A GDPR 14. cikkének megsértését állapították meg, és a bírság összegének megállapítása során kiemelt hangsúlyt kapott az a tény, hogy - bár az adatkezelő tisztában volt a tájékoztatási kötelezettségével - több, mint 6 millió érintett esetében mulasztotta el annak teljesítését. (Azon 90.000 érintett közül pedig, akik tájékoztatást kaptak, kb. 12 ezer tiltakozott is az adatkezelés ellen.) A tájékoztatás elmaradása továbbá azt is jelentette, hogy az érintettek az adatkezeléssel kapcsolatos jogaikat sem tudták gyakorolni (pl. tiltakozáshoz való jog, törléshez való jog).
Litvánia: A litván adatvédelmi hatóság - együttműködve a lett adatvédelmi hatósággal - 2019. májusában szabott ki bírságot 61.500 euró összegben a GDPR 5., 32. és 33. cikkének megsértése miatt egy pénzügyi szolgáltatóval szemben. Az eset alapját egy adatvédelmi incidens képezte, amelyet az adatkezelő nem jelentett be a hatóságnak. A vizsgálat során a hatóság több jogsértést is megállapított, például az adattakarékosság elvének a megsértését, illetve azt is, hogy az adatokat a szükségesnél hosszabb ideig kezelték.
Magyarország: A NAIH több esetben is szabott ki már bírságot a GDPR alapján. A bírságok alapvetően jelképes összegűek voltak, és fokozott figyelmet fordított a hatóság az érintetti jogok gyakorlására. Az első bírság is az érintetti joggyakorlás megtagadásával kapcsolatban született (kamerafelvételek kiadását tagadta meg az adatkezelő). Az első jelentősebb összegű bírság pedig egy adatvédelmi incidens nem megfelelő kezeléséhez és a GDPR-ban az incidenskezeléssel kapcsolatban megállapított kötelezettségek (nyilvántartásba vétel, bejelentés, érintettek tájékoztatása) megsértéséhez kapcsolódott (az összege pedig 11 millió Ft volt). Az egyéb bírságot megállapító határozatokból is az rajzolódik ki, hogy az érintetti jogok gyakorlását és az incidensek megfelelő kezelését kiemelt figyelemmel követi a hatóság.
Málta: Az első máltai bírsággal az adatbiztonsági szabályok (GDPR 32. cikk) megsértését díjazta a hatóság, 5.000 euró értékben. A vizsgálat egy online platformot érintett és adatvédelmi incidens kapcsán indult.
Németország: Németországban 2018. május 25-e óta összesen 75 ügyben 449.000 euró összegben szabtak ki bírságot az adatvédelmi hatóságok (a felmérésben 16 szövetségi állam hatósága szolgáltatott adatot a 18-ból). A bírságolásban Baden-Württemberg adatvédelmi hatósága járt az élen összesen 203.000 euró összegű bírságot szabott ki, a legnagyobb egy 80.000 eurós bírság volt, amelyet egészségügyi adatok (tehát különleges adatok) online nyilvánosságra hozatala miatt állapítottak meg. Egy másik ügyben, a jelszavak nem titkosított módon történő tárolása miatt került megállapításra 20.000 eurós bírság. Berlinben pedig 50.000 eurós bírságot ért, hogy egy bank megfelelő jogalap nélkül kezelte az ügyfelek adatait.
Norvégia: A bergeni önkormányzatra is jelentős összegű, 150 ezer eurós bírságot szabtak ki, adatbiztonsági intézkedések elmulasztása miatt, az önkormányzat felügyelete alatt működő általános iskolák IT rendszereivel kapcsolatos hiányosságokra tekintettel. Az adatbiztonság hiánya a diákokat és a tanárokat, mint e rendszerek felhasználóit érintette. A nem megfelelő védelmi intézkedések miatt, dokumentumok maradtak védelem nélkül, így jogosulatlan személyek is hozzáférhettek az adatokhoz. Tekintettel arra, hogy a gyermekek adatai tekintetében fokozott körültekintéssel kell eljárni, hiszen sérülékeny csoportról van szó, az adatbiztonsági intézkedések elmulasztása is kiemelten súlyos lehet.
Olaszország: Olaszországban is az adatbiztonsági intézkedések elmulasztása indokolta az első bírság kiszabását. A bírság összege 50 ezer euró volt. Ami különösen érdekessé teszi ezt az ügyet, hogy nem az adatkezelőt, hanem az adatbiztonsági hiányosságokat felmutató online platform üzemeltetőjeként eljáró adatfeldolgozót bírságolták. Az ügy tehát rávilágít arra, hogy a GDPR alapján az adatfeldolgozók közvetlen felelőssége is megállapítható és ez fokozott körültekintést igényel az adatfeldolgozók részéről.
Portugália: Egy kórház büszkélkedhet az első GDPR bírsággal Portugáliában. Az összeg itt is jelentős volt (400.000 euró). A bírság kiszabását három GDPR rendelkezés megsértése indokolta: (i) adattakarékosság (5. cikk (1) bekezdés c) pontja), (ii) integritás és bizalmas jelleg (5. cikk (1) bekezdés f) pontja), és (iii) adatbiztonsági intézkedések (32. cikk (1) bekezdés b) pontja).
Egyes várakozások szerint akár további, jelentős összegű bírságok is érkezhetnek a közeljövőben. Az alapelvek tiszteletben tartása, az érintetti jogok biztosítása, az adatbiztonság garantálása és az incidensek megfelelő kezelése valószínűsíthetően továbbra is kiemelt figyelmet kapnak majd. A megfelelő jogalap biztosítását is figyelemmel kísérik a hatóságok.
Aki tovább böngészné a GDPR bírságok alakulását, ezen a folyamatosan frissülő listán ("GDPR Enforcement Tracker") megteheti.
