Nagyjából két és fél évvel a GDPR alkalmazandóvá váltása után egyre inkább kezdenek kirajzolódni az egyes adatvédelmi hatóságok bírságolási gyakorlatára vonatkozó tendenciák. Többféle megközelítéssel is találkozhatunk: egyes országokban kifejezetten kevés bírságot szabtak ki eddig (pl. Írország, Észtország, Horvátország), míg máshol kifejezetten gyakran él a hatóság a bírságolás eszközével (pl. Spanyolország). Néhol inkább kisebb összegű bírságok megállapítására került sor eddig (pl. Észtország), máshol pedig több alkalommal is sor került már sok millió euró összegű bírság meghatározására (pl. Olaszország, Németország), előfordul középutas megoldás, amely viszonylag ritkán kiszabott, ugyanakkor ha nem is milliós összegű, de jelentős, tipikusan több százezer eurónyi bírságok formájában jelenik meg (pl. Hollandia). Persze a gyakorlat még sokat változhat majd az idő előrehaladtával, de érdemes megnéznünk, hogy a bírságok kiszabása terén egyik legaktívabb adatvédelmi hatóság, a spanyol AEPD miként jár el a bírságok kiszabása kapcsán.
Az AEPD által kiszabott bírságok listája már most is igen terjedelmes. A GDPR bírságokat nyomon követő weboldal (GDPR Enforcement Tracker) jelen poszt írásakor összesen 403 bírságot tart számon, amelyek közül 132 (!) a spanyol adatvédelmi hatósághoz köthető. A kiszabott bírságok darabszáma mindenképpen tiszteletet parancsoló, hiszen más adatvédelmi hatóság közel sem volt ilyen aktív az elmúlt két és fél éves időszakban (a bírságokat listázó oldal adatai szerint, még a bírságok számát tekintve szintén aktív román adatvédelmi hatóság is csak 37 bírság kiszabásig jutott eddig, illetve hasonló nagyságrendben tett közzé bírságolásra vonatkozó határozatokat a NAIH is 2019-ben és 2020-ban összesen).
A bírságok összegét tekintve a spanyol hatóság nem tartozik a gigabírságokat kiszabó hatóságok közé (Franciaországban született már 50 millió eurós bírság, Olaszországban 27.8 millió eurós, Ausztriában 18 millió eurós, míg Németországban 14,5 millió euró összegű bírság jelenti az eddigi rekordot), az általa kiszabott bírságok jellemzően a néhány ezer euróstól a pár százezer eurós összegig terjednek. A legmagasabb összegű bírságot (250 ezer euró) 2019-ben a La Liga-ra (spanyol labdarúgó szövetség) szabták ki, mégpedig azért mert a szövetség által üzemeltetett app - anélkül, hogy erről a felhasználókat tájékoztatták volna - hozzáfért a készülékek mikrofonjához percenként egyszer annak ellenőrzése érdekében, hogy a kocsmákban díj fizetése nélkül nem közvetítik-e a mérkőzéseket.
Az AEPD gyakran bírságolja a hírközlési szolgáltatókat is. Legutóbb a Vodafone España, SAU kapott 60.000 euró összegű bírságot jogalap nélküli adatkezelésért, néhány héttel ezelőtt pedig a Telefónica Móviles España, SAU gyűjtött be hasonló okokból 75.000 eurónyi bírságot. A hatóság gyakorlatában egyébként gyakran fordul elő a GDPR 6. cikkének megsértésért, azaz jogalap nélküli adatkezelésért kiszabott bírság. Ezen túlmenően az adatkezelési alapelvek sérelme, az érintetti jogok megsértése, a hatósággal történő nem megfelelő együttműködés, az adatbiztonsági szabályok sérülése, illetve az incidenskezelési szabályok figyelmen kívül hagyása is előfordul, mint a bírság kiszabásának elsődleges indoka.
Az AEPD egyébként nem csupán a bírságolás terén aktív, hanem iránymutatásokkal és különböző jogalkalmazást segítő anyagokkal is segíti az adatvédelmi szabályok értelmezését és alkalmazását (pl. biometrikus adatokkal, 5G technológiával, sütikkel, álnevesítés hashelés segítségével, stb. kapcsolatban).