A GDPR alkalmazandóvá válását követően több jelentős összegű bírság is kiszabásra került, amelyek komoly visszhangot kaptak. A mai napig kiszabott 5 legnagyobb bírság az alábbi volt:
- Google: 50 millió euró (Franciaország)
- H&M: 35.2 millió euró (Németország, Hamburg)
- TIM: 27.8 millió euró (Olaszország)
- British Airways: 21.9 millió euró (Egyesült Királyság)
- Marriott: 20.45 millió euró (Egyesült Királyság)
A fenti bírságok mellett még több, igen jelentős bírság is kiszabásra került, például az osztrák postára (Post AG) 18 millió euró összegben, illetve az 1&1 GmbH-t érintően Németországban közel 10 millió eurós összegben (9.55 millió euró).
A GDPR alapján kiszabott jelentős összegű bírságok általában komoly sajtóvisszhangot is kapnak, az azonban már gyakran kevésbé széles körben válik ismertté, amikor a korábban kiszabott (vagy kilátásba helyezett) bírságokat mérséklik. Az alábbiakban erre mutatok néhány példát.
1. A British Airways-re és a Marriott hotelláncra kiszabott bírságok
A fenti Top5-ös lista 4. és 5. helyén szereplő két bírság igen jelentősnek mondható, ugyanakkor érdemes felidézni azt, hogy az előzetesen kilátásba helyezett bírságösszegek, amelyek kapcsán a két ügy a sajtóban megjelent a végleges bírságok többszörösére rúgtak.
A British Airways esetében a bírság kiszabására egy közel 400.000 ügyfelet érintő adatvédelmi incidens kapcsán került sor, mivel a vizsgálat alapján megállapításra került, hogy a társaság nem alkalmazott megfelelő adatbiztonsági intézkedéseket. A 21.9 millió eurós (20 millió font) bírság nagyon jelentős, ugyanakkor 2019. júliusában az előzetesen beharangozott (hangsúlyozottan nem kiszabott, csak előzetesen tervezett) bírság összege még 183.39 millió fontot (kb. 201 millió euró) tett ki. A véglegesen kiszabott bírság összege tehát alig több, mint 10%-a az előzetesen tervezett összegnek.
Hasonló folyamat játszódott le a Marriott esetében is, amely egy vállalatfelvásárlás során megszerzett hotelláncot érintően, még a felvásárlást megelőzően bekövetkezett incidens kapcsán került az adatvédelmi hatóság látókörébe. Az ICO által - szintén 2019. júliusában - közzétett előzetes bírságolási javaslat alapján 99 millió font (kb. 108 millió euró) összegű bírságot szándékoztak kiszabni. A végleges döntés végül itt is jóval alacsonyabb bírság lett, az eredeti terv 20%-ában állapította meg a hatóság a bírságot (18.4 millió font, azaz kb. 20.45 millió euró).
Az előzetesen beharangozotthoz képest végül alacsonyabb összegben kiszabott bírság több tényezőre is visszavezethető, többek között eljárásjogi sajátosságokra is: egyrészt az előzetes bírságolási terv közzététele éppen azt a célt is szolgálta, hogy az érintett társaságok erre vonatkozóan nyilatkozhassanak az ICO-nak és ezen nyilatkozatok alapján is formálódjon a végső döntés, másrészt - ahogy az ICO közleménye is kiemeli mindkét esetben - az ügyek határon átnyúló jellege miatt az ICO, mint fő felügyeleti hatóság együttműködött a többi érintett tagállami hatósággal is a bírság kiszabása során, amelyek véleményezhették a fő felügyeleti hatóság döntésére vonatkozó tervezeteket.
2. Az 1&1 GmbH-t érintő bírság jelentős csökkentése
Bár jóval kevesebb figyelmet kapott, mint az eredeti bírságról szóló határozat, de a napokban jelent meg hír arról, hogy a német szövetségi adatvédelmi biztos (BfDI) által az 1&1 GmbH-ra kiszabott közel 10 millió eurós bírságot jelentősen, kb. a 10%-ra mérsékelte az eljáró német bíróság (900.000 euróban állapította meg a bíróság a fizetendő bírság összegét). A jogsértés tényét tehát megállapított a bíróság is, ugyanakkor a jogsértés (nem megfelelő biztonsági intézkedések) súlyát jóval enyhébben értékelte, mint a hatóság.
A németországi bírság mérséklése azért is különösen érdekes, mert a német adatvédelmi hatóságok által korábban közzétett bírságszámítási koncepció alkalmazása azt vetítette előre, hogy nagyon jelentős összegű bírságok születhetnek Németországban (ilyenekre láttunk is példát lásd például a H&M-re vagy a Deutsche Wohnen-re kiszabott bírságokat). A kiszabott bírságok jelentős mérséklése a bíróságok által azonban - hosszabb távon - akár a bírságolási gyakorlat felülvizsgálatához is vezethet. Természetesen, ezt egyelőre korai lenne megítélni, de az várható, hogy a nagyobb összegű bírságok esetében mindenképpen számíthatunk bírósági felülvizsgálatok kezdeményezésére. Fontos hangsúlyozni, hogy olyan példát is láthattunk már, amikor a bírósági felülvizsgálat a nagy összegű bírság kapcsán nem eredményezett változást: a Google-re Franciaországban kiszabott 50 millió eurós bírságot az illetékes bíróság első és másodfokon is helyben hagyta.
3. Az osztrák posta 18 millió eurós bírságára vonatkozó döntés bírsági felülvizsgálata
Az egyik legfrissebb ügy a sorban az osztrák postára tavaly kiszabott 18 millió eurós bírság bírósági felülvizsgálata. A bírság alapjául az szolgált, hogy az osztrák posta a politikai nézetekre vonatkozó, különleges adatokat kezelt (profilalkotást végzett), illetve közvetlen üzletszerzési célú adatkezelést is végzett a vonatkozó szabályok megsértésével. Egy friss bírósági döntés alapján - eljárási hibára visszavezetve - a bírságkiszabásra vonatkozó döntést hatályon kívül helyezte. (Az adatvédelmi hatóság ugyanis a határozatában nem jelölt meg olyan természetes személyt, akire a megállapított jogsértések visszavezethetők voltak és amelyeket a konkrétan meghatározott személy révén az elmarasztalt adatkezelőnek lehetett volna tulajdonítani.)