Koronavírus ide, járványhullámok oda, az Európai Unió polgárainak személyes adatai felett rendületlenül, sőt egyre komolyabb hatékonysággal őrködnek a tagországok illetékes szervei. Legalábbis ezt mutatják az általános adatvédelmi rendelettel, ismertebb nevén a GDPR-rel összefüggésbe hozható hatósági eljárások statisztikái.

A tisztánlátást némileg nehezít, hogy nincs általános uniós szintű kötelezettség a határozatok közzétételére. Van azonban több olyan rendszer is, amely nyomon követi a GDPR-rel kapcsolatos eljárásokat, valamint azok eredményét. A jelenleg több mint 900 ügyet nyilvántartó GDPR Enforcement Tracker összesített adatai alapján 2021 minden szempontból kiemelkedő év volt. (Igaz, a 2018-ban élesedő új rendelkezések kapcsán ezt az elmúlt három év mindegyikében ugyanúgy elmondhattuk, azaz a trend változatlan.)

Két nagy és sok kicsi

A nyilvánosan elérhető adatok szerint tavaly több mint 1 milliárd eurónyi bírságot szabtak ki a nemzeti adatvédelmi hatóságok. Ez a 2020-ban rögzített bő 170 millióhoz képest igen komoly ugrásnak tűnik. A jó ötszörös növekedést praktikusan két nagy horderejű eljárás hozta össze. Nyáron az Amazon európai érdekeltségének sikerült nem kívánt rekordot döntenie azzal, hogy Luxemburgban 746 millió euróra büntették. Ha nem is ennyit, de meglehetősen sokat kapott a WhatsApp írországi leányvállalata is. A szeptemberben kiszabott 225 millió eurós bírság jelen pillanatban a második legnagyobb a GDPR-büntetések listáján.

A fenti döntések abba a trendbe illeszkednek, amelynek értelmében az európai hatóságok egyre agresszvabban igyekeznek érvényesíteni az uniós adatvédelmi szabályozásokat a big tech szolgáltatókon. Ugyanakkor nem kizárólag technológiai óriásvállalatok kerültek a szabályozók célkeresztjébe, hiszen a kiugró tételek mellett emelkedett az elmarasztaló döntések száma is. Utóbbiak többsége lényegesen kisebb összegű bírsággal végződött. A statisztikák alapján tavaly összesen 416 ügy végződött büntetéssel, miközben 2020 során 340 ilyen esetet jegyeztek fel.

Szorgos magyarok

A különböző nemzeti hatóságok aktivitását vizsgálva igen komoly eltéréseket látni. Indulástól, azaz 2018 közepétől nézve az összesített adatokat kiderül, hogy a spanyol hivatalban szinte golyószórásra állították a rendszert: az EU összes elmarasztaló GDPR-eljárásának több mint harmada ott keletkezik (351 ügy). Olaszországban 101, Romániában pedig 68 alkalommal született bírság a témában. Rögtön a dobogósok után viszont a GDPR passzusainak betartását itthon felügyelő Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) következik 45 elmarasztaló határozattal.

Ugyanakkor a NAIH ceruzája jellemzően nem fog vastagon, hiszen a büntetések összesen is alig több mint 828 ezer eurót adnak ki. A legjelentősebb tétel ezek között a DIGI-nek tavaly kiosztott 100 millió forintos büntetés, ami a GDPR Enforcement Tracker adatbázisában 288 ezer euró formájában szerepel.