Hatályba lépése óta mintegy 270-280 millió euró bírságot szabtak ki az uniós tagállamok adatvédelmi hatóságai a GDPR megsértése miatt. Pontosabb adatok azért nincsenek, mivel nincs általános uniós szintű kötelezettség a határozatok közzétételére. Van azonban több olyan rendszer is, amely nyomon követi a GDPR-rel kapcsolatos eljárásokat, valamint azok eredményét.

A GDPR-megfelelőségi auditot is vállaló CoreView nevű felhőszolgáltató szerint például az általános adatvédelmi rendelet hatályba lépése óta 288,8 millió euró bírságot szabtak ki a tagállamok hatóságai. 2018 még csak próbaév volt, akkor mindössze néhány esetben jártak el, és akkor is enyhe büntetési tételeket róttak ki. A CoreView összesítése szerint 2019-ben már 103 millió, míg tavaly már 184 millió euró volt a bírságok összege.

A jelenleg mintegy 470 ügyet nyilvántartó GDPR Enforcement Tracker adatai valamivel pontosabbak. Az oldal tételesen és kereshető módon elérhetővé tesz minden olyan eljárást, amelyet az egyes országok hatóságai valamilyen nyilvános adatbázisban közzétettek. Ezekből az adatokból a Finbold pénzügyi portál készített egy 2020-ra vonatkozó összesítést. (A Finbold tavalyi évközi elemzésének eredményeit itt ismertettük.)

Minden ötödik eurót a Google fizette

A GDPR-t leginkább a Google szenvedi meg: a GDPR Enforcement Tracker adatai szerint eddig összesen 56,6 millió euróra bírságolták meg. Ebben nagy szerepe volt a franciáknak, tavaly januárban ugyanis 50 millió euróra büntették a vállalatot. A keresőóriásnak egyébként kevés a lezárt ügye. A 2019-es francia bírságot tavaly egy svéd (5 millió euró) egy belga (600 ezer euró) és egy magyar követte. A NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) 10 ezer forintra (akkori áron kb. 28 euró) büntette a Google Ireland Ltd.-t, mert megsértette egy ügyfele "hozzáférési jogát azzal, hogy nem adott határidőben megfelelő tájékoztatást a Kérelmező "név" személyes adata kezelésével kapcsolatban a Google AdWords keretében". Péterfalvi Attila hivatala határozatában [pdf] egyébként további 6100 forint iratbetekintés gyakorlásával kapcsolatban felmerült eljárási költség megfizetésére is kötelezte a cég ír leányvállalatát.

2020-ban azonban már az európai vállalatokra sújtott le legerősebben a GDPR vasökle: az év legsúlyosabb bírságát a német H&M online shopja kapta. 35,3 millió eurót kellett fizetnie, mert megfelelő jogalap nélkül kezelt felhasználói adatokat. A második a Telecom Italia volt, amely ugyanebbe a bűnbe esett, és ez 27,8 millió eurójába fájt. A harmadik pedig a British Airways lett, 21,2 millió eurós büntetéssel, mert nem vigyázott eléggé ügyfelei személyes adataira.

Jelentős, 20 milliós büntetést kapott a Marriott egy tavasszal napvilágra került adatvédelmi incidens miatt, amelyben 25 millió vendégük adatait lopták el. Emellett két további olasz távközlési szolgáltatót is komoly összegre büntettek: 17 milliót kellett fizetnie Wind Trének, és 12 milliót a Vodafone Italiának.

Magyarországon a tavalyi és abszolút csúcstartó is a Digi, amely hanyag adatkezelés miatt kapott 100 milliós bírságot (288 ezer euró az Enforcement Tracker átszámításában). A NAIH a Sziget Zrt.-t 92 ezer euróra, a Robinson Tourst és a Dechmann cipőbolt-hálózatot pedig 55-55 ezer euróra büntette.

Olaszország az élen

A GDPR Enforcement Tracker adatbázisába került tavalyi eljárásokban összesen 171,3 millió eurónyi bírság szabtak ki a hatóságok. Az olaszok voltak a legszigorúbbak (lásd a fenti grafikont): az ottani vállalatoknak összesen 58 millió eurót kellett befizetniük (ebből a Telecom Italia fizetett közel 28-at). A EU-ban utolsó évét töltő Egyesült Királyság cégei 44 milliót, a németek pedig 37 milliót fizettek.

A legszorgalmasabban viszont a spanyol adatvédelmi hatóság dolgozott: 128 esetben osztott ki bírságot. Az olaszok kevesebből többet kasszíroztak, hiszen az 58 millió eurót mindössze 34 eljárásból hozták össze. Romániában 26, Svédországban 15, Belgiumban és Magyarországon 13, míg Norvégiában 11 eljárás zárult büntetéssel.