Habár a 2024-ben kiszabott bírságok összértéke 33 százalékkal esett vissza az előző évi 1,78 milliárd euróhoz képest, ez nem jelenti azt, hogy a hangsúly eltolódott volna a személyes adatokkal kapcsolatos jogérvényesítésről. A csökkenés oka elsősorban annak tudható be, hogy 2023-ban az ír adatvédelmi hatóság a Meta részére rekordösszegű, 1,2 milliárd eurós bírságot szabott ki, ami a valaha volt legmagasabb büntetés.

A 2024-es évben is a technológiai szektor és a közösségi média szereplőit érintették leginkább az adatvédelmi szankciók: a tíz legmagasabb bírságból kilencet ebben a szektorban működő szervezetek kapták. Az ír hatóság például 310 millió eurós bírságot szabott ki a LinkedInre, ugyanis a szervezet a felhasználói adatok elemzése és azok célzott hirdetésekhez való kezelése során számos pontban megsértette a GDPR alapelveit. Egy másik jelentős szankció szintén Írországban történt: a Meta 251 millió eurós bírságot kapott egy adatvédelmi incidens kapcsán, amely az Európai Gazdasági Térségben (EEA) élő 3 millió felhasználót érintett.

A technológiai szektor mellett a pénzügyi és az energetikai ágazat szereplői is jelentős bírságokat kaptak. A spanyol adatvédelmi hatóság két, összesen 6,2 millió euró összegű bírságot szabott ki egy nagybankkal szemben a nem megfelelő biztonsági intézkedések miatt, az olasz adatvédelmi hatóság pedig 5 millió eurós bírsággal sújtott egy közüzemi szolgáltatót, mert az elavult vagy pontatlan ügyféladatokat használt.

Magyarország a régiós középmezőnyben

Magyarország a 2018. május 25. óta kiszabott GDPR-bírságok összértékét tekintve a mintegy 4,2 millió euró (1,7 milliárd forintos) kiszabott bírsággal megtartotta tavalyi 17. helyét az európai mezőnyben – míg az első három helyen Írország (3,5 milliárd euró), Luxemburg (746 millió euró) és Franciaország (597 millió euró) végzett. A legnagyobb hazai figyelmet kiváltó ügyek között említhető a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) szankciója egy fejvadász cég ellen, amely a jelentések szerint jogellenesen kezelte és osztotta meg több ezer álláskereső adatait. Emellett a NAIH a tavalyi évben figyelmeztetést tett közzé a hangfelvételek jogszerű kezelésére vonatkozóan is.

Célkeresztben az AI és a vezetői felelősség

Az AI-technológiák adatvédelmi vonatkozásai szintén a szabályozók figyelmének középpontjában állnak. Míg Írországban az X chatbot adatkezelési gyakorlatát vizsgálták hangsúlyosan, a holland adatvédelmi hatóság 290 millió eurós rekordbírságot szabott ki egy személyszállító alkalmazásra személyes adatok harmadik országba történő továbbítása miatt, továbbá 30,5 millió eurós bírságot rótt ki a Clearview AI vállalatra, adatgyűjtésre és arcfelismerő rendszerekre vonatkozó GDPR-sértések miatt. A holland adatvédelmi hatóság azt is vizsgálja, hogy a vállalat igazgatóit személyes felelősség is terheli-e a GDPR többszöri megsértéséért.

„Az Európai Uniós szabályok egyre inkább összpontosítanak a vállalati vezetők személyes felelősségére is, szigorúbb megfelelési követelményeket támasztva. Tagállamonként eltérő, hogy a hatóságok rendelkeznek-e jogkörrel a személyes felelősség megállapítására a GDPR megsértése esetén” – mondta el Almásy Márk, a DLA Piper Hungary Szellemi Alkotások és Technológiai csoportjának ügyvédje.

Milyen adatvédelmi kihívások várhatóak idén?

Várhatóan idén is nagy figyelmet kap a „consent or pay” (hozzájárulás vagy fizetés) modell, amelyet élénk viták kísértek 2024-ben, ugyanis a modell lényege, hogy a felhasználók mindössze két megoldás közül választhatnak: hozzájárulnak a személyes adataik viselkedésalapú hirdetésekhez való felhasználásához vagy fizetnek a szolgáltatásért. Az Európai Adatvédelmi Testület (EDPB) tavaly áprilisban végül véleményt fogadott el arról, miszerint a nagy online platformoknak lehetővé kell tenniük, hogy a felhasználó választhasson egy további, úgynevezett „egyenértékű alternatívát”, amely ingyenes és mentes a viselkedésalapú hirdetésektől. Bár a testület nem jelentette ki, hogy ezek a modellek semmilyen esetben sem lehetnek jogszerűek, de arra jutott, hogy a legtöbb esetben nem felelnek meg a GDPR előírásainak az érvényes hozzájárulásra vonatkozóan, ebből fakadóan pedig jogellenesek.

Az EDPB decemberben közzétett, szintén régóta várt véleménye az AI-modellekkel kapcsolatos adatvédelmi szempontokról nem ad egyértelmű iránymutatást, így a személyes adatok jogszerű felhasználásának határai továbbra is bizonytalanok az AI-eszközök esetében.

„A mesterséges intelligencia gyors elterjedése és a szigorú uniós adatvédelmi jogszabályok következtében az elkövetkező években számos hatósági vizsgálatra, szankcióra és bírósági eljárásokra számíthatunk” – tette hozzá Kozma Zoltán, a DLA Piper Hungary Szellemi Alkotások és Technológia csoportvezető partnere.