A jelen cikkben áttekintjük a tavalyi évben kiszabott azon legmagasabb adatvédelmi bírságokat, amelyeket az általános adatvédelmi rendelet (GDPR) megsértésére tekintettel alkalmaztak a felügyeleti hatóságok. Következzen a 20 legnagyobb GDPR bírság 2022-ből!
1. Meta Platforms, Inc. – 405 millió eurós adatvédelmi bírság
GDPR megsértett rendelkezései – 5. cikk (1) bekezdés a), c) pont, 6. cikk (1) bekezdés, 12. cikk (1) bekezdés, 24. cikk, 25. cikk (1), (2) bekezdés, 35. cikk.
Az ír felügyeleti hatóság (DPC) 405 millió eurós bírságot szabott ki a Meta Platforms Ireland Ltd. (Instagram) részére. Ez minden idők egyik legnagyobb GDPR-bírsága. A vállalat ellen indított vizsgálat a gyermekkorú felhasználók személyes adatainak feldolgozását vizsgálta az Instagram közösségi szolgáltatásban.
A DPC alapos vizsgálatot folytatott, és határozattervezetet nyújtott be az EU összes társszabályozó hatóságának. Miután nem tudtak konszenzusra jutni, az ügyet az Európai Adatvédelmi Testület („EDPB„) elé utalták. Végül a DPC az eredetileg javasolt adatvédelmi bírság összegét szabta ki, és a DPC megrovásban részesítette a vállalatot, meghatározott korrekciós intézkedésekre vonatkozó utasítással.
2. Meta Platforms Ireland Limited – 265 millió eurós GDPR bírság
GDPR megsértett rendelkezései – 25. cikk (1) és (2) bekezdései
A Meta Platforms Ireland Limited (MPIL), a „Facebook” közösségi médiahálózat adatkezelőjének részére 265 millió eurós bírságot szabtak ki, valamint korrekciós intézkedéseket is foganatosítottak. Ez szintén az egyik legnagyobb adatvédelmi bírság a GDPR alkalmazandóvá válása óta.
A vizsgálat azután kezdődött, hogy a Facebook személyes adatokból összeállított adathalmazát hozzáférhetővé tették az interneten. A vizsgálat fő kérdései a GDPR-nak a beépített és alapértelmezett adatvédelemre vonatkozó kötelezettségnek való megfelelésre vonatkoztak. Átfogó vizsgálatot követően a DPC megállapította, hogy az MPIL megsértette a GDPR 25. cikkének (1) és (2) bekezdését, ezt követően a felügyeleti hatóságok jóváhagyták a végső döntést.
3. Clearview AI Inc. – 20 millió eurós GDPR büntetés
GDPR megsértett rendelkezései – 5. cikk (1) bekezdés a), b), e), 6. cikk, 9. cikk, 12. cikk, 13. cikk, 14. cikk, 15. cikk, 27. cikk.
A Clearview AI arcfelismerő céget az olasz adatvédelmi ügynökség 20 millió eurós bírsággal sújtotta az uniós jog megsértése miatt. A vizsgálat során a hatóságok megállapították, hogy a vállalat birtokában lévő személyes adatokat jogellenesen dolgozzák fel. Ezek az adatok biometrikus és geolokációs információkat tartalmaznak. Továbbá a vállalat megsértette az átláthatósági kötelezettségeket, mivel elmulasztotta tájékoztatni a felhasználókat arról, hogy a felhasználói adatokat az online közzétett információkon kívül más célokra használja fel.
4. Clearview AI Inc. – 20 millió eurós adatvédelmi bírság
GDPR megsértett rendelkezései – 5. cikk (1) bekezdés a) pont, 6. cikk 9. cikk, 12. cikk, 14. cikk, 15. cikk, 27. cikk.
A Görög Adatvédelmi Hatóság („HDPA„) 20 millió eurós bírságot szabott ki a Clearview AI Inc. vállalatra a jogszerűség és az átláthatóság megsértése miatt. Ez a második GDPR büntetés, amelyet a vállalatra az év során kiszabtak. A Clearview AI Inc. elleni panasz ugyanakkor érkezett, amikor négy másik felügyeleti hatósághoz is hasonló panaszok érkeztek Ausztriában, Franciaországban, Olaszországban és az Egyesült Királyságban. A HDPA számos jogsértést tárt fel, többek között azt, hogy a Clearview AI nem tett eleget a GDPR 27. cikke szerinti azon kötelezettségének, hogy képviselőt nevezzen ki az EU-ban, mivel a Clearview AI a GDPR hatálya alá tartozik.
5. Clearview AI Inc. – 20 millió eurós GDPR bírság
GDPR megsértett rendelkezései – 6. cikk, 12. cikk, 15. cikk, 17. cikk, 31. cikk
A Clearview AI Inc.-t a francia szabályozó hatóság, a CNIL újabb maximális pénzbírsággal sújtotta a GDPR megsértése miatt. A vizsgálat során a CNIL több jogsértést is talált, többek között sor került biometrikus adatok gyűjtésére és jogalap nélküli felhasználására. A CNIL megállapította továbbá, hogy a Clearview AI nem vette eredményesen és kielégítő módon figyelembe az egyének jogait. A CNIL felszólította a vállalatot, hogy hagyja abba a franciaországi egyénekre vonatkozó adatok gyűjtését és felhasználását jogalap nélkül. Ezen túlmenően kérelmezte a már összegyűjtött adatok törlését is.
6. Meta Platforms Ireland Ltd. – 17 millió eurós GDPR büntetés
GDPR megsértett rendelkezései – 5. cikk (2) bekezdés, 24. cikk (1) bekezdés
Az ír felügyeleti hatóság 17 millió eurós bírságot szabott ki a Meta Platformsra. A hivatalosan Facebook Ireland Ltd. néven ismert vállalat vizsgálatakor a DPC megállapította, hogy a vállalat nem gondoskodott a megfelelő technikai és szervezési intézkedések meglétéről. Ez azt jelentette, hogy nem tudták egyértelműen igazolni azt, hogy a gyakorlatban milyen biztonsági intézkedéseket hajtottak végre az uniós felhasználók adatainak védelme érdekében. Mindez tizenkét személyes adattal kapcsolatos jogsértéssel összefüggésben történt.
7. Google LLC – 10 millió eurós adatvédelmi bírság
GDPR megsértett rendelkezései – 6. cikk, 17. cikk
A spanyol adatvédelmi hatóság („AEPD„) összesen 10 millió eurós bírságot szabott ki a Google LLC-re, amelyből 5 millió eurót a GDPR 6. cikkének megsértéséért, 5 milliót pedig a 17. cikk megsértéséért szabtak ki. A vizsgálat megállapította, hogy a Google arra kötelezte a felhasználókat, hogy fogadják el a tartalomeltávolítási kérelem másolatainak harmadik félnek történő átadását, ha tartalmat akartak eltávolítani. Továbbá a Google által kínált egyetlen értesítés magában a Google-űrlapban volt, amelyet a kérelem benyújtásához használtak. Az AEPD azt is megállapította, hogy a Google űrlapok nem biztosították a személyes adatok törléséhez való jogot vagy az adattovábbítás elutasításának lehetőségét.
8. Clearview AI Inc. – 9 millió eurós GDPR bírság
GDPR megsértett rendelkezései -5. cikk (1) bekezdés a), e), 6. cikk, 9. cikk, 14. cikk, 15. cikk, 16. cikk, 17. cikk, 21. cikk, 22. cikk, 35. cikk.
Az Egyesült Királyságban az Információs Biztos Hivatala (ICO) megállapította, hogy a Clearview AI Inc. megsértette az Egyesült Királyság adatvédelemmel kapcsolatos jogszabályait. A vállalatot 9 millió eurós bírsággal sújtották, és felszólították, hogy törölje a brit lakosok adatait. Az ICO azután hozta meg döntését, hogy megállapította, hogy a Clearview AI Inc. nem rendelkezik a személyes adatok gyűjtésének törvényes indokával, nem rendelkezik olyan eljárással, amely megakadályozza az adatok határozatlan ideig történő megőrzését, és nem felel meg a biometrikus adatokra vonatkozó magasabb adatvédelmi előírásoknak.
9. REWE International – 8 millió eurós GDPR büntetés
GDPR megsértése – Az általános adatvédelmi elvek be nem tartása
Az osztrák élelmiszer-kereskedő, a REWE International 8 millió eurós bírságot kapott a vásárlói adatok gondatlan kezelése miatt. A vállalat vásárlói hűség- és jutalomprogramja, a jö Bonus Club megsértette a GDPR-t, mivel feltételezhetően a felhasználók adatait hozzájárulásuk nélkül gyűjtötte és marketingcélokra használta fel. A Rewe International megtámadja az Osztrák Adatvédelmi Hatóság (DPA) döntését, mivel a jö Bonus Club önállóan, különálló leányvállalatként, Unser Ö-Bonus Club néven működik. Nem ez az első eset, hogy a jö Bonus Club megsértette a GDPR-t. A leányvállalatot 2021 augusztusában 2 millió eurós bírsággal sújtották, több millió klubtag adatainak jogellenes gyűjtése, majd harmadik félnek történő értékesítése miatt.
10. Cosmote Mobile Telecommunications – 6 millió eurós adatvédelmi bírság
GDPR megsértett rendelkezései – 5. cikk (1) bekezdés a) pont, 5. cikk (2) bekezdés, 13. cikk, 14. cikk, 25. cikk (1) bekezdés, 26. cikk, 28. cikk, 35. cikk (7) bekezdés.
A Görög Adatvédelmi Hatóság 6 millió eurós bírságot szabott ki Görögország legnagyobb mobilszolgáltatójára, a Cosmote-ra. Miután a vállalatot 2020-ban kibertámadás érte, több millió ügyfelük személyes adatait lopták el. A hatóság megállapította, hogy a Cosmote elmulasztotta bevonni anyavállalatát, az OTE Csoportot a vizsgálatba, és elmulasztotta elmagyarázni az érintett ügyfeleknek az adatvédelmi incidens súlyosságát. A vizsgálat azt is megállapította, hogy a Cosmote nem alkalmazott megfelelő adatvédelmi intézkedéseket. A hatóságok megállapították, hogy a Cosmote jogszerűen 90 napig, illetve további 12 hónapig tárolhatja a hívásadatokat, ha az adatokat álnéven kezelik. Voltak azonban olyan esetek, amikor az álnevesítés nem volt teljes, és a vállalat a jogilag megengedettnél hosszabb ideig tartotta meg az ügyféladatokat.
11. Interserve Group Limited – 5 millió eurós GDPR bírság
GDPR megsértett rendelkezései – 5. cikk (1) bekezdés f) pont, 32. cikk
Az ICO 4,4 millió font (5 millió euró) összegű bírságot szabott ki az Interserve Group Limitedre, amiért nem védte megfelelően a munkavállalók személyes adatait. A bírságot egy olyan kibertámadás nyomán szabták ki, amelynek következtében 113 ezer volt és jelenlegi alkalmazott személyes adatai kerültek veszélybe. A kibertámadás során veszélybe került adatok között szerepeltek a nemzeti biztosítási számok, az alkalmazottak bankszámlái, valamint olyan különleges adatok, mint az etnikai csoport, a szexuális irányultság és a fogyatékosság részletezése. A vizsgálatot követően az ICO megállapította, hogy a vállalat nem reagált időben a gyanús tevékenységgel kapcsolatos figyelmeztető jelekre. Az Interserve továbbá elavult szoftverrendszereket és protokollokat használt, és nem végezte el a személyzet megfelelő képzését és kockázatértékelését.
12. Portugál Nemzeti Statisztikai Intézet – 4,3 millió eurós GDPR büntetés
GDPR megsértett rendelkezései – 5. cikk (1) bekezdés a) pont, 9. cikk (1) bekezdés, 12. cikk, 13. cikk, 28. cikk (1), (6), (7) bekezdés, 35. cikk (1), (2), (3) bekezdés b) pont, 44. cikk, 46. cikk (2) bekezdés.
A portugál felügyeleti hatóság (CNPD) 4,3 millió eurós bírságot szabott ki a Portugál Nemzeti Statisztikai Intézetre, amiért az „a 2021-es népszámlálás adatfeldolgozásával összefüggésben” megsértette a GDPR különböző rendelkezéseit. A CNPD a vizsgálat megindítását követően különösen öt kulcsfontosságú jogsértést állapított meg. Ezek közé tartozott a személyes adatok különleges kategóriáinak jogszerűtlen feldolgozása. Továbbá az átláthatósági kötelezettségek be nem tartása, az adatfeldolgozási műveletek egészére és a népszámlálás releváns dimenzióira kiterjedő DPIA hiánya, a kellő gondossági kötelezettség elmulasztása és a nemzetközi adattovábbításokra vonatkozó jogi követelmények be nem tartása.
13. Vodafone Spanyolország – 3,94 millió eurós GDPR bírság
GDPR megsértett rendelkezései – 5. cikk (1) bekezdés f) pont, 5. cikk (2) bekezdés
A spanyol adatvédelmi hatóság („AEPD„) 3,94 millió eurós bírságot szabott ki a Vodafone-ra, mivel nem hajtott végre megfelelő biztonsági intézkedéseket a SIM-kártyák jogosulatlan másolásának megakadályozására. A vizsgálat során az AEPD megállapította, hogy a Vodafone nem tudta bizonyítani, hogy ellenőrizte a csalók személyazonosságát, valamint, hogy a biztonsági intézkedéseik hiányosak voltak. A hatóságok továbbá arra a következtetésre jutottak, hogy a vállalat nem tanúsított felelősségteljes magatartást. A Vodafone azon érvelésére, miszerint a SIM-kártyák másolása emberi hiba miatt történt, az AEPD kijelentette, hogy az ismétlődő emberi hiba „a kockázatok előre látásának hiányára, az elemzés és tervezés hiányára, valamint a biztonsági intézkedések hiányára” utal.
14. Holland Adó- és Vámhivatal – 3,7 millió eurós adatvédelmi bírság
GDPR megsértett rendelkezései – 5. cikk (1) bekezdés a), b), d), e) pont, 6. cikk (1) bekezdés, 32. cikk (1) bekezdés, 35. cikk (2) bekezdés.
A holland adatvédelmi hatóság (DPA) 3,7 millió eurós bírságot szabott ki az Adó- és Vámhivatalra a személyes adatoknak a csalásjelző rendszerben történő jogellenes feldolgozása miatt. A jogsértés súlyossága miatt ez a DPA által kiszabott eddigi legmagasabb GDPR bírság. A vizsgálat során az adatvédelmi hatóság az adatvédelmi törvény számos megsértését fedezte fel. Például az Adó- és Vámhivatalnak nem volt törvényes oka a személyes adatok kezelésére, és az adatok biztonsága sem volt megfelelően biztosítva. Ezen túlmenően az adatok gyakran helytelenek voltak, ami azt eredményezte, hogy az embereket tévesen regisztrálták lehetséges csalóként, ami számos emberre nézve negatív következményekkel járt
15. OTE Group – 3,2 millió eurós GDPR bírság
GDPR megsértett rendelkezése – 32. cikk
Az előfizetői hívásadatok kiszivárgását követően a HDPA összesen 3,2 millió fontra bírságolta az OTE-csoportot. A vállalat elleni vizsgálatot az indította el, hogy a Cosmote bejelentést tett az adatok megsértéséről. Megállapítást nyert, hogy a Cosmote-nak be kellett volna vonnia az OTE Csoportot az adatvédelmi intézkedésekre vonatkozó vizsgálatba. A HDPA megállapította, hogy mind a Cosmote, mind az OTE Csoport felelős volt a szervezeti és technikai biztonsági intézkedések meghatározásáért. Továbbá az OTE-csoport megsértette a GDPR-t, mivel nem hajtott végre megfelelő biztonsági intézkedéseket.
16. Amazon Road Transport – 2 millió eurós adatvédelmi bírság
GDPR megsértett rendelkezései – 6. cikk (1) bekezdése, 10. cikk
Az AEDP 2 millió eurós bírságot szabott ki az Amazon Road Transportra, mivel nem hajtotta végre a büntetőjogi felelősségre vonással kapcsolatos személyes adatok gyűjtésére és feldolgozására vonatkozó megfelelő eljárásokat. A Munkavállalók Általános Szakszervezetének képviselője panaszt nyújtott be az AEPD-hez. Megjegyezték, hogy az Amazon Road Transport egyéni vállalkozók felvételéhez igazolásokat kér a büntetlen előélet igazolására. Továbbá a jelöltek hozzájárulását kérik ahhoz, hogy ezeket az adatokat az Európai Gazdasági Térségen kívül található csoportvállalatoknak és beszállítóiknak továbbítsák.
17. Alpha Exploration – 2 millió eurós GDPR bírság
GDPR megsértett rendelkezései – 5. cikk (1) bekezdés a), e) és f) pont, 6. cikk, 7. cikk, 12. cikk (1) bekezdés, 13. cikk, 14. cikk, 27. cikk (4) bekezdés, 28. cikk, 32. cikk, 35. cikk.
Az olasz adatvédelmi hatóság (Garante) 2 millió euróra bírságolta az Alphas Explorationt az általános adatfeldolgozási elvek be nem tartása miatt. Ez konkrétan a „Clubhouse” szolgáltatásnak a GDPR-t sértő módon történő nyújtására vonatkozik. A Garante megállapította, hogy a vállalat nem megfelelő jogalapokra támaszkodott „számos különböző adatkezelési tevékenység igazolásakor”. Különösen a közvetlen marketingre vonatkozó hozzájárulást szerezték meg opt-out mechanizmusok segítségével. A Garante megállapította továbbá, hogy „a felhasználóknak személyre szabott tartalmak és javaslatok megjelenítésére irányuló profilalkotás nem alapulhatott a szerződés teljesítésének szükségességén”. Az Alpha Exploration továbbá elmulasztotta tájékoztatni a nem felhasználókat a telefonszámuk feldolgozásáról. Ez a GDPR büntetés kiszabását eredményezte, a Garante pedig elrendelte a közvetlen marketing célú további feldolgozás megszüntetését, a feldolgozás átláthatóságának növelését és a DPIA elvégzését.
18. BREBAU GmbH – 1,9 millió eurós GDPR büntetés
GDPR megsértett rendelkezései – 5. cikk (1) bekezdés, 6. cikk (1) bekezdés, 9. cikk
A BREBAU GmbH-t a brémai adatvédelmi biztos 1,9 millió eurós bírsággal sújtotta a jogi előírások és az átláthatósági szabályok megsértése miatt. A vizsgálat megállapította, hogy a BREBAU GmbH több mint 9 500 leendő bérlő adatait dolgozta fel. Ezeket az adatokat jogalap nélkül dolgozták fel, és az esetek több mint felében a GDPR által különösen védett adatokról volt szó. Az adatvédelem súlyos megsértése miatt magasabb bírságot szabtak volna ki, ha a vállalat nem működött volna együtt, és nem törekedett volna a jogsértésekből eredő károk minimalizálására.
19. Dedalus Biologie – 1,5 millió eurós adatvédelmi bírság
GDPR megsértett rendelkezései – 28.cikk, 29. cikk, 32. cikk
A több mint 500 000 embert érintő nagymértékű egészségügyi adatszivárgás után a Dedalus 1,5 millió eurós bírságot kapott. A büntetés a biztonsági hiányosságok és a GDPR szerinti számos egyéb kötelezettség elmulasztása miatt került kiszivárogtatásra. A CNIL emellett a párizsi bírósághoz fordult, hogy blokkolja a hozzáférést ahhoz a weboldalhoz, amelyen az adatok kiszivárogtak, ami minimálisra csökkentette az érintett személyekre gyakorolt hatást.
20. Easylife Ltd. – 1,5 millió eurós GDPR büntetés
GDPR megsértett rendelkezései – 5. cikk (1) bekezdés a) pont, 6. cikk, 9. cikk, 13. cikk (1) bekezdés c) pont, illetve az Adatvédelmi és elektronikus hírközlési rendeletek (PECR) 21. rendelete
Az ICO 1,5 millió euróra büntette az Easylife ltd-t személyes adatok jogellenes felhasználása és célzott marketinghívások miatt. A vizsgálat során az ICO megállapította, hogy a vállalat 145,4 ezer ügyfél személyes adatait használta fel arra, hogy megjósolja egészségi állapotukat, és hozzájárulásuk nélkül egészségügyi termékeket kínáljon nekik.
A PECR szerinti jogsértésekkel kapcsolatban a vizsgálat feltárta, hogy a vállalat 1 345 732 nem kívánt marketinghívást intézett a telefonpreferencia-szolgálatnál regisztrált személyekhez.
A cikk az alábbi linken elérhető eredeti angol nyelvű cikk alapján készült: https://www.skillcast.com/blog/biggest-gdpr-fines-2022
Amennyiben kérdése van az adatvédelem témakörében, vagy szüksége van adatvédelmi és adatbiztonsági tanácsadás szolgáltatásunkra, keressen minket a lenti elérhetőségeink egyikén:
Miklós Péter – adatvédelmi jogász
Telefon: +36 30 648 5521
E-mail: dmp@dmp.hu