2020 legnagyobb GDPR bírságai
A GDPR, vagyis a személyes adatok védelmére kitalált európai szabályozás 2018 májusa óta érvényes. Azóta több, rekordösszegű bírságot is kiszabtak, az első ötről írunk mostani cikkünkben.
A Tessian összefoglalta a 2020-as év 10 legnagyobb bírságját, amelyet különböző okokból többnyire nagyvállalatokra szabtak ki az európai adatvédelmi hatóságok. Az első részben az öt legnagyobb adatvédelmi bírságot és annak okait soroljuk fel, sorozatunk második részében pedig fennmaradó öttel foglalkozunk.
Ha el szeretnénk kerülni a hasonló bírságok kiszabását, akkor többek között foglalkozzunk a leselejtezett számítógépek, adathordozók adataival is. Mielőtt kikerülnének szervezetünk falai közül, minősített megoldással fertőtlenítsük adatainkat vagy bízzuk profi vállalkozásokra, aki szakszerűen és az előírásoknak megfelelően adatfertőtleníti az eszközöket, szigorúan GDPR kompatibilisen. Egy ilyet ismerünk is, a Data D.
1. Google – 50 millió euró
A Google büntetése technikailag még 2019-ből származik, de a vállalat fellebbezett ellene. A francia hatóságok 2020 őszén visszautasították a keresőóriás fellebbezését, és így az igazán óriási büntetés érvényes maradt. A Google-ra azért szabták ki ezt a bírságot, mert a hatóságok szerint nem közölte eléggé érthetően, hogyan gyűjtötték össze és használták fel a reklámok elhelyezésére a felhasználók személyes adatait.
2. H&M – 35 millió euró
A ruhakereskedőt a német adatvédelmi hatóságok büntették meg. Az áruházlánc tulajdonos ugyanis többszáz alkalmazottjáról gyűjtött rengeteg személyes adatot. Például betegszabadság vagy vakáció után kikérdezték alkalmazottjaikat arról, hogy pontosan milyen betegségben szenvedtek, miket csináltak szabadságuk alatt.
Ezeket az adatoka összegyűjtötték és több mint 50 menedzser számára elérhetővé tették. Az információk alapján döntöttek egy-egy alkalmazott előléptetéséről is. A GDPR szerint a minimálisan szükséges személyes adatot lehet összegyűjteni. Az egészségügyi adatok kiemelten szenzitív információknak számítanak.
3. Telecom Italia – 27,8 millió euró
A bírságot még 2020 elején, pontosan január 15-én szabta ki az olasz adatvédelmi hatóság. Az összeg azért ilyen nagy, mert az olasz távközlési szolgáltató több éven keresztül agresszív marketing tevékenységet folytatott, milliós nagyságrendű kéretlen hívásokat indítottak még olyan emberek felé is, akik kifejezetten letiltották a marketing jellegű megkereséseket.
4. British Airways – 22 millió euró
A bírságot a brit adatvédelmi hatóság szabta ki egy 2018-ban történt hackertámadásért. A támadásban 400 ezer ügyféladat szivárgott ki, fizetési adatokkal, ügyfélnevekkel, címekkel. A hatóságok szerint a támadás megelőzhető lett volna, ha a légitársaság jobban odafigyel a biztonságra. A cégnél olyan alapvető IT biztonsági technikák sem voltak elérhetőek, mint például a kétfaktoros azonosítás.
5. Mariott – 20,4 millió euró
Eredetileg 100 millió eurós bírságot tervezett a brit adatvédelmi hatóság kiszabni, de végül a hotellánc vállalásai miatt 20,4 millió euróra csökkentették ezt az összeget. A Mariott egy hackertámadás miatt elveszítette 383 millió vendégének az adatait, ebből 30 millió európai lakos volt. A támadásban olyan adatok váltak elérhetővé a nyilvánosság számára, mint nevek, lakcímek, útlevélszámok és banki fizetési információk.
A támadók eredetileg a Starwood csoport foglalási rendszerébe jutottak be, még 2014-ben. A Mariott 2016-ban vásárolta meg a céget, a támadást viszont csak két évvel később, 2018 szeptemberében fedezték fel. Vagyis a vállalat nem volt eléggé körültekintő biztonsági szempontból, nem volt a vállalatnál adatszivárgást megelőző (data loss prevention) megoldása sem.