746 millió euró az új GDPR gigabírság

A szokásos EU-s bürokrácián felülkerekedve, elég gyorsan döntött Luxembourg az Amazont sújtó 746 millió eurós rekord GDPR-bírságról.

A DATA D blogján júniusban írhattunk arról a pletykáról, hogy Európa egyik legkisebb állama, Luxembourg a legnagyobb GDPR bírságot készül kiszabni az Amazon online kereskedő óriásra. A

kkor még az elemzők sem sejthették, hogy az ügy hamar átszalad az EU bürokrata gépezetén és már idén nyáron, pontosabban július 16-án kirótta a 746 millió eurós gigabírságot.

Lazán kezelik a személyes adatokat

A bírságot a luxembourg-i adatvédelmi hatóság (CNDP) azért szabta ki, mert az amerikai kereskedő óriás eléggé lazán kezeli a felhasználók személyes adatait, ahogy azt a Politico magazin vizsgálata is alátámasztotta 2018-ban. A hatóságok azt kifogásolták, hogy az Amazon elítélendő módon csikarta ki a hozzáegyezést ügyfeleiből, hogy célzott hirdetésekkel bombázza majd őket.

Akkoriban a helyi adatvédelmi hatóság képviselője azt nyilatkozta, hogy nem az óriási bírságokkal tudják megvédeni az európai felhasználók személyes adatait. A helyzetet másképp látta Viviane Reding, az ország ellenzéki képviselője (nem mellesleg a GDPR szülőanyja), aki erőteljesen bírálta gyengeségük miatt a helyi hatóságokat.

Civilek jelentették fel őket

A cikk nyomában végül egy civil szervezet, a francia La Quadrature de Net jelentette fel az Amazont a luxembougi adatvédelmi hatóságnál, ezután kezdett el vizsgálódni az adatvédelmi hatóság. Idén a The Wall Street Journal szellőztette meg a rekordbírság lehetőségét.

Az Amazon rögtön meg is támadta a határozatot. Szerintük a luxembourgi adatvédelmi hatóság döntése megalapozatlan és nyomatékosan védekezni fognak a vádak ellen. Azért Luxembourg adatvédelmi hatósága járt el az ügyben, mert az Amazon itt jelentette be európai székhelyét – a kis ország laza adótörvényeiről közismert.

Gigabírság elé néz az Amazon a GDPR megsértése miatt

A The Wall Street Journal értesülései szerint az Amazon online áruházóriás GDPR gigabírság elé néz az Európai Unióban.

A kereskedő a GDPR adatvédelmi törvény megsértése miatt 452 millió dolláros bírságot kockáztat. A GDPR szerint ugyanis a legnagyobb bírság, ami egy vállalatra kiszabható, az az éves bevételének maximum 2 százaléka. A nagyvállalat bevétele 2,1 milliárd dollár volt 2020-ban.

A pénzügyi lap értesüléseit sem az EU hatóságok, de az Amazon sem kommentálta. A lap szerint a luxembourgi adatvédelmi hatóság (CNPD) egy olyan tervezetet köröztetett meg a többi EU-s tagország adatvédelmi hatóságai között, mely szerint az Amazon adatvédelmi gyakorlata kívánni valót hagy maga után és emiatt terveznék őt megbüntetni.

Egyelőre csak terv

A kifogásolt viselkedést a lap továbbá nem részletezi, de azt még kiderült, hogy a rossz GDPR gyakorlatot az online kereskedési tevékenység során észlelték, az AWS felhőszolgáltatás nem érintett az ügyben.

A gigabüntetés egyelőre csak terv formájában létezik. Ahhoz, hogy véglegessé váljék, a többi tagország adatvédelmi hatósága is jóvá kell hagyja. Ez a folyamat több hónapot is eltarthat, miközben maga a tervezet is jelentősen átalakulhat.

211 millió a legnagyobb GDPR bírság

Ahogy erről a DATA D blogján is írtunk, a tavalyi legnagyobb GDPR bírság 50 millió eurónál állt meg, a Google-ra szabták ki a francia hatóságok a reklámok elhelyezésére szolgáló személyes adatok gyűjtésével kapcsolatban.

Azóta két vállalatnak is sikerült ezt az összeget megelőznie, 2021-ben a British Airways légitársaságot 211,7 millió euróra bírságolták, mert fél millió ügyféladat kiszivárgott egy támadás során. A másik nagyvállalat, a Marriott International hotellánc 110,3 millió eurós büntetést kapott egy 2014-ben történt, de csak négy évvel később felfedett támadást miatt, ahol ugyancsak ügyféladatok vesztek el.

A GDPR büntetés a többek között azzal is elkerülhető, ha az életciklusuk végén levő eszközök adatait megfelelően tanúsított eszközökkel töröljük.

Forrás: The Wall Street Journal

 

2020 legnagyobb GDPR bírságai – második rész

Előző cikkünkben az öt eddigi legnagyobb GDPR bírságot, azok okait soroltuk fel cikkünkben. A utolsó öt helyezett között is vannak szép számmal milliós tételek.

A GDPR 2018 májusa óta védi a személyes adatainkat, azóta több adatvédelmi hatóság aktivizálta magát és szabott ki bírságokat. Az egyik módja a GDPR bírság elkerülésének, ha megfelelő szabályzattal és adatvédelmi előírásokkal fegyverkezünk fel. Ha rendszeresen átnézzük és töröljük a nem szükséges adatokat, azzal megelőzzük, hogy ezek az adatok a vállalaton kívülre kerüljenek – vagyis GDPR szempontból jelentésköteles esemény történjen.

6. Wind – 17 millió euró

Az olasz adatvédelmi hatóság bírságolt újból, most a Wind távközlési vállalat marketing gyakorlatát tartotta GDPR ellenesnek. A büntetés összege 16 729 600, vagyis kevéssel marad el a címben szereplő 17 milliótól, 2020. július 13-án szabták ki.

Az adatvédelmi hatóságok azután kezdték el vizsgálni a távközlési céget, hogy panaszok érkeztek a vállalat marketing kommunikációs gyakorlata ellen. A szolgáltató rendszeresen kéretlen reklámokkal bombázta az olaszokat. A spam emailekről történő leiratkozást nem megfelelő címek megadásával lehetetlenítette el.

A vállalat visszatetsző tevékenysége itt még nem ért véget: a mobil alkalmazás felhasználókat arra kényszerítették, hogy a direkt marketing tevékenységet és a felhasználó helyzetének követését engedélyezzék, ugyanakkor a cég üzleti partnerei illegálisan gyűjtöttek adatokat a felhasználókról.

7. Google – 7 millió euró

A svéd adatvédelmi hatóság egy 2017 óta tartó ügy miatt döntött a 7 millió eurós bírság mellett., melyet 2020 márciusában szabtak ki. A középpontban a felejtéshez való jog volt: a GDPR szerint a magánszemélyek kérhetik a keresési találatok törlését a Google találatai közül, ha azok a találatok elévült, számukra negatív információt tartalmaznak.

Ezt a Google úgy hajtotta végre, hogy minden esetben értesítette az adott weboldal üzemeltetőjét, hogy az adott címen lévő tartalmat ezentúl nem jeleníti meg a keresési találatok között. Erre válaszul a weboldalok üzemeltetői egy másik címre tették át általában a tartalmat, ami újból megjelent a keresési találatok között. A svéd adathatóság szerint így sohasem felejtődnek el a lejárt szavatosságú információk. A Google-nak változtatnia kell ezen a gyakorlaton.

8. BBVA – 5 millió euró

A spanyol adatvédelmi hatóságról van ebben az esetben szó, a pénzügyi szolgáltató BBVA vagyis Banco Bilbao Vizcaya Argentaria kapta a magas bírságot, 2020. december 11-én.

A hatóságok szerint a pénzügyi szervezet a felhasználók beleegyezése nélkül küldött SMS üzenetekben reklámokat. Emiatt 3 millió eurós büntetést szabott ki. A fennmaradó 2 millió euró bírságot azért kapta a bank, mert nem tudták pontosan elmagyarázni, hogyan gyűjtötték és használták fel az ügyfelek személyes adatait.

9. AOK 1,24 millió euró

A német adatvédelmi hatóságok munkájának eredménye ez a bírság, 2020. június 30-án szabták ki. Az ok: az egészségügyi biztosító, Allgemeine Ortskrankenkasse (AOK) az ügyfelek személyes adatait, közöttük az egészségügyi biztosítás információit felhasználva versenyeket és sorsolásokat indított. Az AOK igyekezett megszerezni a felhasználók hozzájárulását, de nem minden esetben sikerült. És azok is részt vettek a marketing akciókban, akiknek a hozzájárulása hiányzott.

10. BKR – 830 ezer euró

Az utolsó helyezett már egymillió euró alatti bírság, de így is tetemes. A holland hatóságok szabták ki, a BKR a nemzeti hitelinformációs adatbázis. Amit a hatóságok kifogásoltak, hogy a BKR csupán évente egyszer és papíralapon engedélyeztek hozzáférést adataikhoz, más esetekben ezért fizetni kellett. Az intézmény fellebbezése a bírság ellen még folyamatban.

 

2020 legnagyobb GDPR bírságai

2020 legnagyobb GDPR bírságai

A GDPR, vagyis a személyes adatok védelmére kitalált európai szabályozás 2018 májusa óta érvényes. Azóta több, rekordösszegű bírságot is kiszabtak, az első ötről írunk mostani cikkünkben.

A Tessian összefoglalta a 2020-as év 10 legnagyobb bírságját, amelyet különböző okokból többnyire nagyvállalatokra szabtak ki az európai adatvédelmi hatóságok. Az első részben az öt legnagyobb adatvédelmi bírságot és annak okait soroljuk fel, sorozatunk második részében pedig fennmaradó öttel foglalkozunk.

Ha el szeretnénk kerülni a hasonló bírságok kiszabását, akkor többek között foglalkozzunk a leselejtezett számítógépek, adathordozók adataival is. Mielőtt kikerülnének szervezetünk falai közül, minősített megoldással fertőtlenítsük adatainkat vagy bízzuk profi vállalkozásokra, aki szakszerűen és az előírásoknak megfelelően adatfertőtleníti az eszközöket, szigorúan GDPR kompatibilisen. Egy ilyet ismerünk is, a Data D.

1. Google – 50 millió euró

A Google büntetése technikailag még 2019-ből származik, de a vállalat fellebbezett ellene. A francia hatóságok 2020 őszén visszautasították a keresőóriás fellebbezését, és így az igazán óriási büntetés érvényes maradt. A Google-ra azért szabták ki ezt a bírságot, mert a hatóságok szerint nem közölte eléggé érthetően, hogyan gyűjtötték össze és használták fel a reklámok elhelyezésére a felhasználók személyes adatait.

2. H&M – 35 millió euró

A ruhakereskedőt a német adatvédelmi hatóságok büntették meg. Az áruházlánc tulajdonos ugyanis többszáz alkalmazottjáról gyűjtött rengeteg személyes adatot. Például betegszabadság vagy vakáció után kikérdezték alkalmazottjaikat arról, hogy pontosan milyen betegségben szenvedtek, miket csináltak szabadságuk alatt.

Ezeket az adatoka összegyűjtötték és több mint 50 menedzser számára elérhetővé tették. Az információk alapján döntöttek egy-egy alkalmazott előléptetéséről is. A GDPR szerint a minimálisan szükséges személyes adatot lehet összegyűjteni. Az egészségügyi adatok kiemelten szenzitív információknak számítanak.

3. Telecom Italia – 27,8 millió euró

A bírságot még 2020 elején, pontosan január 15-én szabta ki az olasz adatvédelmi hatóság. Az összeg azért ilyen nagy, mert az olasz távközlési szolgáltató több éven keresztül agresszív marketing tevékenységet folytatott, milliós nagyságrendű kéretlen hívásokat indítottak még olyan emberek felé is, akik kifejezetten letiltották a marketing jellegű megkereséseket.

4. British Airways – 22 millió euró

A bírságot a brit adatvédelmi hatóság szabta ki egy 2018-ban történt hackertámadásért. A támadásban 400 ezer ügyféladat szivárgott ki, fizetési adatokkal, ügyfélnevekkel, címekkel. A hatóságok szerint a támadás megelőzhető lett volna, ha a légitársaság jobban odafigyel a biztonságra. A cégnél olyan alapvető IT biztonsági technikák sem voltak elérhetőek, mint például a kétfaktoros azonosítás.

5. Mariott – 20,4 millió euró

Eredetileg 100 millió eurós bírságot tervezett a brit adatvédelmi hatóság kiszabni, de végül a hotellánc vállalásai miatt 20,4 millió euróra csökkentették ezt az összeget. A Mariott egy hackertámadás miatt elveszítette 383 millió vendégének az adatait, ebből 30 millió európai lakos volt. A támadásban olyan adatok váltak elérhetővé a nyilvánosság számára, mint nevek, lakcímek, útlevélszámok és banki fizetési információk.

A támadók eredetileg a Starwood csoport foglalási rendszerébe jutottak be, még 2014-ben. A Mariott 2016-ban vásárolta meg a céget, a támadást viszont csak két évvel később, 2018 szeptemberében fedezték fel. Vagyis a vállalat nem volt eléggé körültekintő biztonsági szempontból, nem volt a vállalatnál adatszivárgást megelőző (data loss prevention) megoldása sem.

Közel 300 millió eurónyi GDPR bírságot szabtak ki eddig

A GDPR hatályba lépése óta Európa szerte az adatvédelmi hatóságok több mint 272,5 millió eurónyi büntetést szabtak ki a különböző esetekben – az igazán combos bírságok az olasz és a német hatóságok munkáját dicséri.

 

A DLA Piper ügyvédi iroda 2021 elején is összesítette a GDPR hatályba lépése óta kiszabott bírságokat, kutatásuk szerint összese 272,5 millió eurós bírságot szabtak ki a különböző hatóságok.

Olasz, német és francia rekordok

A legkeményebb hatóság az olasz, aki 2018. május 25. óta 69,3 millió eurónyi bírságot állapított meg, második Németország 69,1 millió euróval, harmadik a listán Franciaország 54,4 millió euróval. Magyarországon az adatvédelmi hatóság összesen 980 ezer eurónyi bírságot szabott ki a GDPR megsértése miatt, ezzel az összeggel a tizedik helyezettek vagyunk a listán.

Lakosságarányosan más a szorgalmas

Sokkal érdekesebb megnézni, hogy lakosság arányosan melyik ország osztogatja szorgalmasan a bírságokat: idén Dánia, 155,6-os pontszámmal az első, második helyezett Hollandia 150-es pontszámmal és Írország 127,8 ponttal. Hazánk 8,5 ponttal a 18. ezen a listán. Egyébként egy év alatt, 2020 januárja és 2021 januárja között itthon 826 GDPR incidenst jelentettek Magyarországon, egy évvel korábban csupán 479-et.

A rekordösszegű bírságok

A rekordösszegű bírságokat a francia, német és olasz hatóságok szabták ki. A franciák a Google-ra haragudtak meg nagyon 2019 januárjában, mert a szolgáltató a felhasználói hozzájárulásokat nem megfelelően kezelte.

A második helyezett ezen a listán a németek, akik a H&M ruhaáruház alkalmazottjaival kapcsolatos adatgyűjtési gyakorlatát tartották annyira rossznak, hogy 2020 októberében 35,26 millió eurós bírsággal örvendeztették meg őket.

Az olaszok pedig 27,8 millió eurós büntetéssel kedveskedtek az Italian Telecom távközlési szolgáltatónak: a vállalat nem volt eléggé transzparens adatkezelési gyakorlatában, nem volt elegendő törvényi alapja a személyes adatok feldolgozására, nem voltak megfelelőek a technikai és szervezeti feltételek GDPR szempontból.

A teljes tanulmány ezen a linken érhető el, adataink megadása után ingyenesen letölthető.