Magyarországon is nagy árat fizethet, aki rájár a sütikre
A GDPR öt évvel ezelőtt, 2018 májusában lépett hatályba. Az azóta eltelt időszakban 67 esetben szabtak ki bírságot Magyarországon a GDPR-ral kapcsolatos jogsértések miatt. Az alábbiakban bemutatjuk, mit kell szem előtt tartaniuk a hazánkban működő vállalkozásoknak.
A Meta néhány hete került a címlapokra, amikor az ír adatvédelmi hatóság 1,2 milliárd eurós bírságot szabott ki a vállalatra a GDPR megsértése miatt – ez eddig rekordösszeg a GDPR-ral kapcsolatos ügyekben. Érdekesség: egy adatvédelmi és kiberbiztonsági oldal szerint a GDPR megsértéséért az egész EU-ban a legkisebb bírságot Magyarországon szabták ki, mégpedig 28 euró értékben.
Alig néhány héttel a Meta-ügyben hozott döntés előtt a francia szabályozó hatóság a korábbi 20 millió eurós bírságon felül egy újabb 5,2 millió eurós bírságot szabott ki a Clearview AI-ra a GDPR számos előírásának megsértése miatt.
Az EU-ban Jelenleg Spanyolország és Olaszország vezeti a rangsort az adatvédelmi jogsértésekkel kapcsolatos jogerős ítéletek számát tekintve, de Magyarország is feljövőben van, jelenleg az 5. helyen áll.
A Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nemrég első ízben szabott ki bírságot a sütik nem megfelelő kezelése miatt: a NAIH honlapján közzétett NAIH-3195/2022. iktatószámú határozatában a hatóság 10 millió forintos (mintegy 27 ezer eurós) bírságot rótt ki a TV2 Média Csoport Zrt.-re.
A 19 oldalas dokumentum lényege sűrítve: a TV2 Média Csoport Zrt. nem közölte megfelelően a felhasználókkal a sütik kezelésére vonatkozó szabályzatát, félrevezető módon használt olyan kifejezéseket, mint a „jogos érdek”, az adatkezelő nem közölte és nem értelmezte megfelelően a hozzájárulás jogalapját, és nem biztosította a kellő átláthatóságot a vállalat 754 partnere által folytatott adatkezelési gyakorlattal kapcsolatban.
A bírság összegének indokolásában a hatóság egyebek mellett enyhítő körülményként jelölte meg, hogy a NAIH honlapján korábban nem kerültek közzétételre hasonló témában hozott határozatok.
További bírságok várhatóak a sütik kezelésével kapcsolatban
Miért van nagy jelentősége ennek a határozatnak a magyar vállalkozások számára?
Nos, amellett a nyilvánvaló tény mellett, hogy a GDPR-nak való teljes megfelelés kötelező, úgy tűnik, hogy a NAIH üzenete egyértelmű: ez még csak a kezdet.
Most, hogy a sütik használatához való hozzájárulás kezelésével kapcsolatos első határozatot közzétették, a nyilvánosan elérhető precedens hiányára már nem lehet hivatkozni enyhítő körülményként.
Ráadásul a NAIH határozatában a következőt állapítja meg: „Az, hogy ezt a gyakorlatot esetleg más adatkezelők is elterjedten alkalmazzák, még nem teszi jogszerűvé.” Másként fogalmazva ez azt jelenti, hogy attól még, hogy az ilyen jellegű jogsértések széles körben elterjedtek, és a vállalatok eddig megúszták a felelősségre vonást, korántsem biztos, hogy ez a jövőben is így lesz.
Harmadik féltől származó megoldások: hamis biztonságérzet
A TV2 Média Csoport Zrt. egyrészt azzal érvelt, hogy egy harmadik féltől származó, a sütik kezelésére általánosan használt megoldást alkalmazott, másrészt azzal, hogy a megoldás megfelel az IAB Europe keretrendszerének. A NAIH mindkét érvet elutasította, mondván, hogy azok nem jelentik „az általános adatvédelmi rendeletnek történő megfelelés bizonyítékát”.
A GDPR komplex, részletes követelményrendszer. A megfelelés biztosítása gyakran az üzleti tevékenység átfogó felülvizsgálatát igényli, ami viszont sokak szerint túl sok energiát emészt fel. A harmadik féltől származó megoldások hangzatos marketingüzenetekkel hirdetik magukról, hogy velük zökkenőmentesen biztosítható a GDPR-nak való megfelelés, és ezzel hamis biztonságérzetet adnak a vállalkozásoknak.
GDPR-ral kapcsolatos bírságok
Mire számíthatnak tehát a magyar vállalkozások a bírságok tekintetében?
A NAIH a GDPR 83. cikkével összhangban szabja ki a bírságokat. A jogsértés jellegétől és annak súlyosságától függően a NAIH akár 20 millió euróig terjedő bírságot is kiróhat, illetve a jogsértés „vállalkozások esetében az előző pénzügyi év teljes éves világpiaci forgalmának legfeljebb 4%-át kitevő összeggel sújtható; a kettő közül a magasabb összeget kell kiszabni.”
A NAIH eddig összesen 2,3 millió euró értékben szabott ki bírságot a GDPR-ral kapcsolatos ügyekben. A 67 esetben az átlagos bírság összege eddig 34 535 euró volt.
A vállalkozásoknak azt is érdemes szem előtt tartaniuk, hogy míg 2021-ben a NAIH mindössze nyolc esetben sújtott bírsággal GDPR-ral kapcsolatos jogsértéseket, addig ez a szám 2022-ben már 18 volt. Úgy tűnik tehát, hogy a folyamat felgyorsult.
Ráadásul a bírság átlagos összege az elmúlt három évben exponenciálisan nőtt: 2021-ben még csupán 9580 eurót tett ki, majd 2022-ben 63 224 euróra, a 2023-as év eddig eltelt időszakában pedig 115 600 euróra emelkedett.