GDPR – a terheket átvállaljuk, a gondokat megoldjuk

A legnagyobb GDPR-bírságok 2020-ban, 2021-ben és 2022-ben (eddig)

1. Amazon – 746 millió euró (877 millió dollár)

Az Amazon gigantikus GDPR-bírsága, amelyet a cég 2021. júliusi eredményjelentésében jelentettek be, közel 15-ször nagyobb, mint a korábbi rekord. A bírság teljes okait még nem erősítették meg, de tudjuk, hogy az ok a cookie-k hozzájárulásával kapcsolatos.

És nem ez az első alkalom, hogy az Amazont megbüntették a személyes adatok cookie-kon keresztüli gyűjtése és megosztása miatt. 2020 végén Franciaország 35 millió eurós bírságot szabott ki az Amazonra , miután a technológiai óriás állítólag nem kapta meg a cookie-k engedélyezését a webhelyén.

Hogyan lehetett volna elkerülni a bírságot: Csábító a felhasználókat arra kényszeríteni, hogy „elfogadják” a cookie-kat – vagy megnehezítsék a cookie-król való leiratkozást –, hogy minél több személyes adatot gyűjtsenek. A szabályozók azonban az utóbbi időben komoly étvágyat mutattak az EU cookie-szabályainak betartatása iránt. Ha az Amazon „ingyenesen adott”, tájékozott és egyértelmű beleegyezést kapott volna, mielőtt cookie-kat telepített volna felhasználói eszközeire, a vállalat valószínűleg elkerülhette volna ezt a hatalmas GDPR-bírságot.

2. WhatsApp – 225 millió euró (255 millió dollár)

Csupán néhány hónappal azután, hogy az Amazon óriási GDPR-bírsága leütötte a Google-t a GDPR első számú kitűnő helyéről, a WhatsApp a Google-t a harmadik helyre taszította a keresőóriás korábbi rekordjának közel ötszöröse büntetéssel. Írország 225 millió eurós GDPR-büntetéssel sújtotta a WhatsApp-ot, miután azt állította, hogy az üzenetküldő szolgáltatás nem magyarázta meg megfelelően adatkezelési gyakorlatát az adatvédelmi közleményében.

Írország nem arról híres, hogy nagy pénzbírságot szab ki, annak ellenére, hogy szinte minden egyesült államokbeli nagy technológiai cég európai otthona. És még ez a büntetés is csak azután érkezett meg, hogy más uniós adatvédelmi hatóságok az „egyablakos ügyintézés” mechanizmussal érveltek amellett, hogy magasabbnak kellett volna lennie. Szóval mit csinált rosszul a WhatsApp? Bonyolult, és a cég fellebbez a döntés ellen.

De ez arra vezethető vissza, hogy a WhatsApp állítólagos elmulasztotta megmagyarázni bizonyos adatfeldolgozás jogalapját – a „jogos érdekeket”.

Hogyan lehetett volna elkerülni a bírságot: Az ír DPA szerint itt a WhatsApp kissé átláthatatlan adatvédelmi nyilatkozata volt a hibás – a vállalatnak könnyen hozzáférhető formátumban kellett volna adatvédelmi információkat közölnie a felhasználók által érthető nyelven. Ha „jogos érdekekre” támaszkodik, minden egyes vonatkozó feldolgozási művelettel kapcsolatban feltétlenül el kell magyaráznia, hogy melyek ezek az érdekek .

3. Google Ireland – 90 millió euró (102 millió dollár)

A francia adatvédelmi hatóság (a CNIL) 2022. január 6-án ezzel a jelentős bírsággal sújtotta a Google Irelandet. A bírság azzal a móddal kapcsolatos, ahogyan a Google európai ága végrehajtja a cookie-k engedélyezésére vonatkozó eljárásokat a YouTube-on. A Google Ireland-bírság egyike volt annak a két bírságnak, amelyet ugyanazon határozat részeként szabtak ki, a másikat pedig a kaliforniai székhelyű Google LLC-vel szemben (amely a Google Keresést üzemelteti).

Szóval mi a probléma? Dióhéjban a CNIL azt mondta, hogy a Google-nak megkönnyítenie kellett volna a YouTube-felhasználók számára a cookie-k elutasítását. A YouTube cookie-kat helyez el eszközeinken, hogy marketing célból követhesse online tevékenységünket. Könnyű elfogadni a cookie-kat a YouTube-on, de nehezebb visszautasítani őket. A CNIL megjegyezte, hogy a cookie-k elutasításához a felhasználónak több kattintásra volt szüksége, míg a cookie-k elfogadásához csak egy kattintásra volt szükség.

A CNIL a viszonylag magas bírságot azzal indokolta, hogy a YouTube-ot nagy számban használják, és a Google hatalmas nyereséget ér el a szolgáltatásból. De várjon egy percet – a Google nem Írországon kívül folytatja EU-műveleteit? Hogy lehet, hogy az ír szabályozó nem teljesítette ezt a bírságot?

A CNIL szerint ennek az az oka, hogy a cookie-k szabályozása elsősorban az elektronikus hírközlési adatvédelmi irányelv, nem pedig a GDPR hatálya alá tartozik, így a szabályozók közvetlenül felléphetnek a joghatóságuk alá tartozó webhely-üzemeltetők ellen, ahelyett, hogy mindent visszautalnának a szervezet „fő telephelyére”. A határozat azonban továbbra is „GDPR-bírságnak” minősül, mivel a GDPR határozza meg, hogy a webhelyek üzemeltetői hogyan szerezzék meg a hozzájárulást.

Hogyan lehetett volna elkerülni a bírságot: A GDPR értelmében a beleegyezésnek „szabadon adásának” kell lennie: egyformán könnyen fogadható el vagy utasítható el: ha egy kattintással el tudja fogadni, akkor egy kattintással vissza is kell utasítania.

4. Facebook – 60 millió euró (68 millió dollár)

A Facebook második legnagyobb GDPR- bírságát (beleértve a fenti WhatsApp-bírságot is) a francia adatvédelmi hatóság, a CNIL szabta ki 2022. január 6-án. A közösségi média óriáscég azért kereste ezt a 60 millió eurós büntetést, mert – sejtitek – elmulasztotta megfelelő hozzájárulást kérjen a cookie-k használatához a felhasználóktól.

A probléma itt elsősorban azzal a tisztázatlan módszerrel kapcsolatos, amellyel a Facebook a cookie-k leiratkozását biztosította. A Google-hoz hasonlóan (lásd fent és lent), a cookie-k elfogadása a Facebookon is egy szelet a tortán – csak kattintson az „elfogadás” gombra. Az elutasításuk egy kicsit bonyolultabb.

Hogyan lehetett volna elkerülni a bírságot : A CNIL felhívta a figyelmet arra, hogy a Facebook cookie-k engedélyezésére szolgáló felülete úgy tűnik, hogy nem kínál más lehetőséget , mint az „Accept Cookie”-t – még akkor is, ha úgy tűnt, hogy a felhasználók valójában elutasítják őket. A CNIL azt tükrözte, hogy ez a nyelv” szükségszerűen zavart kelt, és a felhasználónak az az érzése lehet, hogy nem lehet megtagadni a cookie-k letétbe helyezését, és nincs módja annak kezelésére. Ne keverje össze felhasználóit. Legyen egyszerű és egyértelmű a nyelvezet, amikor adatvédelmi információkat ad meg.

5. Google LLC – 60 millió euró (68 millió dollár)

A Google kaliforniai központja ellen január 6-án kiszabott pénzbírságot a CNIL 90 millió eurós büntetése mellett sújtotta a keresőóriás európai létesítménye ellen (lásd fent a 3. számú bírságot). Ezt a nagyobb szankciót a Google nem megfelelő cookie-beállítása ellen szabták ki a YouTube platformon.

A Google LLC-t ugyanazon a napon érte ez a 60 millió eurós csapás, pontosan ugyanazon okból – de inkább a keresőwebhelyével, nem pedig a videómegosztó platformjával kapcsolatban.

Hogyan lehetett volna elkerülni a bírságot: A Google mindkét esetben egyértelmű: ügyeljen arra, hogy a felhasználók ugyanolyan könnyen elfogadják a cookie-hoz való hozzájárulást, mint amennyire ők is megtagadják azt.

6. Google – 50 millió euró (56,6 millió dollár) 

A Google 2019-ben kiszabott bírsága, amelyet egy sikertelen fellebbezés után 2020 márciusában véglegesítettek, 2021 augusztusáig a legmagasabb volt. 

Az eset arra vonatkozott, hogy a Google hogyan adott adatvédelmi nyilatkozatot felhasználóinak, és hogyan kérte a vállalat hozzájárulásukat a személyre szabott hirdetésekhez és más típusú adatkezelésekhez.

Hogyan lehetett volna elkerülni a bírságot: a Google-nak több információt kellett volna adnia a felhasználóknak a hozzájárulási irányelvekben, és nagyobb ellenőrzést kellett volna biztosítania számukra személyes adataik feldolgozása felett.

7. H&M – 35 millió euró (41 millió dollár)

2020. október 5-én a hamburgi adatvédelmi hatóság (Németország) 35 258 707,95 eurós bírságot szabott ki a H&M ruházati kiskereskedőre – ez volt a valaha kiszabott GDPR második legnagyobb bírság.

A H&M GDPR megsértése „több száz alkalmazott megfigyelését” jelentette. Miután az alkalmazottak szabadságot vagy betegszabadságot vettek ki, részt kellett venniük a munkába visszatérő értekezleten. Néhány ilyen találkozót rögzítettek, és több mint 50 H&M-menedzser számára hozzáférhetők.

A H&M vezető munkatársai „széles körű ismereteket szereztek alkalmazottaik magánéletéről… a meglehetősen ártalmatlan részletektől a családi kérdésekig és a vallási meggyőződésig”. Ezt a „részletes profilt” az alkalmazottak teljesítményének értékelésére és a foglalkoztatásukkal kapcsolatos döntések meghozatalára használták.

Hogyan kerülhetett volna el a bírság: úgy tűnik, hogy a H&M megsértette a GDPR adatminimalizálási elvét – ne dolgozzon fel személyes adatokat, különösen az emberek egészségére és meggyőződésére vonatkozó érzékeny adatokat, kivéve, ha erre konkrét célból van szükség.

A H&M-nek is szigorú hozzáférés-ellenőrzést kellett volna bevezetnie az adatokhoz, és a cégnek nem kellett volna ezeket az adatokat felhasználnia az emberek foglalkoztatásával kapcsolatos döntések meghozatalához.

8. TIM – 27,8 millió euró (31,5 millió dollár)

2020. január 15-én az olasz TIM (vagy Telecom Italia) távközlési szolgáltatót 27,8 millió eurós GDPR -bírsággal sújtotta a Garante, az olasz adatvédelmi hatóság az elmúlt évek során felgyülemlett jogsértések és jogsértések sorozata miatt. 

A TIM jogsértései számos jogellenes cselekményt foglalnak magukban, amelyek többsége túlzottan agresszív marketingstratégiából ered. Személyek millióit bombázták promóciós hívásokkal és kéretlen kommunikációkkal, akik közül néhányan a kapcsolattartási és kizárási listákon szerepeltek.  

Hogyan kerülhetett volna el a bírság: a TIM-nek körültekintőbben kellett volna kezelnie az érintettek listáit, és konkrét opt-ineket kellett volna létrehoznia a különböző marketingtevékenységekhez.

9. Enel Energia – 26,5 millió euró (29,3 millió dollár)

2022. január 19-én az olasz adatvédelmi hatóság („Garante”) nyilvánosságra hozta döntését, amely szerint 26,5 millió eurós bírságot szab ki a multinacionális villamos- és gázszolgáltató Enel Energia -ra a GDPR megsértése miatt, beleértve a felhasználói hozzájárulás megszerzésének vagy az ügyfelek tájékoztatásának elmulasztását a személyes adataik használata előtt. adatok telemarketing hívásokhoz.

A komplex vizsgálat azután indult, hogy a Garantéhoz számos panasz érkezett, többek között nem kívánt promóciós hívások fogadásával kapcsolatban. A vizsgálat az Enel Energia üzleti partnereire terjedt ki, és 2018 decembere és 2020 júliusa között négy külön kérelmet nyújtott be halmozott információkra, összesen 135 aktával kapcsolatban. A Garante arról is beszámolt, hogy az Enel Energia nem működött együtt kellőképpen a vizsgálatban, mivel számos megkeresésre nem válaszolt megfelelően (ha egyáltalán nem).

Hogyan lehetett volna elkerülni a bírságot: Az Enel Energia-nak több tájékoztatást kellett volna adnia a felhasználóknak a hozzájárulási szabályzatban, és nagyobb ellenőrzést kellett volna biztosítania számukra személyes adataik kezelésének módjában. Az Enel Energia, miután elkapták, mérsékelhette volna a következményeket, ha válaszol a nyomozók kérésére.

10. British Airways – 22 millió euró (26 millió dollár)

Októberben az ICO 26 millió dolláros bírságot sújtott a British Airwaysre egy 2018-ban elkövetett szabálysértés miatt. Ez jóval kevesebb, mint az a 238 millió dolláros bírság, amelyet az ICO eredetileg 2019-ben szándékozott kiszabni. 

Szóval, mi történt 2018-ban? A British Airway rendszerei veszélybe kerültek. A jogsértés 400 000 ügyfelet érintett, és a hackerek a bejelentkezési adatokra, a fizetési kártyaadatokra, valamint az utazók nevére és címére jutottak.  

Hogyan lehetett volna elkerülni a bírságot: Az ICO szerint a támadás megelőzhető volt, de a BA-nak nem volt megfelelő biztonsági intézkedése rendszereik, hálózataik és adataik védelmére. Valójában úgy tűnik, hogy a BA-nak még olyan alapjai sem voltak, mint a többtényezős hitelesítés a jogsértés idején. 

A jövőben a légitársaságnak a biztonság az első helyen kell állnia, be kell ruháznia a biztonsági megoldásokba, és gondoskodnia kell arról, hogy szigorú adatvédelmi irányelveket és eljárásokat alkalmazzanak.

11. Marriott – 20,4 millió euró (23,8 millió dollár)

Noha ez egy szemet gyönyörködtető bírság , valójában lényegesen alacsonyabb, mint az a 123 millió dolláros bírság, amelyet az ICO eredetileg kiszabott. Szóval mi történt? 

383 millió vendégrekord (30 millió uniós lakos) került nyilvánosságra, miután a szállodalánc vendégfoglalási adatbázisát feltörték. Olyan személyes adatok kerültek nyilvánosságra, mint a vendégek neve, címe, útlevélszáma és a fizetési kártya adatai. 

Megjegyzés: A feltörés a Starwood Group foglalási rendszeréből indult ki 2014-ben. Míg a Marriott 2016-ban megvásárolta a Starwoodot, a feltörést csak 2018 szeptemberében észlelték.

Hogyan lehetett volna elkerülni a bírságot: Az ICO megállapította, hogy a Marriott nem végzett megfelelő átvilágítást a Starwood megvásárlása után. Többet kellett volna tenniük rendszereik védelmében egy erősebb adatvesztés-megelőzési (DLP) stratégiával, és az azonosítás megszüntetésére szolgáló módszereket. 

12. Clearview AI – 20 millió euró (20,5 millió dollár)

A Garante 20 millió eurós bírságot szabott ki a Clearview AI-re az olasz adatvédelmi hatóság számára mozgalmas évnek ígérkező évében . A bírságra 2022. február 10-én került sor, miután több probléma is felmerült a Clearview arcfelismerő termékeivel kapcsolatban. 

Számos jogsértést állapítottak meg, köztük a személyes biometrikus és földrajzi helyadatok jogellenes feldolgozását, valamint a GDPR számos alapelvének, például az átláthatóságnak, a célhoz kötöttségnek és a tárolási korlátozásnak a megsértését. Az Enel Energiához hasonlóan a cég sem válaszolt maradéktalanul és időben a megkeresésekre.

Hogyan lehetett volna elkerülni a bírságot : A kevesebb több – A Clearview-nak csak egyértelmű céllal kellett volna adatokat gyűjtenie és megőriznie, és átláthatónak kellett volna lennie a döntéshozatal során ügyfelei felé. A vizsgálatban való jobb együttműködés a bírságot is csökkentette volna.

13. Meta (Facebook) Írország – 17 millió euró (18,2 millió dollár)

2022. március 15-én az Ír Adatvédelmi Bizottság (DPC) 17 millió eurós pénzbírságot szabott ki a Meta Platforms Irelandre olyan problémák miatt, amelyek miatt nem tudta azonnal bemutatni az uniós felhasználók adatainak védelme érdekében alkalmazott biztonsági intézkedéseket. Ezt a kudarcot 2018-ban észlelték, miután tizenkét személyes adatok megsértését jelentették a DPC-nek.

Hogyan lehetett volna elkerülni a bírságot: Ebben az esetben ezeket a hiányosságokat még azelőtt észlelték, hogy egy szélesebb körű jogsértés történt volna. A jövőbeli fenyegetésekre való felkészülés érdekében a Metának a biztonságot az első helyen kell megközelítenie, be kell ruháznia a biztonsági megoldásokba, és gondoskodnia kell arról, hogy szigorú adatvédelmi szabályzatokkal és eljárásokkal rendelkezzenek.

14. Szél – 17 millió euró (18,2 millió dollár)

Július 13-án az Olasz Adatvédelmi Hatóság 16 729 600 eurós bírságot szabott ki a Wind távközlési társaságra jogellenes direkt marketing tevékenysége miatt .

A végrehajtási intézkedés azután kezdődött, hogy az olasz szabályozó hatósághoz panaszok érkeztek a Wind Tre marketingkommunikációjával kapcsolatban. Állítólag a Wind hirdetésekkel spammelte az olaszokat – beleegyezésük nélkül –, és helytelen elérhetőségi adatokat adott meg, így a fogyasztók nem tudtak leiratkozni.

A szabályozó azt is megállapította, hogy a Wind mobilalkalmazásai arra kényszerítették a felhasználókat, hogy beleegyezzenek a közvetlen marketingbe és a helymeghatározásba, valamint hogy üzleti partnerei illegális adatgyűjtési tevékenységet folytattak. 

Hogyan lehetett volna elkerülni a bírságot: A Windnek érvényes jogalapot kellett volna megállapítania, mielőtt az emberek elérhetőségeit direkt marketing célokra használja fel. Ez valószínűleg a fogyasztók beleegyezését jelentette volna – hacsak nem tudta bizonyítani, hogy a marketinganyagok küldése a „jogos érdekeit” szolgálja.

Bármilyen okból is küld direkt marketinget, gondoskodnia kell arról, hogy a fogyasztók könnyen leiratkozhassanak. És mindig gondoskodnia kell arról, hogy cége adatvédelmi szabályzata pontos és naprakész legyen.

15. Vodafone Italia – 12,3 millió euró (14,5 millió dollár)

A Vodafone Italia 2020. novemberi pénzbírságát a GDPR állítólagos megsértésének széles köre miatt szabták ki, beleértve az 5., 6., 7., 16., 21., 25., 32. és 33. cikk rendelkezéseit.

Tehát mit tett a Vodafone, ami annyi GDPR-sértést eredményezett? 

A cég adatkezelési problémái között szerepelt az ügyféladatok megfelelő biztonságának elmulasztása, a személyes adatok harmadik fél telefonos ügyfélszolgálatokkal való megosztása, valamint a jogalap nélküli adatkezelés – mindez a cég telemarketingkampányával kapcsolatos panaszok után derült ki.

Hogyan lehetett volna elkerülni a bírságot: a Vodafone marketingtevékenysége indíthatta el az olasz DPA vizsgálatát, de itt a cég adatkezelése és biztonsága volt az alapvető kérdés.

A Vodafone elkerülhette volna ezt a jelentős bírságot, ha rendszeresen ellenőrizte adatait, és megfelelően dokumentálta a harmadik fél adatfeldolgozókkal fennálló kapcsolatait.

16. Notebooksbilliger.de – 10,4 millió euró (12,5 millió dollár)

A német elektronikai kiskereskedő, a notebooksbilliger.de (NBB) megkapta ezt a jelentős GDPR-bírságot 2021. január 8-án. A büntetés azzal kapcsolatos, hogy az NBB CCTV kamerákat használt alkalmazottai és ügyfelei megfigyelésére.

A CCTV rendszer két évig működött, az NBB pedig állítólag 60 napig őrizte a felvételeket. Az NBB közölte, hogy a lopások megelőzése érdekében rögzítenie kell a személyzetét és az ügyfeleit. Az alsó-szászországi DPA szerint a megfigyelés behatolt az alkalmazottak és az ügyfelek magánéletébe.

Hogyan lehetett volna elkerülni a bírságot: Az NBB bírsága a CCTV megfigyeléssel kapcsolatos szigorú hozzáállást tükrözi Németország egyes részein. A szabályozó szerint az NBB CCTV műsora nem korlátozódott egy adott személyre vagy időszakra.

A CCTV használatát nem tiltja a GDPR, de biztosítania kell, hogy jogos és arányos válasz legyen egy adott problémára. Az Egyesült Királyság ICO-jának van néhány útmutatása a CCTV GDPR-kompatibilis használatához.

17. Osztrák Posta – 9 millió euró (10,23 millió dollár)

Ausztria legnagyobb GDPR-bírságát 2021 szeptemberében sújtották , amikor az osztrák posta 9 millió eurós szankciót kapott, mert állítólag nem segítette elő megfelelően az érintettek jogaira vonatkozó kérelmeket.

Ha az érintett az Osztrák Posta birtokában lévő személyes adatokhoz való hozzáférést, törlést vagy helyesbítést remélte, a vállalat különféle médiumokat biztosított a kérelem benyújtásához, beleértve a webes űrlapot, e-mailt vagy telefonszámot.

Az egyetlen kommunikációs eszköz azonban, amelyet az Austria Post nem ismert fel, az e-mail volt – és az osztrák adatvédelmi hatóság szerint a levélfuvarozónak lehetővé kellett volna tennie az érintettek számára, hogy az általuk választott médiumon keresztül jogkérelmet nyújtsanak be.

Hogyan lehetett volna elkerülni a bírságot: az Osztrák Postának (amely a bírság ellen fellebbezést tervez) az érintettek jogaira vonatkozó kérelmeket annak ellenére kellett volna feldolgoznia, hogy azok megérkezzenek – az érintettek meghatározott kommunikációs módszer használatára kényszerítése és az e-mailek kizárása nem elfogadható módja annak megkönnyítésére jogokat.

18. Eni – 8,5 millió euró (10 millió dollár)

Az Eni Gas e Luce (Eni) egy olasz gáz- és olajvállalat, amelyről megállapították , hogy megfelelő jogalap nélkül indított marketingcélú telefonhívásokat.

Míg a telemarketingre az elektronikus hírközlési adatvédelmi irányelv vonatkozik, ez egy újabb példa arra, hogy a személyes adatok megfelelő jogalap nélküli feldolgozása GDPR-bírsággal járhat.

Hogyan lehetett volna elkerülni a bírságot: Az Eninek meg kellett volna győződnie arról, hogy megfelelő jogi alapja van a telemarketingnek, mielőtt felhívja bármelyik ügyfelét vagy érdeklődőt. Ebben az esetben az olasz adatvédelmi hatóság azt mondta, hogy a megfelelő jogalap a beleegyezés lett volna.

19. Vodafone Spanyolország – 8,15 millió euró (9,72 millió dollár)

A Vodafone 8,15 millió eurós bírsága, amelyet a spanyol adatvédelmi hatóság (AEPD) szabott ki 2021. március 11-én, valójában négy pénzbírságból áll a GDPR és a távközlésre és a cookie-kra vonatkozó egyéb spanyol törvények megsértése miatt. A Vodafone pénzbírsága az eddigi legnagyobb Spanyolországban – egy év alatt, amikor az AEPD több jelentős GDPR-büntetést is kiszabott. A bírság a Vodafone marketingtevékenységével kapcsolatban 191 külön panaszból ered. Állítólag a Vodafone nem tett elegendő szervezési intézkedést annak biztosítására, hogy az emberek személyes adatait jogszerűen dolgozza fel.

Hogyan lehetett volna elkerülni a bírságot: A Vodafone bonyolult jogsértés-sorozatában a jelek szerint egy közös vonás van: a marketingcélokra felhasznált személyes adatok szervezettségének és ellenőrzésének hiánya.

Amikor bármilyen feldolgozási tevékenységet kiszervez egy harmadik félnek – például egy marketingügynökségnek –, gondoskodnia kell arról, hogy ennek egyértelmű jogi alapja legyen. Vezessen egyértelmű nyilvántartást, kössön adatkezelési megállapodásokat a vállalkozókkal, és rendszeresen ellenőrizze adatkezelési tevékenységeit, hogy megbizonyosodjon azok jogszerűségéről.

19. REWE International – 8 millió euró (8,8 millió dollár)

Az osztrák adatvédelmi hatóság (DPA) 8 millió eurós bírságot szabott ki a REWE International osztrák élelmiszer-kiskereskedőre , miután hűségprogramjában, a jö Bonus Clubban részt vett felhasználók adatainak helytelen kezelése miatt. A leányvállalat a felhasználók hozzájárulása nélkül gyűjtötte az adatokat, és azokat marketing célokra használta fel.

A REWE azonban fellebbezni készül a döntés ellen, azzal érvelve, hogy a jö Bonus Club önálló leányvállalatként, az Unser Ö-Bonus Clubként működik. Ez a 2021-es pénzbírság nyomán merült fel, miután a jö Bonus Club jogellenesen több millió tag adatát gyűjtött össze, és eladta azokat harmadik feleknek. A bűncselekmény miatt a jö Bonus Club 2 millió eurót fizetett .

Hogyan lehetett volna elkerülni a bírságot: Van néhány dolog, amivel meg lehet akadályozni ezeket az ismétlődő bírságokat – az ügyfelek hozzájárulásának kérése, valamint a GDPR átláthatóság, cél- és tárolási korlátozás alapelvei alkalmazása jó kiindulópont.

20. Google – 7 millió euró (8,3 millió dollár)

A GDPR végrehajtása szempontjából 2020 nem volt jó év a Google számára. 

Miközben a cég januárban elveszítette a francia adatvédelmi hatóság elleni fellebbezését, márciusban a Svéd Adatvédelmi Hatóság (SDPA) megbírságolta a Google-t, mert elmulasztotta eltávolítani a keresési találati listák párját az európai GDPR „feledésbe merüléshez való jog” szabályai szerint. 

Hogyan kerülhetett volna el a bírság: a Google-nak érvényesítenie kellett volna az érintettek jogait, elsősorban az elfelejtéshez való jogát. Ezt törlési jognak is nevezik. Hogyan? Azáltal, hogy „bizonyosodott arról, hogy a törlési kérelmekre indokolatlan késedelem nélkül és a kézhezvételtől számított egy hónapon belül válaszolni tudjon egy folyamat”. 

Az ICO -ból származó törlési kérelmek teljesítésével kapcsolatban itt talál további információt . 

21. Caixabank – 6 millió euró (7,2 millió dollár)

A Caixabank pénzügyi szolgáltató társasággal szembeni pénzbírság a spanyol DPA (AEPD) által  valaha kiszabott legnagyobb bírság.

Az AEPD 2021. január 13-án véglegesítette a Caixabank büntetését, megdöntve Spanyolország korábbi GDPR-büntetésének rekordját a BBVA-val szemben – amelyet mindössze egy hónappal korábban szabtak ki. Ez a spanyol adatvédelmi hatóság megközelítésének jelentős szigorítására utal.

Az első kérdés, amely a teljes bírság 4 millió euróját teszi ki, arra vonatkozott, hogy a Caixabank hogyan teremtett „jogalapot” a fogyasztók személyes adatainak a 6. cikk szerinti felhasználásához. Másodszor, a Caixabankot 2 millió eurós bírsággal sújtották a GDPR átláthatósági követelményeinek megsértése miatt. 13. és 14. cikk. 

Hogyan lehetett volna elkerülni a bírságot: Az AEPD szerint a Caixabank megfelelő indoklás nélkül a „jogos érdekek” jogalapjára támaszkodott. Mielőtt a „jogos érdekekre” hagyatkozna, el kell végeznie és dokumentálnia kell a „jogos érdekek felmérését”. 

A vállalatnak a GDPR-nak megfelelő módon sem sikerült megszereznie a fogyasztók hozzájárulását. Ha a „beleegyezésre” támaszkodik, győződjön meg arról, hogy az megfelel a GDPR szigorú „feliratkozási” előírásainak.

Az AEPD bírálta a Caixabank adatvédelmi szabályzatát, mivel homályos és ellentmondásos információkat tartalmaz adatkezelési gyakorlatáról. Ügyeljen arra, hogy az adatvédelmi nyilatkozatokban világos nyelvezetet használjon, és legyen konzisztens a webhelyeken és platformokon.

22. Cosmote Mobile Telecommunications – 6 millió euró (6,6 millió dollár)

2022 februárjában a görög adatvédelmi hatóság, a Görög Adatvédelmi Hatóság (HDPA) 6 millió eurós bírságot szabott ki a Cosmote Mobile Telecommunications vállalatra . 

A bírságot azután szabták ki, hogy 2020 szeptemberében egy feltörés következtében nyilvánosságra kerültek az ügyfelek személyes adatai, de a pénz nem maradt el. Kiderült, hogy a cég illegálisan kezelte az ügyfelek adatait – ez a tevékenység súlyosbította a hack okozta problémákat. Tovább rontotta a helyzetet, hogy a személyes adatokat nem álnevezték teljes mértékben, így a hackerek könnyebben azonosíthatták a személyeket az adatokból.

A Cosmote anyavállalata, az OTE csoport további 3,25 millió eurós bírságot kapott, miután a Cosmote-vizsgálat megállapította, hogy az OTE-t a kezdetektől fogva be kellett volna vonni a folyamatba, de ez nem történt meg.

Hogyan lehetett volna elkerülni a bírságot : Sajnos ez a dominóeffektus nem ritka jelenség, amely csak rávilágít a GDPR szabályainak és elveinek betartására. Kezdetben a Cosmote-nak csak legálisan, céltudatosan és megfelelő titkosítással kell feldolgoznia az adatokat az ügyfelek legjobb biztonsága érdekében. 

Másodszor, ez a példa bemutatja, milyen pusztító tud lenni egy feltörés. A jelentések szerint a feltörést okozó feltörés telefonos feltörés volt – ami azt jelenti, hogy a biztonságos internetkapcsolat, a jobb fizikai biztonság és a biztonsági megoldásokba való befektetés mind jó módja annak, hogy ez ne történhessen meg.

23. BBVA (bank) – 5 millió euró (6 millió dollár)

Ez a pénzbírság a BBVA (Banco Bilbao Vizcaya Argentaria) pénzügyi szolgáltató óriással szemben 2020. december 11-től hatályos. 

A BBVA büntetése a második legnagyobb büntetés, amelyet a spanyol DPA (az AEPD) valaha is kiszabott, és sok hasonlóságot mutat az AEPD minden idők legnagyobb büntetésével, a Caixabankkal szemben, amelyet a következő hónapban szabtak ki. A Caixabankkal szemben kiszabott rekordbírsággal együtt csábító az a következtetés, hogy a spanyol adatvédelmi hatóság figyeli a pénzintézetek GDPR-megfelelőségét.

Hogyan lehetett volna elkerülni a bírságot: Az AEPD 3 millió eurós bírságot szabott ki a BBVA-ra, mert SMS-eket küld a fogyasztók beleegyezése nélkül. A legtöbb esetben meg kell győződnie arról, hogy rendelkezik a GDPR szerint érvényes beleegyezésével a direkt marketing üzenetek küldéséhez.

A büntetés fennmaradó 2 millió eurója a BBVA adatvédelmi szabályzatához kapcsolódott, amely nem magyarázta meg megfelelően, hogy a bank hogyan gyűjti és használja fel ügyfelei személyes adatait. Ügyeljen arra, hogy a 13. és 14. cikkben szereplő összes szükséges információt megadja az adatvédelmi szabályzatában.

24. Fastweb – 4,5 millió euró (5,5 millió dollár)

Az olasz DPA (a Garante) 4,5 millió eurós bírságot szabott ki a Fastweb távközlési társaságra 2021. április 2-án, mert beleegyezés nélkül folytatott kéretlen telefonos marketinget. A Garanta különösen azt jegyezte meg, hogy a Fastweb „csalárd” telefonszámokat használt, amelyeket a vállalat nem regisztrált az olasz kommunikációs szolgáltatók nyilvántartásában.

Hogyan lehetett volna elkerülni a bírságot: A Fastweb bírsága a telemarketing szabályaiból ered, amelyeket az elektronikus hírközlési adatvédelmi irányelv olaszországi végrehajtása határoz meg, nem pedig a GDPR. Úgy tűnik azonban, hogy a vállalat továbbra is megsértette a GDPR-t azzal, hogy nem szerezte meg az érvényes hozzájárulást.

Fontos emlékezni erre az EU fő adatvédelmi törvényei közötti kölcsönhatásra. Az elektronikus hírközlési adatvédelmi irányelv megköveteli, hogy bizonyos tevékenységekhez hozzájárulást kell szereznie, de a GDPR meghatározza a beleegyezés mércéjét – és ez a szabvány nagyon magas.

25. Holland Adó- és Vámhivatal – 3,7 millió euró (4 millió dollár)

2022 áprilisában a Holland Adó- és Vámhivatalt 3,7 millió eurós pénzbírsággal sújtották a személyes adatok illegális feldolgozása miatt a csalásjelző létesítményben (FSV) – ez a feketelista, amelyen az Adó- és Vámhivatal nyilvántartást vezetett a csalásokról. Az Adó- és Vámhivatal több mint hat éven keresztül tévesen sorolt ​​fel embereket az FSV-be – összesen körülbelül 270 000 embert –, ami komoly következményekkel járt a listán szereplőkre nézve. A vizsgálat számos GDPR-sértést tárt fel, beleértve a széles körű diszkriminációt, és az alkalmazottakat arra utasították, hogy a csalás kockázatát részben az emberek megjelenésére és nemzetiségére alapozzák.

„Az embereket gyakran tévesen csalónak bélyegezték, ami súlyos következményekkel járt” – nyilatkozta Aleid Wolfsen, a holland adatvédelmi hatóság elnöke. „Az adóhatóság fenekestül felforgatta az életet az FSV-vel.”

Ez a legmagasabb bírság, amelyet a holland adatvédelmi hatóság (AP) valaha is kiszabott, és tükrözi a jogsértések súlyosságát, valamint az érintettek számát és azt az időtartamot, amely alatt a jogsértések előfordultak.

Hogyan lehetett volna elkerülni a bírságot: Ebben a rendkívüli esetben a problémák túlterjedtek az adatbiztonságon, a szándék és a hatás egyaránt rosszindulatú. Úgy tűnik, hogy a Holland Adó- és Vámhivatal nem csak a GDPR-szabályokat, hanem a diszkriminációról és az egyenlőségről szóló törvényeket is ecsetelheti.

26. Eni Gas e Luce – 3 millió euró (3,6 millió dollár)

Ez a bírság egyike annak a kettőnek , amelyet 2019 decemberében szabtak ki az olasz Eni gáz- és olajtársaságra. Ez egy bonyolult ügy, amely új ügyfélfiókok létrehozásával jár – de abból adódik, hogy az Eni nem tartotta be a GDPR pontossági elvét.

Hogyan lehetett volna elkerülni a bírságot: Az adatvédelem többről szól, mint a magánélet védelméről – olyan kérdésekre is kiterjed, mint az iratkezelés. Az Eninek biztosítania kellett volna, hogy ügyfélnyilvántartása pontos és naprakész legyen.

27. Capio St. Göran AB – 2,9 millió euró (3,4 millió dollár)

A Capio St. Goran egy svéd egészségügyi szolgáltató, amely GDPR-bírságot kapott, miután a svéd adatvédelmi hatóság auditálta egyik kórházát. Az ellenőrzés feltárta, hogy a társaság nem végzett megfelelő kockázatértékelést és nem vezetett be hatékony hozzáférés-ellenőrzést. Ennek eredményeként túl sok alkalmazott férhetett hozzá érzékeny személyes adatokhoz.

Hogyan kerülhetett volna el a bírság: Az adatvédelmi hatásvizsgálat (DPIA) elkészítése a GDPR értelmében kötelező az olyan adatkezelők számára, akik kockázatos tevékenységet folytatnak, vagy nagy léptékű érzékeny adatokat kezelnek.

Az Eninek egy ilyen értékelést kellett volna elvégeznie, hogy megállapítsa, melyik személyzetnek van szüksége hozzáférésre az egészségügyi dokumentációhoz. Az érzékeny személyes adatokhoz való hozzáférést azokra kell korlátozni, akik ezt szigorúan igénylik.

28. Iren Mercato – 2,85 millió euró (3,4 millió dollár)

2021 júniusában az olasz DPA pénzbírságot szabott ki az Iren Mercato energiavállalatra, amiért telefonos marketingkampányt folytatott megfelelő hozzájárulás megszerzése nélkül. A telefonhívásokat adatfeldolgozóként eljáró harmadik fél marketingcég folytatta.

Hogyan lehetett volna elkerülni a bírságot: A listánkon szereplő pénzbírságok közül sok a telemarketinggel és a GDPR által érvényes hozzájárulás megszerzésének elmulasztásával kapcsolatos.

Ne feledje, hogy még akkor is, ha harmadik féltől származó szolgáltatásokat vesz igénybe marketingkampányok lebonyolításához, Ön továbbra is közvetlenül felelős a GDPR értelmében, ha nem hoz létre érvényes jogalapot a személyes adatok feldolgozásához.

29. Foodinho – 2,6 millió euró (3 millió dollár)

A Foodinho élelmiszer-kiszállítási szolgálat 2021 júniusában kapta meg ezt a jelentős bírságot, miután az olasz adatvédelmi hatóság megállapította, hogy a vállalat nem tartotta be a GDPR „automatizált feldolgozásra” vonatkozó szabályait, jelen esetben az alkalmazottak bérének és munkafolyamatának meghatározására szolgáló algoritmust.

A cégről azt is megállapították, hogy megsértette a GDPR „törvényesség, méltányosság és átláthatóság” elvét azzal, hogy elmulasztotta a munkavállalók megfelelő tájékoztatását.

Hogyan lehetett volna elkerülni a bírságot: Foodinho bírsága főként a GDPR-megfelelés egy viszonylag szűk területére vonatkozik – „kizárólag automatizált feldolgozásra, jogi vagy hasonlóan jelentős hatásokkal”. 

Röviden, ha tisztán mesterséges intelligencia-vezérelt döntéseket hoz olyan emberekkel kapcsolatban, amelyek hatással lehetnek pénzügyeikre, foglalkoztatásukra vagy szolgáltatásokhoz való hozzáférésükre, akkor gondoskodnia kell az ilyen döntések emberi felülvizsgálatáról.

30. Nemzeti Adóhivatal (Bulgária) – 2,6 millió euró (3 millió dollár)

Ezt a 2019. augusztusi bírságot a bolgár Nemzeti Adóhivatallal szemben azután szabták ki , hogy a szervezet 5 millió embert érintő adatszivárgást szenvedett el. A feltört adatok között szerepelt személyek neve, elérhetőségei és adózási adatai. A bolgár adatvédelmi hatóság megállapította, hogy az ügynökség nem tett hatékony technikai és szervezési intézkedéseket az ellenőrzése alatt álló személyes adatok védelmére.

Hogyan lehetett volna elkerülni a bírságot: A bolgár nemzeti adóhivatalnak alapos kockázatértékelést kellett volna végeznie adatkezelési műveleteivel kapcsolatban, és hatékony lépéseket kellett volna tennie a személyes adatok védelme érdekében.

Bár nem világos, hogy mi okozta ezt az adatszivárgást, érdemes megjegyezni, hogy az FBI Internet Crime Control Center az e-mailt a kiberbűnözés első számú fenyegetési vektoraként  említi . A vállalat e-mail rendszereinek biztonságba helyezésével kiküszöböli egyik fő sebezhetőségét, és jelentősen csökkenti az adatszivárgás valószínűségét.
Forrás: https://www.tessian.com