2022-ben 1,64 milliárd euró értékben szabtak ki GDPR-bírságot Európában, a rendelet 2018-as hatályba lépése óta kiszabott büntetések összértéke pedig ezzel eléri a 2,92 milliárd eurót - derül ki a DLA Piper által publikált globális tanulmányból. A riport, amellett, hogy összegzi és bemutatja a tavalyi évben Magyarországon, valamint további 30 európai államban kiszabott GDPR-bírságok mértékét, átfogó képet ad a végrehajtási trendekről és betekintést enged a várható fejleményekbe is.
A tanulmány szerint az internet középpontjában az online szolgáltatók és a fogyasztók közötti nagyszabású alku áll: a közösségi médiát, a keresési és egyéb innovatív szolgáltatásokat "ingyen" kínálják a fogyasztó személyes adataiért cserébe, amelyeket aztán pénzzé tesznek azáltal, hogy lehetővé teszik a márkák számára a személyre szabott hirdetéseket. A Facebook és az Instagram ellen a közelmúltban hozott határozatok e nagy alku sarokkövét kezdik ki, és felvetik a kérdést, ki fizeti meg ezeket a szolgáltatásokat, ha a szolgáltatók nem tudják begyűjteni és pénzzé tenni a fogyasztói adatokat? Ez volt eddig ugyanis az előfeltétele számos olyan progresszív technológiai innováció és fejlesztés finanszírozásának, amelyek (nagyrészt) a társadalom javát szolgálták. Ezek a döntések rávilágítanak arra, hogy mennyire fontos mindez az online ökoszisztéma működéséhez, így a fogyasztók és az online szolgáltatók közötti bizalom helyreállítására sürgősen szükség van. Mivel ennyi minden forog kockán, és mivel a jog ezen a területen még messze nem rendezett, a fellebbezések elkerülhetetlenek - írta a tanulmány.
A DLA Piper a GDPR-rendelet 2018-as hatályba lépése óta vizsgálja az adatkezelési incidensek alakulását. Az előző, 2022 elején közzétett riport előrejelzéseivel összhangban, a tavalyi évben a végrehajtási eljárások és büntetések fókuszában a digitális hirdetéstechnológia (Ad-tech) és a viselkedés-alapú, célzott online hirdetések álltak.
Több mint kétszeres növekedés
Idén a felügyeleti hatóságok Európa-szerte összesen mintegy 2,92 milliárd euró összegű bírságot szabtak ki 2022. január 28. óta, ami 168%-os növekedést jelent az egy évvel korábban kiszabott 1,09 milliárd euró összegű bírsághoz képest. A növekedés azt mutatja, hogy a felügyeleti hatóságok egyre nagyobb hajlandóságot mutatnak arra, hogy magas bírságokat szabjanak ki a GDPR megsértése miatt, különösen a nagy technológiai szállítókkal szemben; és figyelemre méltó módon egyre nagyobb hangsúlyt fektetnek a mesterséges intelligencia alkalmazására is: a Clearview AI Inc-re számos magas bírságot szabtak ki a jogszerűség és az átláthatóság elvének megsértése miatt.
Az éves bejelentések számának csökkenése
Az elmúlt években tapasztalt, az adatok megsértésére vonatkozó bejelentések száma némi mérséklődést mutat. A 2022-ben naponta átlagosan 300 adatvédelmi incidensről érkezik bejelentés, szemben a 2021-es év azonos időszakának 328 bejelentésével. A szabályozó hatóságoknak 2022. január 28. óta összesen mintegy 109 000 jogsértést jelentettek be, ami kis mértékben elmarad a tavaly előtti, mintegy 120 000-es összértéktől. Ez a csökkenés részben annak tudható be, hogy a szervezetek GDPR-értesítési eljárásai kiforrottabbá váltak, valamint annak, hogy az adatvédelmi felügyeleti hatóságok kifinomultabb módon rögzítik a számadatokat. A riport szerint azonban a csökkenés azt is jelezheti, hogy a szervezetek óvatosabbá váltak az adatvédelmi incidensek bejelentését illetően, tekintettel az ezt követő vizsgálatok, végrehajtás, bírságok és kártérítési igények kockázatára.
Reflektorfényben az MI
A mesterséges intelligencia minden ágazatra hatással van, a folyamatautomatizálástól kezdve a gépi tanuláson, a chatbotokon, az arcfelismerésen át a virtuális valóságig és azon túl. A személyes adatok gyakran a szervezetek által használt mesterséges intelligencia hajtóanyagai. Testre szabja a keresési paramétereket, kiszúrja a viselkedési trendeket, és megjósolja a jövőbeli lehetséges eredményeket (hogy csak néhány felhasználási módot emeljünk ki). Mivel számos MI-rendszer egy bizonyos pontján valamikor személyes adatokat használ, e rendszerek szabályozása gyakran a GDPR hatálya alá tartozik. Ebben az évben több adatvédelmi felügyeleti hatóság is iránymutatást adott ki a személyes adatok mesterséges intelligenciával kapcsolatos felhasználására vonatkozóan.
Mindazonáltal, az európai adatvédelmi felügyelő hatóságok körében egyre nagyobb a tendencia, hogy nyíltan foglalkoznak a mesterséges intelligenciával kapcsolatos kérdésekkel, felismerve a mesterséges intelligencia rendszerek és a személyes adatok közötti elválaszthatatlan kapcsolatot. Ez a tendencia valószínűleg folytatódni fog.
Ezen túlmenően, tekintettel az Európai Bizottság digitalizációs stratégiájának részeként született új jogszabályok és jogszabályjavaslatok egész sorára, egyre nagyobb a kockázata annak, hogy bizonyos feldolgozási tevékenységek, beleértve az MI-rendszerek használatával kapcsolatosakat is, mind a GDPR, mind más európai jogszabályok hatálya alá tartoznak majd - mindkettő eltérő végrehajtási szabályokkal és illetékes hatóságokkal. Fennáll annak a lehetősége, hogy a szervezetek a mesterséges intelligencia ugyanazon felhasználása miatt több felügyeleti hatóságtól is vizsgálatokat és végrehajtási intézkedéseket kaphatnak. Ezt a kockázatot tovább növeli a mesterséges intelligenciával kapcsolatos számos új törvény, törvényjavaslat és iránymutatás világszerte, különösen azok, amelyek területenkívüli alkalmazásra vonatkoznak.
Írország és Luxemburg a nemzetközi listák élén
Írország és Luxemburg egyaránt kedvelt lokációnak tekinthető az Európában terjeszkedni kívánó, tengerentúli technológiai vállalatok körében - ennek tükrében, továbbá, mivel az európai adatvédelmi szabályozók továbbra is a tech szektorra összpontosítanak, nem meglepő, hogy az említett két ország helyezkedik el a GDPR-bírságokat összegző listák elején.
Az első helyen, a 2018. május 25-től kiszabott GDPR-bírságok összértékét tekintve Írország zárt, több mint 1,3 milliárd eurónyi kiszabott büntetéssel. A második helyet Luxemburg foglalja el, ahol a hatóságok a GDPR-rendelet hatályba lépése óta mintegy 746 millió euró összértékű bírságot szabtak ki - ennek szinte teljes egészét egy büntetés teszi ki, amely ezzel a kontinens legnagyobb egyedi büntetésének bizonyult. A harmadik helyen Franciaország szerepel közel 430 millió eurónyi kiszabott pénzbírsággal a GDPR-rendelet 2018-as életbe lépése óta.
Írország első helyezésében jelentős súllyal bírnak a Facebook és az Instagram anyavállalatára, a Meta-ra kiszabott büntetések - a legmagasabb, 405 millió euró összegű büntetést a gyermekek személyes adatainak védelmét érintő mulasztások miatt szabták ki a vállalatra. A Facebook és az Instagram a 2023-as évet is két, nemzetközi léptékben is jelentős bírsággal kezdte Írországban: az előbbi 210 millió euró, utóbbi 180 millió euró értékű pénzbírságot kapott a viselkedés-alapú hirdetésekhez használt fogyasztói profilalkotási gyakorlatai miatt.
Rekordbírság Magyarországon
A GDPR-bírságok Magyarországot sem kerülték el az elmúlt években - az összesített lista középmezőnyében (16.) végeztünk, mintegy 2,2 millió eurónyi kiszabott büntetéssel, melyek között egy rekordösszegű bírság is szerepelt: a Nemzeti Adatvédelmi és Információszabadság Hatóság 250 millió forintra büntetett egy magyar bankot, amely mesterségesintelligencia-alapú hangelemző szoftverrel automatikusan értékelte a call centeres hívásokat, és elemezte az ügyfelek érzelmi állapotát. A vizsgált időszakban 711 incidenst jelentettek, ami 25%-os növekedést jelent az egy évvel korábbi időszak esetszámához képest.
"A DLA Piper jelen riportja, valamint a közelmúlt nemzetközi és hazai bírságai is mutatják, hogy a digitalizáció széleskörű elterjedése fokozott óvatosságot és odafigyelést kíván meg a vállalatoktól a GDPR-elvek betartása során. Ide tartoznak többek között a mesterségesintelligencia-alapú megoldások, az online hirdetéstechnológiák, valamint az adatvédelmi szabályzatok online rendszerek használatára, és a személyes adatok tárolására vonatkozó részei is. Az online szektor további növekedésével a tendencia várhatóan a jövőben is folytatódik" - mondta el Kozma Zoltán, DLA Piper Hungary Technológia csapatának vezetője.
-----------------------------
A GDPR fines and data breach survey riport a 2022. január és 2023. január között kiszabott bírságok országonkénti táblázatát tartalmazza, a felmérés kiterjed az Európai Unió mind a 27 tagállamára, valamint az Egyesült Királyságra, Norvégiára, Izlandra és Liechtensteinre.
