Milliárdos adatvédelmi bírságok: célkeresztben maradtak a tech-cégek

Az európai adatvédelmi hatóságok 2025-ben mintegy 1,2 milliárd eurónyi GDPR-bírságot szabtak ki, ezzel a rendelet 2018-as alkalmazandóvá válása óta kiszabott szankciók összértéke meghaladja a 7,1 milliárd eurót – derül ki a DLA Piper legfrissebb, évente megjelenő GDPR Fines and Data Breach Survey című riportjából. Bár a tavaly kiszabott bírság összege nem haladja meg az előző évi szintjét, az adatvédelmi incidensek bejelentése új csúcsra emelkedett Európában.

A jelentés szerint a legnagyobb összegű bírságok továbbra is elsősorban a technológiai szektort érik utol: tavaly a tíz legmagasabb bírságból kilencet a nagy tech-cégek kapták. A legkeményebb bírságot az ír adatvédelmi hatóság szabta ki, 530 millió euró értékben.

A vétkes a TikTok volt, európai felhasználói adatok Kínába továbbítása miatt sújtott le rájuk az Ír Adatvédelmi Bizottság.

A GDPR alkalmazandóvá válása óta Írországban szabták ki a legtöbb bírságot, amely leginkább annak köszönhető, hogy itt található több nagy technológiai és közösségimédia-platform európai székhelye, köztük a korábban 1,2 milliárd eurós csúcsbírságot kapó Meta is. Az összesített bírságösszegek tekintetében Franciaország áll a 2. helyen (1,1 milliárd euró), amelyet Luxemburg (746,5 millió euró) követ.

Rekordszámú adatvédelmi incidens-bejelentés

Habár a kiszabott bírságok összértéke 2025-ben nem emelkedett az előző év azonos időszakához képest, a bejelentett adatvédelmi incidensek száma jelentősen megugrott: 2025-ben átlagosan 443 incidenst jelentettek naponta Európában, ami 22 százalékos növekedést jelent az előző évi, napi 365 esettel összevetve.

Nem egyértelmű, hogy mi állhat a növekedés hátterében, de a fokozódó kiberfenyegetések, a geopolitikai feszültségek, valamint az új szabályozások mind hozzájárulhattak az emelkedéshez.

 – mondta el Almásy Márk, a DLA Piper Hungary Szellemi Alkotások és Technológia csoportjának ügyvédje.

Előtérbe kerültek a kártérítési igények

Az Európai Unió Bírósága (EUB) 2025 szeptemberében az egyik döntésében kimondta, hogy a GDPR megsértéséből fakadó "nem vagyoni kár" magában foglalhatja a személyes adatokkal való visszaélés miatti félelmet vagy szorongást is – így ez is kártérítési alapot képezhet, ugyanakkor az érintetteknek bizonyítaniuk kell a negatív érzelmek fennállását, valamint azt, hogy ezek valóban a GDPR megsértéséből erednek.

Az EU-ban és az Egyesült Királyságban már több döntés született az ilyen típusú kártérítési igényekkel kapcsolatban, ezek azonban eddig vegyes képet mutatnak – volt olyan, amely a felperesek javára, mások inkább az alperesnek kedveznek, illetve egy írországi döntésben nemrég kimondták, hogy az ilyen jellegű kártérítés összege várhatóan többnyire csekély lesz.

Magyarország a középmezőnyben

Magyarországon 2018 óta közel 4,5 millió euró (1,7 milliárd forintos) bírságot szabott ki Nemzeti Adatvédelmi és Információszabadság Hatóság, ezzel a 17. helyen szerepel az uniós mezőnyben.

Tavaly itthon csökkent a kiszabott bírságok összértéke, viszont a bejelentett adatvédelmi incidensek száma növekedett: 678, míg az azt megelőző évben mindössze 530 ilyen bejelentés érkezett. A bírságösszeg csökkenésének okai között feltehetően az adatvédelmi hatóság ügyterhe és a hatósági eljárások elhúzódása állhat.

Merre tart az adatvédelmi szabályozás Európában?

A jelentés előrejelzései szerint a következő évben a hatóságok nagyobb hangsúlyt fektetnek majd a GDPR adatbiztonsági követelményeinek érvényesítésére, és várhatóan több vizsgálatot indítanak azon beszállítók ellen, amelyek több adatkezelő megbízásából járnak el adatfeldolgozóként. Ezek a vállalatok különösen vonzó célpontnak számítanak a támadók számára, mivel gyakran több ügyfél érzékeny adatait kezelik, illetve belépést is jelenthetnek különböző digitális rendszerekbe.