Hirdetés

Elkezdtek hullani a komoly GDPR-bírságok

A britek járnak elöl, de várható, hogy fogy a türelem a hatóságok részéről, és egyre durvább büntetéseket fognak kiszabni.

Az elmúlt pár napban több híradás is érkezett arról, hogy az új európai adatvédelmi rendelkezések alapján cégeket igen nagy összegre bírságoltak meg adatvesztés, hanyag adatkezelés miatt.

Hirdetés

A legnagyobb visszhangot a British Airways ügye váltotta ki, akiket rekordösszegű – forintban számolva több mint 66 milliárdos – büntetéssel szankcionált a helyi adatvédelmi hatóság. Az ICO nemrég lezárult vizsgálata szerint a légitársaság kibertámadás áldozata lett, mely még 2018 júniusában kezdődött: csalók eltérítették a vállalat honlapjára érkező forgalmat, és egy adathalász oldalon keresztül ellopták az ügyfél- és fizetési adatokat, körülbelül félmillió ügyfél lehet érintett. A gondot a vállalat csak szeptemberben volt képes megoldani, de értesítették a hatóságokat, akik megállapították, hogy a biztonsági rendszer igen alacsony szintű volt, helytelen megoldásokat alkalmaztak. A British Airways fellebbez a döntés ellen.

Ezek után tegnap derült ki, hogy a világ legnagyobb szállodaláncától, a Marriottól több százmillió (kb. 339 millió) vendég adatait lopták el, és a fent említett esethez hasonlóan az ICO ugyanezen indoklással mintegy 36 milliárd forintos büntetést szabott ki. Ebben az ügyben is várható a fellebbezés.

Sokkal kisebb nagyságrendben, de úgy tűnik, Romániában is megkezdődtek a bírságolások, ugyanis egy tegnapi híradás szerint az ottani hatóságok felhagytak a figyelmeztetések kiadásával, és megkezdték a büntetések kiszabását. Az adatvédelmi hatóság májusi jelentése szerint több mint 5 ezer panaszt és hatósági értesítést kaptak és 981 kivizsgálást indítottak, ebből több mint felét panasz nyomán. Eddig mindössze figyelmeztettek és korrekciós intézkedéseket sürgettek, de a napokban két jelentős büntetést is kiszabtak. Június 27-én született meg az első pénzbírság: 130 ezer euróra büntették az UniCredit Bankot, mert 337 ezer ügyfél személyi számát (CNP-jét) és lakcímét továbbította jogellenesen. Július 2-án újabb büntetést rótt ki a hatóság: 15 ezer euróra büntette a World Trade Center Bucharest üzemeltetőjét, mert a hozzá tartozó szállodában reggelizők adatai illetéktelen kezekbe kerültek. 46 személy adatait tartalmazó – az ügyfelek azonosítását segítő – iratot fényképeztek le és később publikáltak is.

Azóta történt

  • Nincs több türelem GDPR ügyekben

    Egy évvel a GDPR türelmi idejének lejárta után nem lesz olyan be nem jelentett adatvédelmi incidenssel kapcsolatos ügy, amelyben nem szab ki bírságot a NAIH.

Előzmények