Rekordszámú adatvédelmi incidenst jelentettek 2025-ben

A jelentés szerint a legnagyobb összegű bírságok továbbra is elsősorban a technológiai szektort sújtják: tavaly a tíz legmagasabb bírságból kilencet a nagy tech cégek kapták. 2025-ben az év legnagyobb bírságát az ír adatvédelmi hatóság szabta ki, összesen 530 millió euró értékben.

A GDPR alkalmazandóvá válása óta Írországban szabták ki a legtöbb bírságot, amely leginkább annak köszönhető, hogy itt található több nagy technológiai és közösségimédia-platform európai székhelye, köztük a korábban 1,2 milliárd eurós csúcsbírságot kapó Meta is. Az összesített bírságösszegek tekintetében Franciaország áll a 2. helyen (1,1 milliárd euró), amelyet Luxemburg (746,56 millió euró) követ.

Rekordszámú adatvédelmi incidens-bejelentés

Habár a kiszabott bírságok összértéke 2025-ben nem emelkedett az előző év azonos időszakához képest, a bejelentett adatvédelmi incidensek száma jelentősen megugrott: 2025-ben átlagosan 443 incidenst jelentettek naponta Európában, ami 22 százalékos növekedést jelent az előző évi, napi 365 esettel összevetve.

Nem egyértelmű, hogy mi állhat a növekedés hátterében, de a fokozódó kiberfenyegetések, a geopolitikai feszültségek, valamint az olyan – incidensek bejelentésére vonatkozó követelményeket is előíró – új szabályozások, mint a NIS2 irányelv és a DORA rendelet mind hozzájárulhatnak az emelkedéshez.

„Nem véletlen, hogy az EU Digitális Omnibusz rendelete a bejelentési kötelezettség küszöbének megemelését javasolja, annak érdekében, hogy csak azok az incidensek kerüljenek a hatóságokhoz, amelyek valóban magas kockázatot jelentenek az érintettek jogaira nézve. A felügyeleti hatóságokat az utóbbi időben elárasztották a bejelentések, és – érthető módon – a valóban kockázatos esetekre szeretnének koncentrálni” – mondta el Almásy Márk, a DLA Piper Hungary Szellemi Alkotások és Technológia csoportjának ügyvédje.

2025. november 19‑én az Európai Bizottság bemutatta a „Digitális Omnibusz” nevű javaslatcsomagot, amelynek célja az EU szélesebb digitális szabályozási keretrendszerének korszerűsítése, valamint a mesterséges intelligenciára, a kiberbiztonságra és az adatokra vonatkozó szabályok egyszerűsítése.
A javaslatok között szerepel egy uniós szintű, egységes adatvédelmi incidens‑bejelentési portál is, amely a GDPR, a NIS2, a DORA és más keretrendszerek párhuzamos kötelezettségei miatt keletkező adminisztratív terhek csökkentését célozza.
A „report once, share many” ("egyszeri jelentés, több felhasználás") elv alapján a módosítások többek között:
– emelnék a bejelentési küszöbértéket, hogy csak az egyénekre nézve magas kockázatot jelentő incidenseket kelljen bejelenteni a felügyeleti hatóságoknak;
– meghosszabbítanák a bejelentési határidőt 72 óráról 96 órára;
– létrehoznának egy központosított portált (amelyet az uniós kiberbiztonsági ügynökség, az ENISA üzemeltetne), egy harmonizált incidensbejelentő űrlappal, amely más, átfedést jelentő bejelentési kötelezettségeket is kezelne.

Előtérbe kerültek a kártérítési igények és a nem vagyoni kár értelmezése

Az Európai Unió Bírósága (EUB) 2025 szeptemberében az egyik döntésében kimondta, hogy a GDPR megsértéséből fakadó "nem vagyoni kár" magában foglalhatja a személyes adatokkal való visszaélés miatti félelmet vagy szorongást is – így ez is kártérítési alapot képezhet, ugyanakkor az érintetteknek bizonyítaniuk kell a negatív érzelmek fennállását, valamint azt, hogy ezek valóban a GDPR megsértéséből erednek.

Az EU-ban és az Egyesült Királyságban már több döntés született az ilyen típusú kártérítési igényekkel kapcsolatban, ezek azonban eddig vegyes képet mutatnak – volt olyan, amely a felperesek javára, mások inkább az alperesnek kedveznek, illetve egy írországi döntésben nemrég kimondták, hogy az ilyen jellegű kártérítés összege várhatóan többnyire csekély lesz.

Magyarország a középmezőnyben

Magyarországon 2018. május 25. óta közel 4,5 millió euró (1,7 milliárd forintos) bírságot szabott ki Nemzeti Adatvédelmi és Információszabadság Hatóság, ezzel a 17. helyen szerepel az uniós mezőnyben.

A tavalyi évben Magyarországon csökkent a kiszabott bírságok összértéke, viszont a bejelentett adatvédelmi incidensek száma növekedett: 2025-ben 678, míg az azt megelőző évben mindössze 530 ilyen bejelentés érkezett. A bírságösszeg csökkenésének okai között feltehetően az adatvédelmi hatóság ügyterhe és a hatósági eljárások elhúzódása állhat.

Merre tart az adatvédelmi szabályozás Európában?

A jelentés előrejelzései szerint a következő évben a hatóságok nagyobb hangsúlyt fektetnek majd a GDPR adatbiztonsági követelményeinek érvényesítésére, és várhatóan több vizsgálatot indítanak azon beszállítók ellen, amelyek több adatkezelő megbízásából járnak el adatfeldolgozóként. Ezek a vállalatok különösen vonzó célpontnak számítanak a támadók számára, mivel gyakran több ügyfél érzékeny adatait kezelik, illetve belépést is jelenthetnek különböző digitális rendszerekbe.

„Ezt a tendenciát ösztönzik majd várhatóan a geopolitikai feszültségek fokozódása, valamint a pénzügyi szolgáltatásokat és a kritikus infrastruktúrákat érő, egyre súlyosabb kibertámadások is. A folyamatot a szabályozói fókusz is erősíti: az olyan szabályozások, mint a NIS2, DORA és a kiberrezilienciáról szóló rendelet már kifejezetten az ellátási láncok biztonságára és ellenállóképességére írnak elő követelményeket. Ezáltal elengedhetetlenné válik az érintett vállalatok számára az adatvédelmi és kiberbiztonsági intézkedések további erősítése” – tette hozzá Kozma Zoltán, a DLA Piper Hungary Szellemi Alkotások és Technológia csoportvezető partnere.

A GDPR Fines and Data Breach Survey riport a 2025. január és 2026. január között kiszabott bírságok országonkénti táblázatát tartalmazza. A felmérés az Európai Unió 27 tagállamára, valamint az Egyesült Királyságra, Norvégiára, Izlandra és Liechtensteinre terjed ki. A teljes riport ezen a linken érhető el.