A GDPR bevezetése óta eltelt nyolc év alatt az adatvédelmi bírságok összértéke meghaladta az 5,3 milliárd fontot. A legnagyobb összegű büntetéseket eddig Írország szabhatta ki – összesen 3,47 milliárd font értékben –, míg Spanyolországban regisztrálták a legtöbb esetet, 958 alkalommal.

A Kroll kiberbiztonsági és adatreziliencia-részlegének ügyvezetője, Tiernan Connolly szerint bár a GDPR évfordulójáról sok cég talán nem vesz tudomást, a hatóságok továbbra is aktívan figyelnek.

„Bár a GDPR 2025-re már nem számít újdonságnak, az EKB jelezte: ismételten fókuszba kerülnek azok a területek, ahol tartós megfelelési hiányosságokat tapasztalnak, például a tíz éve hatályban lévő BCBS239 esetében is. Mindez azt mutatja, hogy a régi előírások sem kerülik el a felügyeleti szervek figyelmét” – mondta Connolly.

Hozzátette: bár a vállalatok figyelme most inkább az új szabályozások – például a NIS2, a DORA vagy az EU AI Act – betartására összpontosul, a GDPR továbbra is komoly kockázatot jelent a magas, akár 4%-os forgalmi bírságok révén.

Számokban: a GDPR az elmúlt 8 évben

2025. május 12-ig összesen 2 319 bírságot szabtak ki az uniós adatvédelmi rendelet alapján. A szankciók száma 2022 decemberében tetőzött (68 eset), de azóta csökkenő tendenciát mutat. 2025 első negyedévében mindössze 32 esetet regisztráltak, szemben a 2024-es év azonos időszakának 77 és a 2023-as 128 bírságával. Ennél kevesebb csak 2019 első negyedévében volt (23 eset).

Az eddigi legmagasabb összegű bírságokat Írországban rótták ki (3,47 milliárd font, 31 eset), messze megelőzve a második helyen álló Luxembourgot, ahol 32 ügyből 641 millió fontnyi büntetés született.