2026 első három hónapjában 68,18 millió euró GDPR-bírság sújtotta az európai cégeket. Egy évvel korábban ugyanebben az időszakban 13,8 millió. Ötszörös ugrás. A számok mögött nem új jogszabály, hanem új végrehajtási intenzitás áll.
01 — Európai képMi áll az ugrás mögött.
A francia CNIL és a brit ICO vezeti a sort. Január 13-án a Free Mobile 27 millió euróra büntette: az előfizetői adatok biztonsága hiányos volt. Február 23-án a Reddit 16 milliós ICO-bírságot kapott: kiskorúak adatait nem védte megfelelően. A Free csoport (Free Mobile anyacég) további 15 millió eurót kapott: nem voltak meg a szervezeti és technikai intézkedések.
| Dátum | Cég | Hatóság | Bírság | Ok |
|---|---|---|---|---|
| 2026.01.13. | Free Mobile | CNIL (FR) | 27 M € | Előfizetői adat biztonsága |
| 2026.02.23. | ICO (UK) | 16 M € | Kiskorúak adatai | |
| 2026.Q1 | Free csoport | CNIL (FR) | 15 M € | Szervezeti-technikai intézkedés |
A háttérben két strukturális változás van. Az európai adatvédelmi hatóságok átlagosan napi 443 incidens-bejelentést kapnak — ez 22%-os éves emelkedés. A másik: a határon átnyúló koordináció a European Data Protection Board (EDPB) keretében gyorsabb, és a hatóságok hajlandók maximális bírságot kiszabni, ha a jogsértés rendszerszintű figyelmen kívül hagyásra utal.
02 — Magyar képA NAIH és a magyar középvállalat.
A magyar Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) eljárásai is sűrűsödnek. Egy gyakori tévhit, hogy a kkv-k mentesülnek az első bírság alól. Ez városi legenda — a NAIH nem alkalmazza. Az enyhítő körülmény (kkv-státusz, korábbi jogsértés hiánya) létezik, de nem mentesít.
A GDPR maximális bírsága a Rendelet 83. cikke szerint 20 millió euró vagy a globális éves árbevétel 4%-a — a magasabb összeg érvényes. Egy 50 millió eurós árbevételű középvállalatnál ez 2 millió euró felső plafont jelent.
03 — BuktatókHol bukik el a leggyakrabban a magyar középvállalat.
A NAIH 2025-ös bírság-mintázata négy területre koncentrálódott:
- Adatkezelési tájékoztató hiánya vagy elavult változata a céges weboldalon és webshopban.
- Munkavállalói adatok kezelése — kamera-rendszer, e-mail-monitorozás, jelenléti rendszer dokumentáció nélkül.
- Adatvédelmi incidens késedelmes bejelentése — a 72 órás határidő nem ajánlás.
- Beleegyezés nélküli nyilvánosságra hozatal — közösségi média poszt, sajtóközlemény, ügyfél-történet.
Mindegyik közös vonása: nem szándékos jogsértés. Hiányzó eljárás, vagy egy 2018-as dokumentum, amit azóta senki nem nézett át.
04 — AkciótervMit nézzen át ma délután.
Konkrét, 90-perces ellenőrzési lista:
- Mikor frissült utoljára az adatkezelési tájékoztató? Ha 2024 előtt: tervezzen revíziót.
- Van-e DPO (adatvédelmi tisztviselő) — kötelező esetben? A kötelezettség akkor áll fenn, ha a fő tevékenység rendszeres, nagyszabású megfigyelés (HR-rendszer, ügyfél-megfigyelés, profilalkotás).
- Az incidens-protokoll működik? Próba-bejelentés (tabletop exercise) az utolsó 12 hónapban: igen vagy nem.
- Adatfeldolgozói szerződések (DPA) — minden szállítóval, aki ügyféladatot lát? Microsoft 365, Google Workspace, könyvelő, marketing-automatizáció.
- Munkavállalói tájékoztatás dátumozott, aláírt változatban?
05 — EllenérvekÖrdög ügyvédje.
A számok félrevezetőek lehetnek. A 68 millió euró nagy része 2–3 nagyvállalati ügyből származik. A középvállalat tipikus bírsága 20 ezer és 200 ezer euró között mozog. Tehát a kockázat reális, de nem 27 milliós nagyságrendű.
Ami viszont nem méretfüggő: a reputációs kár. A NAIH jogsértést megállapító döntései nyilvánosak. Egy ügyfél, aki a beszerzési folyamat előtt rákeres a partnerre, ezt látja először.
- Kiteworks — GDPR Fines Hit €7.1 Billion: 2026 TrendsIparági forrás
- GDPR Enforcement TrackerAdatbázis
- Improvado — GDPR Fines 2026 GuideIparági forrás
- NAIH — Hírek és állásfoglalásokFelügyeleti hatóság
- GDPR.eu — FinesJogi referencia