2025. aasta esimesel poolaastal määrati ettevõtetele rekordilised trahvid isikuandmete kaitse reeglite rikkumise eest — viie olulisema trahvi kogusumma ületas vaid kuue kuuga kolm miljardit eurot.

Andmekaitseidu GDPR Register tegevjuht Krete Paal sõnas, et esimesel poolaastal määratud trahvid andmekaitse üldmääruse (GDPR) nõuete rikkumise eest tõid välja korduvad mustrid ja vead andmekaitse valdkonnas, kus ettevõtted aina uuesti libastuvad. 

"Euroopa andmekaitseasutused on ettevõtjatele andnud sõnumi, et andmekaitse pole enam valikuline ning formaalse vastavusega enam ei lepita – ettevõtetelt oodatakse sisulist ja dokumenteeritud andmekaitsepraktikat," kommenteeris Paal.

2025. aasta alguses jõustus GDPR-i ajaloo suurim trahv suurusega 1,2 miljardit eurot, mida Iirimaa andmekaitseasutus määras Facebooki emaettevõttele Meta. Trahvi aluseks on Meta hallatavate sotsiaalmeediaplatvormide poolt ulatuslik isikuandmete edastamine USA-sse ilma piisava järelevalveta.

Tehnoloogiagigant Amazon jõudis suurimate trahvide edetabelis auväärsele teisele kohale 746 miljoni eurose trahviga, mille määras Luksemburgi andmekaitseamet tänavu märtsis. Hiiglasliku trahvi tõi ettevõttele sihtotstarbeline reklaam ilma kasutaja kehtiva ja selge nõusolekuta. 

Andmekaitsele keskendunud iduettevõtte GDPR Registri juht tõi välja, et andmete kasutamisel reklaamiks peab nõusolek olema vabatahtlik, dokumenteeritud ning igal hetkel lihtsasti tagasi võetav. 

Suuruselt kolmas trahv määrati tänavu mais TikTok´ile ning selle summaks kujunes 530 miljonit eurot. Trahvi määras taaskord Iirimaa andmekaitseasutus. Põhjuseks on Hiinas asuvate töötajate ligipääs sotsiaalmeediaplatvormi Euroopas asuvate kasutajate andmetele ning protsesside ebapiisav läbipaistvus. 

"Ettevõtted peavad andmete asukohta ja töötlemisega seotud kolmandaid riike selgelt ja arusaadavalt kasutajatele selgitama," tõi Paal välja.

Hispaania andmekaitseamet trahvis aga tänavu aprillis tervise- ja raviteenuseid osutavat ettevõtet Marina Salud 500 tuhande euroga. Kopsaka trahvi tõi ettevõttele terviseandmete töötlemine allhankijatega ilma nõuetekohase lepinguta. "Siit saame õppida, et iga andmetöötleja, sealhulgas ka näiteks IT-partner peab olema ametlikult andmekaitselepinguga määratletud ning tellijal peab olema selge ülevaade kogu andmete töötlemise ahelast," ütles GDPR Registri juht.

Äramärkimist väärib ka telekomikontsern Vodafone, mis sai trahvi lausa mitmel korral: aprillis Vodafone España, keda kohalik andmekaitseamet trahvis 200 tuhande euroga. Põhjuseks on SIM-kaardi vahetus ilma piisava isikutuvastuseta, mis viis andmelekkeni. Antud trahv tõi esile nõude, et kõik isikuandmetega seotud toimingud, sealhulgas ka näiteks konto taastamine peavad põhinema tugeval autentimisel ja riskihinnangul. Vodafone´i Saksamaa haru sai samuti trahvitud 45 miljoni euroga, kuna neil puudus piisav kontroll andmetöötlejate osas ja ebapiisavad turvameetmed kasutajate tuvastamisel.

Suurimad GDPR trahvid tänavu esimesel poolaastal tõid andmekaitse eksperdi sõnul välja korduvad mustrid, millest ettevõtted saavad teha järeldusi ning Paal rõhutas, et GDPR ei ole enam dokumentide kogum sahtlis.

Paal soovitas ettevõtetel maine- ja rahaliste riskide vältimiseks kaardistada andmete rahvusvahelised edastused ning kontrollida, kas kõik ettevõttega seotud alamtöötlejad on kaetud andmetöötluse lepingutega. Regulaarselt tuleb tema sõnul uuendada privaatsusteatiseid ja nõusolekumalle vastavalt uusimale praktikale, õppides ka teiste vigadest. Mööda ei tohi vaadata ka regulaarsete riskipõhiste auditite läbiviimisest, veendudes, et isikuandmete töötlemisel on selge õiguslik alus. "Aga ka kõige parem süsteem ei toimi, kui inimesed ei tunne reegleid ega taju ohte. Töötajate koolitamine on andmekaitses võtmetähtsusega, sest suurimad rikkumised saavad alguse teadmatusest," rõhutas Paal.