Podle mezinárodní advokátní kanceláře DLA Piper bylo v Evropě oznámeno už více než 59 000 případů porušení zabezpečení osobních údajů. Nejvíce v Nizozemsku, kde lidé nahlásili 15 400 případů, nejméně v Lichtenštejnsku s pouhými 15 případy. Česká republika se pohybuje se svými 290 oznámeními ve spodní třetině zemí Evropské unie. 

Data vyplývají z prvního komplexního průzkumu pokut a nahlášených případů porušení zabezpečení osobních údajů v EU, který mapuje období osmi měsíců – od začátku platnosti evropského obecného nařízení pro ochranu osobních údajů (GDPR), tedy 25. května 2018, do 28. ledna 2019, což je Mezinárodní den ochrany osobních údajů. V průzkumu nebyly obsaženy Slovensko, Bulharsko, Chorvatsko, Estonsko a Litva kvůli nedostupnosti dat.

“Problematiku GDPR dlouhodobě sledujeme a věnujeme se jí. Rozhodli jsme se proto prostřednictvím naší celosvětové sítě zmapovat aktuální vývoj a vystopovat trendy v jednotlivých zemích. Vypracovali jsme přehled, jak jsou na tom jednotlivé země s ohledem na počty oznámení porušení zabezpečení osobních dat nebo výšky pokut. Věříme, že tato data pomohou nejen našim klientům k tomu, aby si utvořili představu, co pro ně GDPR znamená a jaká rizika pro ně z této stále relativně nové regulace plynou,” říká Petr Šabatka, partner v DLA Piper.

Po Nizozemí se k zemím s největším počtem oznámení řadí Německo – 12 600 nahlášených případů porušení zabezpečení osobních dat a Spojené království s počtem 10 600 případů. Naopak nejméně případů proběhlo po Lichtenštejnsku na Islandu, kde došlo k 25 oznámením, a Kypru s 35 oznámeními. Jedním z důvodů je menší počet obyvatel všech tří zemí oproti evropskému průměru. Česká republika se umístila ve spodní třetině všech zemí EU (počtem obyvatel srovnatelné Švédsko má 2 500 hlášených případů, tedy přibližně 9krát více než Česko).

Při převedení počtu případů porušení na počet obyvatel má nejaktivnější oznamovatele Nizozemsko, Irsko a Dánsko, zatímco nejméně oznámení na hlavu vykazuje Řecko, Itálie a Rumunsko, tedy země s obecně méně rozvinutou kulturou ochrany osobních údajů.

I když velké množství pokut v roce 2018 spadá ještě do „starého“ režimu s výrazně nižšími sankcemi, na základě GDPR již bylo v EU uděleno 91 pokut. Nejvyšší pokuta se týkala zpracovávání osobních údajů bez platného titulu.

Nejvíce udělovaly pokuty německé úřady, celkem šlo o 64 pokut. “Můžeme tak například pozorovat, že úřad LfDI ze spolkové země Bádensko-Württembersko pokutoval společnost částkou 20 000 eur za nedostatečně provedené zašifrování hesel zaměstnanců, které vyústilo v únik osobních údajů, a stejný úřad nyní v lednu 2019 pokutoval jinou společnost částkou 80 000 eur za únik zdravotních dat na internet,” přibližuje problematiku Šabatka.

Ve srovnání s Německem jsou pokuty v ostatních státech nižší (pod 5 000 eur). Je zde tedy zjevný trend začínat s vymáháním pravidel dle GDPR postupně, cestou nižších pokut či jiných sankcí.

V České republice se sankce dle GDPR zatím týkaly pouze dvou subjektů – v jednom případě došlo k napomenutí, ve druhém k udělení (prozatím nepravomocné) sankce 10 000 korun.

V roce 2019 budou pokuty pravděpodobně řádově vyšší, než u již proběhlých případů. “Očekáváme, že se soudy i příslušné úřady budou v tom, kam až je možné při stanovení pokuty zajít,  inspirovat soutěžním právem a judikaturou. Rovněž bude zajímavé sledovat, zda budou Evropská unie a národní regulátoři nějakým způsobem reagovat na výše popsané diskrepance v počtu oznámení porušení osobních údajů v různých zemích a zda bude možné pozorovat nějaké snahy o harmonizaci přístupu k těmto oznámením,” uzavírá Šabatka z DLA Piper.

Zdroj: DLA Piper

Foto: Pixabay