Od vstupu GDPR v platnost dne 25. května 2018 bylo napříč 28 členskými státy EU nahlášeno přes 160 tisíc případů porušení ochrany osobních údajů. Toto číslo zahrnuje také přestupky z Norska, Islandu a Lichtenštejnska. Podle nejnovějšího průzkumu mezinárodní advokátní kanceláře DLA Piper týkajícího se porušení ochrany osobních údajů uložili regulátoři dat od zavedení GDPR pokuty v celkové výši 102,5 milionu EUR. Tyto pokuty se týkaly široké škály přestupků v rámci GDPR, nejen narušení bezpečnosti osobních dat.

Česká republika zaregistrovala 720 takových případů a v žebříčku průzkumu se tímto počtem zařadila na 17 místo. Celková hodnota uložených pokut překročila v České republice 290 tisíc EUR, v tomto ohledu jsme obsadili 13. příčku. Francie s celkovou hodnotou uložených pokut přes 51 mil. EUR žebříčku dominuje, následuje Německo (24, 5 mil. EUR) a Rakousko (18 mil. EUR). Nizozemsko, Německo a Spojené království jsou v popředí, co se týče počtu přestupků nahlášených regulačním orgánům. V Nizozemsku šlo o 40 647 takových případů, v Německu o 37 636 a ve Spojeném království jich zaznamenali 22 181.

Denní míra těchto oznámení se rovněž zvýšila o 12 %. V prvních osmi měsících platnosti, tedy od 25. května 2018 do 27. ledna 2019, činil počet denních hlášení 247. V roce 2019 šlo průměrně o 278 zpráv za den.

V přepočtu na počet obyvatel zaznamenala Česká republika v období od 28. ledna 2019 do 27. ledna 2020 cca 4 přestupky na 100 tisíc obyvatel, o 2 méně než v minulém období. V porovnání s ním se Česká republika letos umístila na 22. místě. Předních příček opět dosahuje Nizozemsko, s 147,2 nahlášenými přestupky na 100 tisíc obyvatel. V loňském šlo jen o 89,8 případů. Následuje Irsko a dále Dánsko. Itálie, Rumunsko a Řecko ohlásily nejmenší počet porušení v přepočtu na počet obyvatel. Itálie s více než 62 miliony obyvatel zaznamenala pouze 1886 takových oznámení, což poukazuje na kulturní rozdíly v přístupu k nahlašování GDPR přestupků.

Dosud nejvyšší GDPR pokuta ve výši 50 milionů EUR byla uvalena na společnost Google. Francouzský regulátor ochrany údajů ji neuložil za porušení ochrany osobních údajů, ale spíše za údajné porušení zásady transparentnosti a neexistenci platného souhlasu. V návaznosti na dva ostře sledované případy zveřejnil Úřad britského komisaře pro informace (ICO) v červenci 2019 úmysl uložit dvě pokuty v celkové výši 282 milionů liber (přibližně 329 milionů EUR / 366 milionů dolarů). K datu vydání této zprávy nebyl ani jeden z těchto případů ukončen.

Advokát Miroslav Dubovský, který vede českou pobočku mezinárodní kanceláře DLA Piper, uvedl, že „zvýšení četnosti oznámení o porušení nařízení GDPR o 12 procent dokazuje, že se ochrana osobních údajů začíná více řešit. Celková částka, tedy 102,5 milionu EUR není nijak vysoká, ale poukazuje na to, že regulátoři své nové pravomoci aktivně testují. Předpokládáme, že se intenzita sankcí v roce 2020 zvýší a regulátoři uloží pokuty čítající miliony EUR“.

Patrick Van Eecke, předseda mezinárodní praxe v oblasti ochrany údajů v DLA Piper, ke zveřejněným datům doplnil, že „první GDPR pokuty vyvolávají mnoho otázek. Zeptejte se dvou různých regulátorů, jak by se tyto sankce měly počítat, a dostanete dvě různé odpovědi. Od momentu, kdy bychom měli v této zásadní otázce právní jistotu, jsme momentálně daleko. V následujících letech ale jistě můžeme očekávat více pokut a odvolání“.

Zdroj: DLA Piper, foto Pixabay.