Data vyplývají z prvního komplexního průzkumu pokut a nahlášených případů porušení zabezpečení osobních údajů v EU, který mapuje období osmi měsíců - od začátku platnosti evropského obecného nařízení pro ochranu osobních údajů (GDPR), tedy 25. května 2018, do 28. ledna 2019, což je Mezinárodní den ochrany osobních údajů.

“Problematiku GDPR dlouhodobě sledujeme a věnujeme se jí. Rozhodli jsme se proto prostřednictvím naší celosvětové sítě zmapovat aktuální vývoj a vystopovat trendy v jednotlivých zemích. Vypracovali jsme přehled, jak jsou na tom jednotlivé země s ohledem na počty oznámení porušení zabezpečení osobních dat nebo výšky pokut. Věříme, že tato data pomohou nejen našim klientům k tomu, aby si utvořili představu, co pro ně GDPR znamená a jaká rizika pro ně z této stále relativně nové regulace plynou,” říká Petr Šabatka, partner v DLA Piper.

Nejvíce porušení v Nizozemsku, Německu a Spojeném království

Po Nizozemí se k zemím s největším počtem oznámení řadí Německo s 12 600 nahlášených případů porušení zabezpečení osobních dat a Spojené království s počtem 10 600 případů. Naopak nejméně případů proběhlo po Lichtenštejnsku na Islandu, kde došlo k 25 oznámením, a Kypru s 35 oznámeními. Jedním z důvodů je menší počet obyvatel všech tří zemí oproti evropskému průměru. Česká republika se umístila ve spodní třetině všech zemí EU (počtem obyvatel srovnatelné Švédsko má 2 500 hlášených případů, tedy přibližně 9 krát více než Česko).

Nejaktivněji hlásí porušení ochrany osobních údajů Nizozemci, nejméně Řekové

Při převedení počtu případů porušení na počet obyvatel[1] má nejaktivnější oznamovatele Nizozemsko, Irsko a Dánsko, zatímco nejméně oznámení na hlavu vykazuje Řecko, Itálie a Rumunsko, tedy země s obecně méně rozvinutou kulturou ochrany osobních údajů. Nejviditelnější rozdíl lze pozorovat mezi Itálií a Nizozemskem, kdy na 100 000 Italů připadá pouze 0,9 případů nahlášení porušení zabezpečení osobních údajů, zatímco na stejný počet Nizozemců připadá 89,8 případů nahlášení.

Za porušení ochrany osobních údajů uděleno v EU již 91 pokut

I když velké množství pokut v roce 2018 spadá ještě do "starého" režimu s výrazně nižšími sankcemi, na základě GDPR již bylo v EU uděleno 91 pokut. Nejvyšší pokuta se týkala zpracovávání osobních údajů bez platného titulu.

Nejvíce udělovaly pokuty německé úřady, celkem šlo o 64 pokut. “Můžeme tak například pozorovat, že úřad LfDI ze spolkové země Bádensko-Württembersko pokutoval společnost částkou 20 000 Eur za nedostatečně provedené zašifrování hesel zaměstnanců, které vyústilo v únik osobních údajů, a stejný úřad nyní v lednu 2019 pokutoval jinou společnost částkou 80 000 Eur za únik zdravotních dat na internet,” přibližuje problematiku Šabatka.

Ve srovnání s Německem jsou pokuty v ostatních státech nižší (pod 5 000 Eur). Je zde tedy zjevný trend začínat s vymáháním pravidel dle GDPR postupně, cestou nižších pokut či jiných sankcí.

Český úřad udělil zatím jen dvě sankce

V České republice se sankce dle GDPR zatím týkaly pouze dvou subjektů - v jednom případě došlo k napomenutí, ve druhém k udělení (prozatím nepravomocné) sankce 10 000 korun.

V roce 2019 budou pokuty pravděpodobně řádově vyšší, než u již proběhlých případů. “Očekáváme, že se soudy i příslušné úřady budou v tom, kam až je možné při stanovení pokuty zajít, inspirovat soutěžním právem a judikaturou. Rovněž bude zajímavé sledovat, zda budou Evropská unie a národní regulátoři nějakým způsobem reagovat na výše popsané diskrepance v počtu oznámení porušení osobních údajů v různých zemích a zda bude možné pozorovat nějaké snahy o harmonizaci přístupu k těmto oznámením,” uzavírá Šabatka z DLA Piper.