Data vyplývají z prvního komplexního průzkumu pokut a nahlášených případů porušení zabezpečení osobních údajů v EU, který mapuje období osmi měsíců – od začátku platnosti evropského obecného nařízení pro ochranu osobních údajů (GDPR), tedy 25. května 2018, do 28. ledna 2019, což je Mezinárodní den ochrany osobních údajů.
„Rozhodli jsme se proto prostřednictvím naší celosvětové sítě zmapovat aktuální vývoj a vystopovat trendy v jednotlivých zemích. Vypracovali jsme přehled, jak jsou na tom jednotlivé země s ohledem na počty oznámení porušení zabezpečení osobních dat nebo výšky pokut,” říká Petr Šabatka, partner v DLA Piper.
Po Nizozemí se k zemím s největším počtem oznámení řadí Německo s 12 600 nahlášených případů porušení zabezpečení osobních dat a Spojené království s počtem 10 600 případů. Naopak nejméně případů proběhlo po Lichtenštejnsku na Islandu, kde došlo k 25 oznámením, a Kypru s 35 oznámeními.
Jedním z důvodů je menší počet obyvatel všech tří zemí oproti evropskému průměru. Česká republika se umístila ve spodní třetině všech zemí EU (počtem obyvatel srovnatelné Švédsko má 2 500 hlášených případů, tedy přibližně 9 krát více než Česko).
Při převedení počtu případů porušení na počet obyvatel má nejaktivnější oznamovatele Nizozemsko, Irsko a Dánsko, zatímco nejméně oznámení na hlavu vykazuje Řecko, Itálie a Rumunsko, tedy země s obecně méně rozvinutou kulturou ochrany osobních údajů. Nejviditelnější rozdíl lze pozorovat mezi Itálií a Nizozemskem, kdy na 100 000 Italů připadá pouze 0,9 případů nahlášení porušení zabezpečení osobních údajů, zatímco na stejný počet Nizozemců připadá 89,8 případů nahlášení.
I když velké množství pokut v roce 2018 spadá ještě do "starého" režimu s výrazně nižšími sankcemi, na základě GDPR již bylo v EU uděleno 91 pokut. Nejvyšší pokuta se týkala zpracovávání osobních údajů bez platného titulu.
Nejvíce udělovaly pokuty německé úřady, celkem šlo o 64 pokut.
„Můžeme tak například pozorovat, že úřad LfDI ze spolkové země Bádensko-Württembersko pokutoval společnost částkou 20 000 Eur za nedostatečně provedené zašifrování hesel zaměstnanců, které vyústilo v únik osobních údajů, a stejný úřad nyní v lednu 2019 pokutoval jinou společnost částkou 80 000 Eur za únik zdravotních dat na internet,” přibližuje problematiku Šabatka.
Ve srovnání s Německem jsou pokuty v ostatních státech nižší (pod 5 000 Eur). Je zde tedy zjevný trend začínat s vymáháním pravidel dle GDPR postupně, cestou nižších pokut či jiných sankcí.
V České republice se sankce dle GDPR zatím týkaly pouze dvou subjektů - v jednom případě došlo k napomenutí, ve druhém k udělení (prozatím nepravomocné) sankce 10 000 korun.
V roce 2019 budou pokuty pravděpodobně řádově vyšší než u již proběhlých případů. „Očekáváme, že se soudy i příslušné úřady budou v tom, kam až je možné při stanovení pokuty zajít, inspirovat soutěžním právem a judikaturou. Rovněž bude zajímavé sledovat, zda budou Evropská unie a národní regulátoři nějakým způsobem reagovat na výše popsané diskrepance v počtu oznámení porušení osobních údajů v různých zemích a zda bude možné pozorovat nějaké snahy o harmonizaci přístupu k těmto oznámením,” uzavírá Šabatka z DLA Piper.
PŘEDPLATNÉ
ČLÁNKY DO MAILU