V Česku byly oznámeny pouze necelé tři stovky porušení GDPR

Nejvíce to bylo v Nizozemsku, kde lidé nahlásili 15 400 případů, nejméně pak v Lichtenštejnsku s pouhými 15 případy. Česká republika se pohybuje se svými 290 oznámeními ve spodní třetině Evropské unie.
Data vyplývají z prvního komplexního průzkumu pokut a nahlášených případů porušení zabezpečení osobních údajů v EU¹, který mapuje období osmi měsíců – od začátku platnosti evropského obecného nařízení pro ochranu osobních údajů (GDPR), tedy 25. května 2018, do 28. ledna 2019, což je Mezinárodní den ochrany osobních údajů.
„Problematiku GDPR dlouhodobě sledujeme a věnujeme se jí. Rozhodli jsme se proto prostřednictvím naší celosvětové sítě zmapovat aktuální vývoj a vystopovat trendy v jednotlivých zemích. Vypracovali jsme přehled, jak jsou na tom jednotlivé země s ohledem na počty oznámení porušení zabezpečení osobních dat nebo výšky pokut. Věříme, že tato data pomohou nejen našim klientům k tomu, aby si utvořili představu, co pro ně GDPR znamená a jaká rizika pro ně z této stále relativně nové regulace plynou,“ říká Petr Šabatka, partner v DLA Piper.
Nejvíce porušení v Nizozemsku, Německu a Spojeném království
Po Nizozemí se k zemím s největším počtem oznámení řadí Německo s 12 600 nahlášených případů porušení zabezpečení osobních dat a Spojené království s počtem 10 600 případů. Naopak nejméně případů proběhlo po Lichtenštejnsku na Islandu, kde došlo k 25 oznámením, a Kypru s 35 oznámeními. Jedním z důvodů je menší počet obyvatel všech tří zemí oproti evropskému průměru. Česká republika se umístila ve spodní třetině všech zemí EU (počtem obyvatel srovnatelné Švédsko má 2 500 hlášených případů, tedy přibližně 9 krát více než Česko).
Nejaktivněji hlásí porušení ochrany osobních údajů Nizozemci, nejméně Řekové
Při převedení počtu případů porušení na počet obyvatel² má nejaktivnější oznamovatele Nizozemsko, Irsko a Dánsko, zatímco nejméně oznámení na hlavu vykazuje Řecko, Itálie a Rumunsko, tedy země s obecně méně rozvinutou kulturou ochrany osobních údajů. Nejviditelnější rozdíl lze pozorovat mezi Itálií a Nizozemskem, kdy na 100 tisíc Italů připadá pouze 0,9 případů nahlášení porušení zabezpečení osobních údajů, zatímco na stejný počet Nizozemců připadá 89,8 případů nahlášení.
Za porušení ochrany osobních údajů uděleno v EU již 91 pokut
I když velké množství pokut v roce 2018 spadá ještě do „starého“ režimu s výrazně nižšími sankcemi, na základě GDPR již bylo v EU uděleno 91 pokut. Nejvyšší pokuta se týkala zpracovávání osobních údajů bez platného titulu.³
Nejvíce udělovaly pokuty německé úřady, celkem šlo o 64 pokut. „Můžeme tak například pozorovat, že úřad LfDI ze spolkové země Bádensko-Württembersko pokutoval společnost částkou 20 000 Eur za nedostatečně provedené zašifrování hesel zaměstnanců, které vyústilo v únik osobních údajů, a stejný úřad nyní v lednu 2019 pokutoval jinou společnost částkou 80 000 Eur za únik zdravotních dat na internet,“ přibližuje problematiku Šabatka.
Ve srovnání s Německem jsou pokuty v ostatních státech nižší (pod 5 000 eur). Je zde tedy zjevný trend začínat s vymáháním pravidel dle GDPR postupně, cestou nižších pokut či jiných sankcí.
Český úřad udělil zatím jen dvě sankce, výhledově mohou být početnější a vyšší
V České republice se sankce dle GDPR zatím týkaly pouze dvou subjektů – v jednom případě došlo k napomenutí, ve druhém k udělení (prozatím nepravomocné) sankce 10 000 korun.
V roce 2019 budou pokuty pravděpodobně řádově vyšší, než u již proběhlých případů. „Očekáváme, že se soudy i příslušné úřady budou v tom, kam až je možné při stanovení pokuty zajít, inspirovat soutěžním právem a judikaturou. Rovněž bude zajímavé sledovat, zda budou Evropská unie a národní regulátoři nějakým způsobem reagovat na výše popsané diskrepance v počtu oznámení porušení osobních údajů v různých zemích a zda bude možné pozorovat nějaké snahy o harmonizaci přístupu k těmto oznámením,“ uzavírá Šabatka z DLA Piper.
DLA Piper je mezinárodní advokátní kancelář působící ve více než 40 zemích napříč Evropou, Amerikou, Blízkým východem, Afrikou i oblastí Asie a Tichomoří, což jí umožňuje poskytnout klientům právní pomoc kdekoli ve světě. Pražská kancelář působí na českém trhu přes 25 let, a to v řadě právních oborů a průmyslových odvětví. Další informace o organizaci a službách firmy lze nalézt na stránkách: www.dlapiper.com.

¹ V průzkumu nebyly obsaženy Slovensko, Bulharsko, Chorvatsko, Estonsko a Litva kvůli nedostupnosti dat.
² Údaje o množstvích oznámených porušení na hlavu vznikly vydělením počtu oznámení počtem obyvatel dané země vynásobené 100.000 (počet obyvatel se pak odvíjí od CIA World Factbook z července 2018).
³ Pokuta byla udělena společnosti Google francouzským regulátorem CNIL.