Průzkum DLA Piper: v Česku bylo dosud oznámeno pouze 290 porušení zabezpečení osobních údajů
Podle advokátní kanceláře DLA Piper bylo v Evropě oznámeno už více než 59 000 případů porušení zabezpečení osobních údajů. Nejvíce to bylo v Nizozemsku, kde lidé nahlásili 15 400 případů, nejméně pak v Lichtenštejnsku s pouhými 15 případy. Česká republika se pohybuje se svými 290 oznámeními ve spodní třetině Evropské unie.
“Problematiku GDPR dlouhodobě sledujeme a věnujeme se jí. Rozhodli jsme se proto prostřednictvím naší celosvětové sítě zmapovat aktuální vývoj a vystopovat trendy v jednotlivých zemích. Vypracovali jsme přehled, jak jsou na tom jednotlivé země s ohledem na počty oznámení porušení zabezpečení osobních dat nebo výšky pokut. Věříme, že tato data pomohou nejen našim klientům k tomu, aby si utvořili představu, co pro ně GDPR znamená a jaká rizika pro ně z této stále relativně nové regulace plynou,” říká Petr Šabatka, partner v DLA Piper.
Nejvíce porušení v Nizozemsku, Německu a Spojeném království
Po Nizozemí se k zemím s největším počtem oznámení řadí Německo s 12 600 nahlášených případů porušení zabezpečení osobních dat a Spojené království s počtem 10 600 případů. Naopak nejméně případů proběhlo po Lichtenštejnsku na Islandu, kde došlo k 25 oznámením, a Kypru s 35 oznámeními. Jedním z důvodů je menší počet obyvatel všech tří zemí oproti evropskému průměru. Česká republika se umístila ve spodní třetině všech zemí EU (počtem obyvatel srovnatelné Švédsko má 2 500 hlášených případů, tedy přibližně 9 krát více než Česko).
Nejaktivněji hlásí porušení ochrany osobních údajů Nizozemci, nejméně Řekové
Při převedení počtu případů porušení na počet obyvatel[2] má nejaktivnější oznamovatele Nizozemsko, Irsko a Dánsko, zatímco nejméně oznámení na hlavu vykazuje Řecko, Itálie a Rumunsko, tedy země s obecně méně rozvinutou kulturou ochrany osobních údajů. Nejviditelnější rozdíl lze pozorovat mezi Itálií a Nizozemskem, kdy na 100 000 Italů připadá pouze 0,9 případů nahlášení porušení zabezpečení osobních údajů, zatímco na stejný počet Nizozemců připadá 89,8 případů nahlášení.
Za porušení ochrany osobních údajů uděleno v EU již 91 pokut
I když velké množství pokut v roce 2018 spadá ještě do "starého" režimu s výrazně nižšími sankcemi, na základě GDPR již bylo v EU uděleno 91 pokut. Nejvyšší pokuta se týkala zpracovávání osobních údajů bez platného titulu.[3]
Nejvíce udělovaly pokuty německé úřady, celkem šlo o 64 pokut. “Můžeme tak například pozorovat, že úřad LfDI ze spolkové země Bádensko-Württembersko pokutoval společnost částkou 20 000 Eur za nedostatečně provedené zašifrování hesel zaměstnanců, které vyústilo v únik osobních údajů, a stejný úřad nyní v lednu 2019 pokutoval jinou společnost částkou 80 000 Eur za únik zdravotních dat na internet,” přibližuje problematiku Šabatka.
Ve srovnání s Německem jsou pokuty v ostatních státech nižší (pod 5 000 Eur). Je zde tedy zjevný trend začínat s vymáháním pravidel dle GDPR postupně, cestou nižších pokut či jiných sankcí.
Český úřad udělil zatím jen dvě sankce, výhledově mohou být početnější a vyšší
V České republice se sankce dle GDPR zatím týkaly pouze dvou subjektů - v jednom případě došlo k napomenutí, ve druhém k udělení (prozatím nepravomocné) sankce 10 000 korun.
V roce 2019 budou pokuty pravděpodobně řádově vyšší, než u již proběhlých případů. “Očekáváme, že se soudy i příslušné úřady budou v tom, kam až je možné při stanovení pokuty zajít, inspirovat soutěžním právem a judikaturou. Rovněž bude zajímavé sledovat, zda budou Evropská unie a národní regulátoři nějakým způsobem reagovat na výše popsané diskrepance v počtu oznámení porušení osobních údajů v různých zemích a zda bude možné pozorovat nějaké snahy o harmonizaci přístupu k těmto oznámením,” uzavírá Šabatka z DLA Piper.
DLA Piper Prague LLP, organizační složka
Panská 854/2
110 00 Praha 1
Tel.: +420 222 817 111
e-mail: prague@dlapiper.com
____________________________________________
[1] V průzkumu nebyly obsaženy Slovensko, Bulharsko, Chorvatsko, Estonsko a Litva kvůli nedostupnosti dat.
[2] Údaje o množstvích oznámených porušení na hlavu vznikly vydělením počtu oznámení počtem obyvatel dané země vynásobené 100.000 (počet obyvatel se pak odvíjí od CIA World Factbook z července 2018).
[3] Pokuta byla udělena společnosti Google francouzským regulátorem CNIL.