- Za posledních dvanáct měsíců uložily evropské orgány dozoru nad ochranou osobních údajů v Evropě pokuty ve výši 2,92 miliardy Eur (70 miliard Kč), což představuje 168% nárůst oproti předchozímu roku.
- Nejvyšší letošní pokutu ve výši 405 milionů Eur (9,7 miliard Kč) uložil irský komisař pro ochranu údajů společnosti Meta Platforms Ireland Limited za různá pochybení v oblasti ochrany osobních údajů dětí.
- Průměrný denní nápad oznámených případů porušení bezpečnosti údajů v celé EU mírně klesl z 328 na 300, v ČR je to 301 porušení GDPR za rok.
- V ČR se od účinnosti nařízení rozdaly pokuty za porušení GDPR téměř za 11 milionů korun. Úřady zaznamenaly více než 1500 případů porušení GDPR.
Globální advokátní kancelář DLA Piper zveřejnila výsledky svého každoročního průzkumu týkajícího se GDPR a porušení bezpečnosti osobních údajů. Tento celoevropský průzkum odhalil další rekordní rok s meziročním nárůstem celkové hodnoty pokut udělených v celé Evropě o 168 %. V ČR je situace podobná jako loni.
Mezi největší uložené pokuty patřily pokuty společnosti Meta Platforms Ireland Ltd. (Meta), což dokazuje, že sociální média a jejich závislost na rozsáhlém zpracování osobních údajů se staly předmětem zvláštního zájmu regulátorů. Několik největších pokut, které irský úřad pro ochranu údajů letos společnosti Meta uložil, se týká chování uživatelů na Facebooku a Instagramu a toho, zda lze pro masivní sběr osobních údajů použít jako právní základ to, že zpracování je nezbytné pro splnění smlouvy. Zatímco irský úřad původně dospěl k závěru, že to možné je, Evropský sbor pro ochranu osobních údajů s tímto závěrem nesouhlasil. Výsledné pokuty vyvolávají vážné otázky o velké dohodě uzavřené mezi spotřebiteli a poskytovateli služeb a o tom, jak budou „bezplatné“ online služby financovány do budoucna.
Ross McKean, partner DLA Piper a vedoucí britské skupiny pro ochranu osobních údajů a kybernetickou bezpečnost, dodal: „Letošní série pokut irského komisaře pro ochranu údajů zaměřených na praktiky sociálních médií v oblasti behaviorální reklamy může mít pro budoucnost „velké dohody“, která je základem dnešního „svobodného“ internetu, stejně zásadní význam, jako měla směrnice Schrems II pro mezinárodní předávání osobních údajů do třetích zemí. Vzhledem k tomu, co je v sázce, můžeme očekávat roky navazujících řízení a sporů. Právo v těchto otázkách není zdaleka vyřešeno.“
V tuzemsku je situace ve srovnání s Irskem o poznání klidnější. V České republice za uplynulý rok byly uloženy pokuty za porušení GDPR ve výši téměř 600 000 Kč (23 786 Eur) a bylo nahlášeno 301 případů. „Od účinnosti GDPR v květnu 2018 český úřad uložil pokuty ve výši téměř 11 milionů korun a bylo zaznamenáno celkem 1 573 oznámení případů porušení GDPR, což v průměru představuje 300 oznámení ročně. To může naznačovat, že se s tímto nařízením české firmy a instituce popasovaly velmi dobře,“ říká partner a vedoucí praxe litigací a regulatoriky pražské pobočky DLA Piper Petr Šabatka.
„Zatímco v letošním roce dominovaly v novinových titulcích problémy s osobními údaji v souvislosti s reklamou a sociálními médii, stále větší pozornost je věnována umělé inteligenci a úloze osobních údajů používaných k učení umělé inteligence. Vzhledem k tomu, že platformy umělé inteligence a strojového učení se nadále stávají všudypřítomnějšími, náš průzkum pro příští rok předpovídá, že se regulátoři více zaměří právě na tuto oblast,“ uzavírá Šabatka.
– Konec –
Poznámky pro redakci
O DLA Piper
DLA Piper je globální advokátní kancelář s advokáty ve více než 40 zemích v Americe, Evropě, na Blízkém východě, v Africe a v Asii a Tichomoří, což umožňuje pomáhat klientům s jejich právními potřebami po celém světě. Další informace o naší společnosti a službách naleznete na našich webových stránkách: www.dlapiper.com.
O reportu
Globální advokátní kancelář DLA Piper zveřejňuje vydání svého každoročního průzkumu GDPR a narušení bezpečnosti údajů pro rok 2023, ve kterém uvádí celkové pokuty udělené za širokou škálu porušení GDPR a žebříček pokut udělených v jednotlivých zemích od 28. ledna 2022. Průzkum zahrnuje všech 27 členských států Evropské unie a dále Spojené království, Norsko, Island a Lichtenštejnsko.
DLA Piper používá následující směnný kurz: 1 Eur = 25,0 Kč.
Ne všechny země zahrnuté do této zprávy zveřejňují statistiky o oznámeních o narušení bezpečnosti a mnohé z nich poskytly údaje pouze za část období, na které se tato zpráva vztahuje. Proto jsme museli údaje extrapolovat tak, aby pokrývaly celé období. Je také možné, že některá z nahlášených porušení se týkají režimu před nařízením GDPR. Vzhledem k tomu, že řada dozorových úřadů pro ochranu osobních údajů nyní vydala výroční zprávy za rok 2021, byly některé údaje v loňské zprávě, které byly dříve extrapolovány, v této zprávě aktualizovány.
Průzkum DLA Piper se týká všech 27 členských států Evropské unie a Spojeného království, Norska, Islandu a Lichtenštejnska. Ne všechny jurisdikce zveřejňují podrobnosti o udělených pokutách. Je možné, že bylo uděleno více pokut, které nebyly zveřejněny. Spojené království opustilo EU 31. ledna 2020. Spojené království implementovalo GDPR do právních předpisů v každé z jurisdikcí v rámci Spojeného království (Anglie, Severní Irsko, Skotsko a Wales). K datu tohoto průzkumu je GDPR ve Spojeném království ve všech podstatných ohledech stejné jako GDPR v EU. Přesto britské ministerstvo pro digitální technologie, média, kulturu a sport nedávno konzultovalo navrhované změny britských zákonů o ochraně údajů „Data: nový směr“ a navrhuje uzákonit změny britských zákonů o ochraně údajů v průběhu roku 2023. Do jaké míry se tyto změny budou odchylovat od GDPR EU, se teprve ukáže.