Udělené pokuty za porušení nařízení GDPR v Evropě a v ČR ke konci srpna 2020

31.08.2020

Od konce května roku 2018, kdy vstoupilo v Evropské Unii v platnost nařízení GDPR, uplynuly již více než dva roky. Na základě různých zdrojů, které pravidelně sledujeme, jsme pro Vás připravili přehled o tom, jak si jednotlivé státy EU vedly s dodržováním, resp. s porušováním GDPR nařízení a jaké byly ke konci srpna 2020 vydány související pokuty.

  • V rámci zemí EU bylo ke konci srpna uděleno celkem 348 veřejně oznámených pokut, v celkové hodnotě přesahující 490 milionů Eur.
  • Jen za letošek (2020) přibylo v EU celkem 122 pokut v hodnotě kolem 60 milionů Eur.
  • Za celé období platnosti nařízení GDPR bylo nejvíce udělených pokut ve Španělsku a to již celkem 128, v celkové hodnotě přes 3,6 milionů Eur.
  • Naproti tomu v ČR bylo letos ke konci srpna uděleno celkem 11 pokut, v celkové hodnotě přes 19,3 tisíc Eur (přes půl milionu Kč). Náš druhý lokální zdroj počítá dokonce s již více než 18 vydanými pokutami, v celkové výši přesahující 600 tisíc Kč).

Jaké byly v rámci EU nejčastější důvody porušení GDPR nařízení a k udělení pokut:

  1. Nedostatečné technické a organizační opatření k zajištění bezpečnosti informací (80 udělených pokut v celkové výši 335 milionů Eur).
  2. Nedostatečné právní základy / důvody pro zpracování dat / osobních údajů (150 udělených pokut v celkové výši 128 milionů Eur).
  3. Nedodržování obecných principů zpracování dat / osobních údajů (61 udělených pokut v celkové výši 17 milionů Eur).
  4. Nedostatečné naplnění práv subjektů osobních údajů (40 udělených pokut v celkové výši 9 milionů Eur).
  5. Nedostatečné naplnění informačních povinností (20 udělených pokut v celkové výši 568 tisíc Eur).

Situace v ČR

Různé finanční instituce a banky, půjčovna aut i Alza.cz neunikly pozornosti Úřadu pro ochranu osobních údajů (ÚOOÚ) a jsou tak zahrnuty mezi subjekty, kterým byly v rámci ČR pokuty uděleny. Pokuty se typicky pohybovaly v rámci desetitisíců až stotisíců Kč. Celková výše pokut, udělených v ČR, včetně předešlých let tak přesahuje již 1 150 000 Kč.

Nejčastější důvody k udělení pokuty v ČR:

  1. Porušení zásad zpracování dat a neumožnění přístupu k osobním údajům.
  2. Zpracování osobních údajů po uplynutí lhůty určené k jejich likvidaci.
  3. Nedostatečné informování subjektů údajů (zákazníků) o zpracování osobních údajů.
  4. Nezabezpečení osobních údajů subjektů / zákazníků.

Dle současné průměrné výše pokut vydaných ÚOOÚ lze soudit, že zatím ještě úřad naplno nevyužívá možností odrazujícího charakteru vysokých pokut, které nařízení GDPR umožňuje (a to až do výše 20 milionů Eur), stejně jako tomu už je v některých dalších zemích EU. Zda se tento přístup změní, či nikoliv, v současné situaci a se změnami ve vedení úřadu, je těžké nyní odhadovat. V každém případě bychom si ani na jednu z možností nevsadili a doporučujeme Vám tak alespoň prostudovat nutné minimum pro soulad s nařízením GDPR.

*Jedním z našich zdrojů pro EU je např. https://www.enforcementtracker.com/. Bohužel zde nejsou dostupné informace o všech vydaných pokutách, celkový přehled tak zahrnuje pouze pokuty, které byly zveřejněny.

*Druhým zdrojem pro shrnutí lokální situace v ČR byl deník E15.

Rádi Vám s přípravou k souladu s nařízením GDPR pomůžeme, kontaktujte nás!

*Údaje z formuláře použijeme pouze ke komunikaci ohledně Vaší poptávky nebo ke zodpovězení dotazu.