Pokut za porušení GDPR přibývá, jak jim předejít?
Letos to budou tři roky od účinnosti nařízení GDPR a otázka možných sankcí je stále velice aktuální. Roste počet pokut i nahlášených případů v členských státech Evropské unie včetně České republiky.
Oproti loňskému roku evropské úřady zaznamenaly téměř o pětinu více porušení nařízení spojených s GDPR, rovněž byly uloženy i vyšší pokuty, a to i přes to, že velké množství pokut bylo nakonec sníženo úspěšnými odvoláními.
Doposud nejvyšší pokuta byla udělena francouzským úřadem CNIL v lednu 2019, která dosahovala 50 milionů EUR, následuje úřad v německém Hamburku, který v říjnu 2020 pokutoval nejmenovaný maloobchod za nedostatečný právní základ zpracování osobních údajů částkou 35 milionů EUR. Třetí je pak italský úřad Garante, který v lednu 2020 udělil pokutu telekomunikačnímu operátorovi za několik rozdílných prohřešků, zejména za neadekvátní technické a organizační opatření k ochraně osobních údajů, nedostatečný právní základ pro zpracování osobních údajů či nedostatečný „privacy by design“ – tato pokuta pak dosáhla výše 27 milionů EUR.
Jak se vyhnout pokutám?
Z nedávno zveřejněné studie vyplývá několik hlavních oblastí, kde správci osobních údajů nejčastěji chybují a kde je nutno dávat zvláštní pozor:
- Transparentnost – v praxi je nutné mít kompletní, přesné a přehledné oznámení o ochraně osobních údajů, ideálně se všemi potřebnými informacemi na jednom místě;
- Právní základ – jak je zjevné z krátkého shrnutí pokut výše – je nutné se vždy opírat o vhodný titul ke zpracování osobních údajů a ten dodržet, tedy například, pokud se jedná o souhlas, tak je nutné ho platně získat, vše se musí opírat o správně provedený data mapping a poctivé vedení záznamů o činnostech zpracovávání;
- Nedostatečná implementace zabezpečení– během posledních 12 měsíců bylo uloženo velké množství pokut právě pro to, že regulátoři došli k názoru, že nebylo dostatečně implementováno nutné zabezpečení, typicky:
- Monitoring administrátorských účtů;
- Monitoring přístupu do databází, které obsahují osobní údaje;
- Šifrování osobních údajů;
- Použití vícefaktorové autentizace k předejití neoprávněnému přístupu;
- Logování neúspěšných přihlášení;
- Manuální kontrola zdrojových kódů apod.
- Porušení zásady minimalizace dat a principů ukládání dat – zpracovávání příliš velkého množství dat (z nichž může být část i zcela zbytečná) a jejich ukládání na příliš dlouhou dobu zvyšuje riziko úniku, a proto i tato oblast byla regulátory často pokutována;
- Nedostatečné zajištění přenosu osobních údajů do zahraničí (třetích zemí) – ve velkém množství případů vůbec neprobíhá kontrola, mapping a zhodnocení, nakolik takový přenos představuje ohrožení pro subjekty přenášených osobních údajů. Je nutné rovněž správně implementovat standardní smluvní doložky.
Co říkají statistiky
Nejvyšší pokuty plynoucí z GDPR byly v evropských státech uděleny v následujících zemích: Itálie, Německo, Francie, Velká Británie, Španělsko a Švédsko. Ve vztahu k těmto zemím je možné hovořit o tom, že jejich regulátoři zaujali velice přísný postup. Na opačném pólu pak nalezneme Estonsko, Lichtenštejnsko, Island, Rakousko, Litvu a Lotyšsko, kde jsou pokuty nejnižší. V případě Estonska zatím v součtu pouhých 408 EUR. Zbylých šestnáct zemí, zahrnujících i Českou republiku, Slovensko či Polsko je pak přibližně uprostřed evropského žebříčku a regulátoři zde stále „testují“, kam až je možné zajít.
Co se týče nahlašování, tak nejvíce porušení osobních údajů (personal data breaches) bylo od účinnosti GDPR nahlášeno v Německu (více než 77.000 porušení) a Nizozemsku, následováno Velkou Británií, Dánskem, Irskem, Polskem, Švédskem a Finskem. Nejméně naopak v Lichtenštejnsku (pouhých 50 porušení), na Kypru, v Chorvatsku, Litvě a Lotyšsku. Opět je Česká republika s 1.031 případy přibližně v polovině spektra. Situace se trošku změní při přepočtení počtu porušení na počet obyvatel (resp. při indikaci počtu porušení na 100.000 obyvatel) – v tu chvíli je nejvíc porušení hlášeno v Dánsku, následně v Nizozemsku, Irsku, Slovinsku, Finsku a na Islandu. Česká republika patři mezi pět nejméně nahlašujících.
Závěr
Z reportu mapujícího tuto problematiku za uplynulé období lze vypozorovat trend, kdy se národní regulátoři již nebojí udělovat vysoké pokuty, a rovněž že nejpřísnější úřady jsou v západní Evropě. Česká republika se drží počtem a výší pokut přibližně uprostřed evropského žebříčku, nicméně i Úřad pro ochranu osobních údajů bude s nejvyšší pravděpodobností své sankce v příštích letech zvyšovat. Společnostem nakládajícím s osobními údaji doporučujeme nebrat otázku jejich ochrany na lehkou váhu a zvýšenou měrou se soustředit na oblasti vypsané výše, které byly v minulosti dle názoru regulátorů porušovány nejčastěji.
Report DLA Piper - https://www.dlapiper.com/en/belgium/insights/publications/2021/01/dla-piper-gdpr-fines-and-data-breach-survey-2021/
Další články
EUDAMED: Jednotná databáze mění pravidla hry na trhu zdravotnických prostředků
Evropská databáze zdravotnických prostředků EUDAMED je jednou z nejvýznamnějších novinek, které přináší nařízení o zdravotnických prostředcích (MDR) a nařízení o diagnostických zdravotnických prostředcích in vitro (IVDR).
Sloučení kontrolní agendy krajských státních zastupitelství jako cesta k zachování menších okresních státních zastupitelství
Justice čelí zahlcení. Zatímco ministerstvo plánuje velkou reformu soudů až na rok 2028, efektivnějších úřadů a obřích úspor lze dosáhnout okamžitě. Stačí sloučit dozor a dohled na krajích. Má to však háček: nejdříve musíme utnout bezbřehý instanční dohled, ze kterého se v éře umělé inteligence stal nástroj šikanózních stěžovatelů a anonymů z internetu. Pokud systém nezačne podněty přísně filtrovat, zkolabuje a poškodí ty, kteří pomoc státu skutečně potřebují.
Přelomové rozhodnutí německého soudu k odpovědnosti za výroky AI chatbotů
Dne 12. května 2026 vydal Oberlandesgericht Hamm rozsudek, který představuje zásadní mezník v oblasti přičitatelnosti jednání systémů umělé inteligence podnikatelským subjektům. V rozhodnutí se soud zabýval otázkou, zda může podnik nést odpovědnost za nepravdivé informace generované jeho AI chatbotem, a to i v situaci, kdy k poskytnutí těchto informací nedošlo na základě jeho pokynu a chatbot byl původně trénován na správných údajích.
Rušíte dovolenou kvůli bezpečnostní situaci? Ne vždy máte nárok na vrácení peněz
Geopolitická situace ve světě dokáže změnit plány během okamžiku. Ozbrojené konflikty, teroristické útoky, masové nepokoje nebo náhlé uzavření vzdušného prostoru mohou vést ke zrušení celé dovolené ještě před odletem. V takových situacích může být poměrně matoucí, kdy vzniká nárok na vrácení peněz za letenky, ubytování i zaplacené služby.
Předkupní právo k nemovitosti
Za jakých podmínek předkupní právo vzniká a jaká jsou jeho specifika? V tomto článku bychom se zaměřili na institut předkupního práva k nemovitostem.
