Evropské úřady udělily za porušení GDPR pokuty ve výši 1,2 miliardy eur, Česko zaznamenalo rekordní pokutu 351 milionů korun

• Počínaje 28. lednem 2024 byly uděleny pokuty za porušení GDPR v celkové výši 1,2 miliardy eur
  (30,2 miliard korun).
• Oproti roku 2023 představuje celková částka udělených pokut snížení o 33%, čímž se poprvé od začátku účinnosti GDPR v květnu 2018 zvrátil trend meziročního nárůstu.
• Irský úřad pro ochranu osobních údajů (DPC) nadále zůstává největším evropským vymahatelem - od května 2018 udělil pokuty přesahující 3,5 miliardy eur (88 miliard korun).
• Český Úřad pro ochranu osobních údajů uložil historicky nejvyšší pokutu 351 milionů korun.

Irsko opět zůstává nejvýznamnějším vymahačem ochrany osobních dat, jenž od května 2018 místní úřady vydaly pokuty přesahující 3,5 miliard eur (88 miliard korun), což je téměř čtyřnásobek hodnoty pokut udělených v pořadí druhým, lucemburským úřadem pro ochranu osobních údajů, který za stejné období vydal pokuty za téměř 746,4 milionů eur (18,7 miliard korun). V evropském srovnání je Česká republika na 13. místě, od roku 2018 české úřady udělily pokuty ve výši 305 milionů korun (nezahrnujeme pokuty, jež aktuálně podléhají soudnímu řízení nebo byly úspěšně odvolány).

Celková výše pokut oznámených od začátku evropského uplatňování GDPR v roce 2018 nyní činí 5,88 miliard eur (148 miliard korun). Nejvyšším finančním trestem, který kdy byl podle GDPR uložen, zůstává pokuta ve výši 1,2 miliardy eur (30,2 miliard korun), kterou irský dozorový úřad DPC udělil společnosti Meta Platforms Ireland Limited v roce 2023.

Vysoké pokuty padaly za uplynulých 12 měsíců i v Česku. V dubnu loňského roku pokutoval český Úřad pro ochranu osobních údajů společnost Avast Software za neoprávněné sdílení údajů svých 100 milionů uživatelů. Pokuta dosáhla bezprecedentních 351 milionů korun (14 milionů eur).

Vývojové trendy a zjištění

Za rok 2024 byly uloženy pokuty ve výši 1,2 miliard eur (30,2 miliard korun), což je o 33 % méně než v předchozím roce, čímž byl přerušen sedmiletý trend zvyšování udělených pokut v Evropě. Letošní snížení je téměř zcela způsobeno rekordní pokutou vůči společnosti Meta ve výši 1,2 miliardy eur, která zkreslila údaje pro rok 2023. 

Hlavním cílem těchto rekordních pokut jsou i nadále velké technologické společnosti a giganti v oblasti sociálních médií, přičemž téměř všech deset největších pokut od roku 2018 bylo uloženo v tomto odvětví. Jen v letošním roce udělil irský úřad DPC pokuty ve výši 310 milionů eur (7,8 miliardy korun) společnosti LinkedIn a 251 milionů eur (6,3 miliardy korun) společnosti Meta. Pro srovnání, v srpnu 2024 udělil nizozemský Úřad pro ochranu osobních údajů pokutu ve výši 290 milionů eur (7,3 miliardy korun) známé aplikaci pro spolujízdu v souvislosti s předáváním osobních údajů do třetí země.

Podobně v minulém roce v České republice uložil Úřad pro ochranu osobních údajů pokutu ve výši 351 milionů korun (14 milionů eur) technologické společnosti Avast Software poté, co provedl šetření v české pobočce této společnosti. V roce 2019 společnost Avast předávala společnosti Jumpshot, Inc. pseudonymizované údaje o historii prohlížení internetu, které byly spojeny s jedinečnými identifikátory. Tyto údaje mohly odhalit nejen totožnost uživatelů, ale i jejich zájmy, bydliště, profese či majetkové poměry. Podle šetření se to týkalo přibližně 100 milionů uživatelů.

V letošním roce se vyměřování pokut rozšířilo i do dalších odvětví, zejména do oblasti finančních služeb a energetiky. Například španělský Úřad pro ochranu údajů udělil dvě pokuty v celkové výši 6,2 milionu eur (156 milionů korun) velké bance za nedostatečná bezpečnostní opatření a italský Úřad pro ochranu údajů uložil poskytovateli veřejných služeb pokutu ve výši 5 milionů eur (126 milionů korun) za používání zastaralých údajů o zákaznících.

Počátky osobní odpovědnosti

Možná nejdůležitějším vývojem v oblasti ochrany osobních údajů je zaměření na správu a dohled, které vedlo k řadě rozhodnutí o sankcích upozorňujících na nedostatky v těchto oblastech, konkrétně na pochybení řídicích orgánů. Výrazným příkladem je oznámení nizozemského Úřadu pro ochranu osobních údajů, že zkoumá možnost osobní odpovědnosti členů vedení společnosti Clearview AI za údajná četná porušení GDPR. To následovalo po udělení pokuty ve výši 30,5 milionu eur (768 milionů korun) této společnosti. „Toto průlomové šetření, které se zaměřuje na možnost učinit vedení společnosti Clearview AI osobně odpovědným za přetrvávající selhání, signalizuje potenciálně významný posun v přístupu evropských regulátorů, kteří si uvědomují, že osobní odpovědnost může zásadně přispět ke zlepšení dodržování předpisů GDPR,“ říká Tomáš Ščerba, partner a expert na ochranu osobních údajů a kybernetickou bezpečnost pražské kanceláře DLA Piper.

Oznámení o úniku osobních údajů

Průměrný počet evropských oznámení o porušení ochrany údajů denně mírně vzrostl na 363 z loňských 335 oznámení, což představuje trend s předchozími roky, pravděpodobně naznačující, že společnosti jsou opatrnější při hlášení porušení ochrany údajů vzhledem k riziku vyšetřování, sankcí, pokut a nároků na náhradu škody, které mohou následovat po oznámení.

Pravidelné výzkumy DLA Piper potvrzují, že od zavedení GDPR dne 25. května 2018 došlo k pouze minimálním změnám na vrcholu tabulek, pokud jde o celkový počet oznámení o porušení ochrany údajů. To stejné platilo i za uplynulých 12 měsíců - Nizozemsko, Německo a Polsko i nadále zůstávají na prvních třech místech podle počtu oznámených porušení ochrany údajů. V roce 2024 zůstala Česká republika s ročním počtem oznámení o úniku dat v polovině evropského žebříčku, tedy na 17. místě ze 31 zkoumaných států Evropy – za uplynulý rok bylo podáno celkem 360 oznámení. Od zavedení GDPR pak bylo v ČR podáno celkem 2 329 oznámení o úniku osobních údajů.

„Zásada zákonnosti, spravedlnosti a transparentnosti je klíčovým pilířem ochrany osobních údajů. Nedávná rozhodnutí dozorových orgánů, například pokuta ve výši 310 milionů eur uložená společnosti LinkedIn irským úřadem pro ochranu osobních údajů za porušení GDPR při zpracování osobních údajů pro behaviorální analýzu a cílenou reklamu, jasně ukazují, že dodržování těchto zásad je nejen zákonnou povinností, ale také základním předpokladem ochrany práv jednotlivců. Podobně i v České republice uložil Úřad pro ochranu osobních údajů pokutu přibližně 14 milionů eur společnosti Avast Software za nedostatečné informování uživatelů o přenosu údajů a za jejich zpracování způsobem, který umožňoval identifikaci jednotlivců, ačkoliv bylo deklarováno jako anonymní. Tyto případy potvrzují, že transparentní přístup k ochraně osobních údajů a zásada minimalizace jejich zpracování je nejen otázkou dodržování pravidel, ale i budování důvěry ve vztahu mezi společnostmi a veřejností,“ uzavírá Tomáš Ščerba.