Zdaleka nejvyšší pokutu ve výši 110 milionů eur (téměř tři miliardy korun) za porušení unijního nařízení o ochraně osobních údajů (GDPR) udělila doposud Velká Británie. Upozornil na to finanční server BuyShares.co.uk. Doposud se  pokuty za pochybení v ochranně osobních dat celkově v Evropské unii vyšplhaly na 344 milionů eur (zhruba 9,3 miliardy korun), z toho zhruba jednu třetinu uložily dozorové orgány v letošním roce. Nejvyšší částky padají za nedostatečnou oporu v zákoně při zpracovávání údajů a za nedostatečná technicko-organizační opatření.

Za porušení pravidel uvedených v nařízení Evropské unie o ochraně osobních údajů (GDPR), které platí od poloviny roku 2018, hrozí úřadům i soukromým firmám v celé Evropské unii pokuta až 20 milionů eur (zhruba 540 milionů korun) nebo ve výši čtyř procent jejich globálního obratu − podle toho, která z těchto částek je vyšší. Před nedávnem jsme v Ekonomickém deníku srovnávali výši pokut uložených v České republice a některých dalších zemích evropského kontinentu, kde některé skutečně dosahovaly výše desítek miliónů eur. Ukázalo se, že český Úřad na ochranu osobních údajů (ÚOOÚ) ukládá pokuty sice častěji než v jiných státech, ale v řádově nižších desítkách tisíc korun, i když se objevují i částky přes sto tisíc korun. Nejvyšší pokuta udělená ÚOOÚ se zatím vyšplhala na 250.000 korun.

Jak ale nedávno upozornil finanční server BuyShares.co.uk, nejvyšší pokutu vůbec zatím udělila v rámci EU trochu paradoxně Velké Británie, která Evropskou unii právě opouští. Za dva roky fungování GDPR uložila pouhé tři pokuty za pochybení v ochraně soukromí, zato v celkové výši neuvěřitelných 132,7 milionu eur (zhruba 3,6 miliardy korun).

[mn_protected]

110 milionů eur pro hotelovou síť Marriott

Nejvíce se na uvedené sumě podílí částka 110,4 milionů eur (téměř 3 miliardy korun), kterou udělil v roce 2019 britský dozorový úřad (ICO) americké společnosti Marriott International. Ta ohlásila kybernetický incident, který obnažil okolo 340 milionů záznamů o hotelových hostech.

Druhou ze tří udělených pokut ve výši 22 milionů eur (594 milionů korun) musela letos v říjnu zaplatit společnost British Airways za to, že neuchránila před krádeží osobní a finanční údaje z rezervačních transakcí svých více než 400.000 zákazníků. Na druhou stranu tato částka je stále o dost nižší než 204,6 milionů eur, které ICO původně avizoval v době, kdy společnost tento útok provedený hackerskou skupinou Magecart oznámila.

Až o zhruba polovinu nižším číslem se může podle dat uvedených na serveru enforcementtracker.com „pochlubit“ druhé Německo s celkovou částkou za pokuty za porušení GDPR ve výši 61.6 milionů eur (1,7 miliardy korun). Z větší části se na tom podílí doposud nejvyšší v Německu uložená sankce pro internetový obchod švédského prodejce oděvů H&M. Ten musel v říjnu zaplatit 35,2 milionů eur (950 milionů korun) za zpracovávání osobních údajů způsobem, který neměl dostatečnou oporu v zákoně.

Mohlo by vás zajímat

Třetí v pořadí zemí EU je italský dozorový úřad Garante, který doposud udělil celkem 31 pokut za 57,4 milionů eur (1,5 miliardy korun). Z této částky musel téměř 29 milionů eur (783 milionů korun), doposud nejvíce v Itálii, zaplatit letos v lednu telefonní operátor TIM za neoprávněné zpracovávání dat, agresivní marketing a nesprávný sběr klientských souhlasů.

Čtvrtou nejvyšší celkovou částku za porušení GDPR uložil v šesti pokutách v celkové hodnotě 51,4 milionů eur (1,4 miliardy korun) francouzský úřad na ochranu osobních údajů. Následuje Rakousko (18 milionů eur), Švédsko (7 milionů eur) a Španělsko (4 miliony eur).

Pět nejvyšších pokut tvoří téměř tři čtvrtiny celkové částky

Celkem se v Evropské unii částky za pokuty za pochybení vůči GDPR od počátku jeho platnosti do letošního října vyšplhaly na 344 milionů eur (zhruba 9,3 miliardy korun). Z toho 119 milionů (3,2 miliardy korun) bylo uděleno jen v letošním roce.

Graf: Celková suma pokut za porušení GDPR od července 2018 do října 2020. Zdroj: GDPR Enforcement Tracker

Zajímavé je, že zhruba 245 milionů eur, tedy 70 procent, této částky, tvoří pouhých pět pokut. Vedle již zmiňovaných 110 milionů eur pro hotelovou síť Marriott je to 50 milionů eur pro společnost Google udělených francouzskými úředníky za špatné nastavení uživatelského souhlasu. Třetí historicky nejvyšší sankcí ve výši 35,2 milionů eur byla postižena, jak již bylo uvedeno, společnost H&M, následována též zmíněnými TIM a British Airways.

Ze sebraných dat rovněž vyplývá, že celkem 164,4 milionů eur padlo za nedostatečnou oporu v zákoně při zpracovávání údajů a 153 milionů eur za nedostatečná technicko-organizační opatření (tedy ochranu dat uvnitř společnosti jako jsou přístupová práva, zálohování apod.). Obě provinění představují 95 procent z celkově uložené částky a jsou tak nejzásadněji postihovaným prohřeškem vůči GDPR.

Díky několika obřím sankcím zmíněným výše jsou statisticky nejvíce pokutovány společnosti z mediálního a telekomunikačního sektoru (116 milionů eur) a společnosti nabízející hotelové a ubytovací služby (110 milionů eur). Nicméně z hlediska počtu pokut je poměr vyrovnanější. Nejčastěji jsou pokutovány průmyslové a obchodní společnosti (93 z celkových 390 pokut), mediální a telekomunikační sektor (88) a veřejný sektor (67).

[/mn_protected]

Helena Sedláčková