Když v roce 2018 vstoupilo v platnost obecné nařízení o ochraně osobních údajů (GDPR), nastala v EU nová éra ochrany osobních údajů. Alespoň na papíře. Spotřebitelé dostali nástroje, jak se postavit za svá základní práva, zatímco úřady získaly závažné vyšetřovací pravomoci a možnost sankcionovat porušení pravidel vysokými pokutami. Téměř o sedm let později je realita mnohem chmurnější. U příležitosti letošního Dne ochrany údajů, který připadá na 28. ledna, noyb analyzovala aktuální statistiky EDPB o (ne)činnosti vnitrostátních orgánů pro ochranu údajů. Z údajů vyplývá, že v průměru pouze 1,3 % případů projednávaných orgány pro ochranu údajů vede k uložení pokuty. Nicméně, odborníci na ochranu údajů tvrdí, že že pokuty jsou nejúčinnějším způsobem, jak zajistit, aby společnosti dodržovaly zákony.
Přísné prosazování GDPR pouze na papíře. Když v květnu 2018 vstoupilo v platnost obecné nařízení o ochraně osobních údajů (GDPR), slibovalo posun k serióznímu přístupu k ochraně údajů. Evropští spotřebitelé postižení porušením ochrany osobních údajů dostali potřebné nástroje, aby si mohli stěžovat u svých vnitrostátních orgánů pro ochranu osobních údajů (DPA) - ty byly vybaveny potřebnými pravomocemi k vyšetřování všech druhů porušení a udělování správních pokut, aby se podobným prohřeškům v budoucnu zabránilo. Bohužel posledních 7 let ukázalo, že to bylo většinou jen zbožné přání. To potvrzuje i nová noyb analýza Statistik EDPB o činnosti úřadů v letech 2018 až 2023: V průměru pouze 1,3 % případů, které řeší orgány pro ochranu údajů, skutečně vyústí v pokutu. To odpovídá našim vlastním praktickým zkušenostem: Většina případů se táhne několik let, než je uzavřena dohodou nebo zcela zamítnuta.
Max Schrems: "Evropské orgány pro ochranu osobních údajů mají všechny potřebné prostředky k tomu, aby porušení GDPR náležitě sankcionovaly a udělovaly pokuty, které by podobným porušením v budoucnu zabránily. Místo toho často protahují jednání na roky - jen aby až příliš často rozhodly v rozporu se zájmy stěžovatele."
Žádný skutečný pozitivní příklad. Ačkoli se zdá, že některé úřady pro ochranu osobních údajů ukládají mnohem více pokut než jiné, všechna čísla se pohybují v jednociferných procentech - nebo jsou dokonce nižší. Slovenský orgán pro ochranu osobních údajů, který v letech 2018 až 2023 uložil pokuty v 6,84 % všech případů (počítáno jak stížnosti, tak šetření z vlastního podnětu), vede statistiky. Za ním následují Bulharsko (4,19 %), Kypr (3,12 %), Řecko (2,65 %) a Chorvatsko (2,54 %). Na opačném konci spektra stojí nizozemský orgán, který udělil pokuty v 0,03 % (!) všech případů, těsně následovaný Francií (0,10 %), Polskem (0,18 %), Finskem (0,21 %), Švédskem (0,25 %) a samozřejmě Irskem (0,26 %). Zbývající země se pohybují někde uprostřed.
Kliknutím sem si můžete prohlédnout plně interaktivní verzi níže uvedené mapy.
Kliknutím sem zobrazíte plně interaktivní verzi výše uvedené mapy.
Fenomén specifický pro ochranu údajů. Zdá se, že tento zjevný nedostatek závažných důsledků za porušení zákona je velmi specifický pro ochranu údajů. Jako příklad uveďme Španělsko: V roce 2022 španělský úřad pro ochranu údajů obdržel 15 128 stížností, ale vydalo pouze 378 pokut. To znamená, že statisticky pouze 2,5 % všech stížností skončilo pokutou. To zahrnuje zjevná porušení, jako jsou nezodpovězené žádosti o přístup nebo nezákonné bannery s cookies, která by teoreticky mohla být řešena rychle a standardizovaným způsobem. Pro srovnání: 3.ve Španělsku bylo vydáno 7 milionů pokut za překročení rychlosti (bez Baskicka a Katalánska). Podobné srovnání lze provést v podstatě u jakéhokoli dalších členských států EU.
Max Schrems: "Nějak se nedaří motivovat pouze orgány pro ochranu údajů, aby skutečně prosazovaly svěřené právo. V každé jiné oblasti porušení zákona pravidelně vede k peněžitým pokutám a sankcím. V současné době se zdá, že orgány pro ochranu údajů často jednají spíše v zájmu společností než v zájmu dotčených osob."
Údaje ukazují: více pokut = více dodržování předpisů. I když tato čísla nejsou nijak překvapivá, přesto jsou alarmující. A noyb průzkum mezi odborníky na ochranu údajů ukazuje, že právě peněžité pokuty motivují společnosti k dodržování zákonů. Na otázku týkající se nejúčinnějších donucovacích opatření 67,4 % respondentů odpovědělo, že rozhodnutí orgánu pro ochranu údajů proti jejich vlastní společnosti, která zahrnují pokutu, ovlivní rozhodující osoby, aby se rozhodly pro větší dodržování předpisů. Zajímavé je, že 61,5 % respondentů uvedlo, že i pokuty DPA proti jiným organizacím ovlivní dodržování GDPR jejich vlastní společností.
Kliknutím sem si můžete prohlédnout plně interaktivní graf níže.
Kliknutím sem si můžete prohlédnout výše uvedený plně interaktivní graf.
Uložené pokuty jsou vtip. Při bližším pohledu na výši pokut, které vnitrostátní orgány každoročně ukládají, je tento problém ještě jasnější. Irsko (475 902 000 EUR průměrná výše pokuty/rok) a Lucembursko (124 395 729 EUR průměrná výše pokuty/rok) ve statistikách v letech 2018 až 2023 zdaleka vedou. Na první pohled to může znít jako hodně peněz. Ale ve skutečnosti tomu tak není. Téměř všechny velké technologické společnosti jako Apple, Google, Meta a Microsoft sídlí v Irsku, takže irská DPC je vedoucím orgánem pro některé z největších případů vůbec. Lucembursko je naopak zodpovědné za společnosti, jako je Amazon. Ve skutečnosti musí být DPC nucena ke svému štěstí. noybdva největší případy proti Meta musel EDPB řešit oklikou, než DPC nakonec uložil společnosti pokutu v celkové výši téměř 1,6 miliardy eur. Pokud tuto částku odečteme, mnoho toho nezbývá.
Více rozpočtu, více rozhodnutí? Některé úřady opakovaně tvrdí, že by potřebovaly pouze více rozpočtu a zdrojů, aby mohly přijímat včasnější - a vysoce účinná - rozhodnutí. Při pohledu na statistiky EDPB, se rozpočet orgánů v letech 2020 až 2024 zvýšil až o 130 %. Například nizozemský orgán zaznamenal během čtyř let nárůst rozpočtu o 62 % - aniž by došlo k výraznému zvýšení uložených pokut. Pro představu: V roce 2023 měl nizozemský orgán pro ochranu údajů rozpočet téměř 37 milionů EUR, ale uložil pouze 1,98 milionu EUR pokut. To je rozdíl téměř 35 milionů eur, který ve státním rozpočtu zanechá obrovskou díru. Tento výpadek by však mohl být kompenzován důrazným vymáháním práva. Pokuty podle GDPR jdou státu na vrub vedoucího orgánu.
Kliknutím sem si můžete prohlédnout plně interaktivní graf níže.
Kliknutím sem si můžete prohlédnout výše uvedený plně interaktivní graf.
Téměř 40 % všech pokut díky noyb. Tento vzorec lze pozorovat v celé EU: V letech 2018 až 2023 uložily všechny orgány pro ochranu údajů v EU pokuty v celkové výši 4,29 miliardy EUR - z toho 1,69 miliardy EUR bylo výsledkem noyb soudních sporů. Jinými slovy: Téměř 40 % všech pokut uložených na základě GDPR má původ v noyb. To znamená, že ve skutečnosti se spíše než nedostatek možností jednat zdá, že chybí politická vůle postavit se technologickým gigantům.
