Pokuty za porušení GDPR v roce 2022 přesáhly 830 milionů eur

Zpět na blog

Z nejnovějších údajů analyzovaných společností Atlas VPN vyplývá, že v prosinci 2022 zaplatily společnosti za porušení různých zákonů o ochraně osobních údajů ve 1 401 případech celkem 2,83 miliardy eur. Z toho pokuty za porušení GDPR v roce 2022 činí 832 milionů eur, což je o 36 % méně než 1,3 miliardy eur zaplacených v roce 2021.

Loňský rok však nevyniká celkovou výší pokut, ale závažností obvinění uložených jedinému subjektu – společnosti Meta. Údaje pro analýzu byly získány z nástroje Enforcementtracker. Nejvyšší částka za porušení předpisů byla sice zaznamenána ve třetím čtvrtletí roku 2021, ale významné bylo i třetí čtvrtletí roku 2022, kdy byly podniky potrestány částkou 430 milionů eur. Ne všechny případy byly zveřejněny.

Meta byla opakovaně sankciována

Stojí za pozornost, že většinu pokut v roce 2022 zaplatil jediný technologický gigant – společnost Meta. Komise pro ochranu údajů (DPC), orgán pro prosazování GDPR v Irsku, uložila 5. září 2022 společnosti Meta Platforms Ireland Limited pokutu ve výši 405 milionů eur. V tomto případě byly zjištěny dva problémy se zpracováním osobních údajů týkajících se dětských uživatelů služby Instagram. E-mailové adresy a telefonní čísla dětí byly veřejně přístupné při používání funkce firemního účtu Instagram a profily dětí na Instagramu byly ve výchozím nastavení veřejné.

Další vysoká pokuta ve výši 265 milionů eur byla stejnému subjektu uložena 25. listopadu 2022, kdy DPC prohlásil, že Meta porušila dva články zákonů EU o ochraně osobních údajů poté, co byly v letech 2018 a 2019 z veřejných profilů získány údaje o uživatelích Facebooku z celého světa.

Kromě toho DPC vydala „důtku a příkaz“, který společnosti Meta ukládá, aby „uvedla své zpracování do souladu s právními předpisy provedením řady stanovených nápravných činností v konkrétní lhůtě“.

Společnost Meta se podřídila a provedla úpravy v požadovaném termínu. Do dnešního dne společnost Meta zaplatila za porušení GDPR přibližně miliardu eur. Od 25. května 2018 má nový evropský rámec pro ochranu osobních údajů dopad na mnoho podniků působících v EU. Protože má GDPR extrateritoriální povahu, vztahuje se i na společnosti sídlící mimo EU. Konkrétně je legislativa určena spíše k obraně práv subjektů údajů než k regulaci korporací. „Subjektem údajů“ je každý občan EU. Rozsah a složitost nařízení GDPR způsobily, že se pro většinu oddělení compliance stalo náročným úkolem. Je však nezbytné, protože s rostoucí propojeností světa je také stále obtížnější zůstat v anonymitě, což je jedno z nejzákladnějších práv, které by měl mít každý, i když to na druhé straně znamená, že podniky budou muset změnit svůj přístup ke shromažďování a zpracování údajů a také platit pokuty.

Zdroj: Atlas VPN

18. 1. 2023