Pokutování za porušení ochrany osobních údajů přitvrdilo. Governance a systémy AI v hledáčku úřadů.
Zvýšení pokut
Zvýšení pokut

Evropské firmy porušující ochranu osobních dat platily v roce 2024 denně až 1 mil. až 3,5 miliónu EUR za porušování ochrany osobních údajů. Dozorové úřady se přitom nevěnovaly pouze velkým globálním kauzám známým z médií, výsledkem pokutování je široký záběr případů z běžných segmentů zpracování údajů, včetně energetiky, bankovnictví a poštovních služeb. Pokuty za porušení GDPR v roce 2024 dosáhly celkové částky 1,2 miliardy EUR.

Stížností, reportovací a auditní mechanismy vedou k tomu, že úřady jsou denně zásobovány stovkami hlášení porušení pravidel zabezpečení osobních údajů. Incidenty v ochraně údajů jsou dnes více způsoby evidovány a logovány nejen u samotných správců, v digitálním prostředí nelze pochybení utajit ani ignorovat. Správci a zpracovatelé dat byli v roce 2024 příliš často usvědčeni a zodpovídali se za to, že se nevěnovali zpracování dat systematicky, pracovali se zastaralými daty i procesy anebo zanedbávali revizi a obnovu bezpečnostních pravidel.

Z odůvodnění pokut za porušení GDPR vyplývá pro rok 2025 nový dozorový trend: Governance, správa osobních údajů a role managementu. Regulace a kontrola se stále více zaměřují na to, jakým způsobem je zpracování dat ve firmách řízeno a jaká je odpovědnost vedoucích pracovníků za nakládání s osobními daty, jak pečlivě vedení společnosti přistupuje k realizaci novinek a změn, jak průběžně dohlíží na nové procesy zpracování údajů.

Do hledáčku regulátorů a kontrolorů se v roce 2024 dostala nová technologie umělé inteligence (AI). Italský úřad pro ochranu osobních údajů společnosti OpenAI uložil pokutu ve výši 15 miliónů EUR za vícenásobné porušení pravidel ochrany osobních údajů při provozu aplikace ChatGPT. Mezi jinými vytknul zanedbávání politiky ochrany osobních údajů při trénování AI, neřešení bezpečnostních incidentů, neposkytování informací uživatelům a neověřování věku (dětí). 

Poměrně rychlá reakce úřadů ukazuje, že AI je dalším z GDPR hitů. Dodavatelé AI zatím nejsou příliš sdílní v tom, jak začlenili požadavky GDPR do základů systémů AI, jak v prostředí AI zabránit nedovolenému zpracování osobních údaji a jak konkrétně aplikovat vhodné a přiměřené metody k zajištění větší bezpečnosti a anonymity v prostředí AI. Každý správce přitom musí ještě před nasazením AI revidovat celou dokumentaci a upravit řadu opatření k ochraně osobních údajů. V roce 2025 tak jistě budou, vedle tvůrců AI, subjektem dohledu a kontroly také jednotlivé firmy, které AI využívají, neboť v rámci AI systému shromažďují a dále zpracovávají velké množství uživatelských, ale také neuživatelských osobních údajů.