Norský úřad pro ochranu osobních údajů dal nedávno jasně najevo, že vůči nedodržování nařízení GDPR není lhostejný a udělené pokuty budou více účinné a odrazující než přiměřené.
O tomto tvrzení přesvědčilo v případě udělení pokuty ve výši 250 mil. Kč norské společnosti Grindr, která provozuje světově nejrozsáhlejší mobilní aplikaci sloužící pro randění jejich uživatelů s menšinovou sexuální orientací. Udělená pokuta společnosti Grindr se ve světovém žebříčku dostala mezi 10 nejvyšších udělených pokut.
Společnost s jejich obchodními partnery shromažďovala a sdílela osobní údaje bez řádného souhlasů uživatelů mobilní aplikace. Jednalo se zejména o sdílení jejich polohy, IP adresy, značky, modelu a operačního systému zařízení, které pro aplikaci využívají.
Vyjádření úřadu bylo jednoduché. Způsob uděleného souhlasu „berte nebo nechte být“ nesplňuje nepodmíněnost a dobrovolnost udělení souhlasu, které nařízení vyžaduje. K udělení tak vysoké pokuty také přispěl fakt, že aplikace zpracovává údaje o sexuální orientaci uživatelů, tedy zpracovává zvláštní kategorii osobních údajů, na kterou se vztahují přísnější podmínky jejich zabezpečení. Sdílení těchto informací v kombinaci se sdílením polohy může být pro uživatele nebezpečná.
Tato organizace nejspíše nebude poslední, kterou podobně vysoká pokuta čeká. Norská rada spotřebitelů je připravena bránit subjekty a jednat proti organizacím, které se chovají nezákonně a věří že byl stanoven precedent, který dává Norsku jasnou zprávu.
Vysoké pokuty za porušení podmínek vyjádření souhlasu udělil i český Úřad pro ochranu osobních údajů. Stalo se tak v případě společnosti zabývající se prodejem ojetých automobilů, která bez souhlasu subjektů, zasílala obchodní sdělení. ÚOOÚ této společnosti udělil pokutu ve výši 6 mil. Kč. Na Slovensku zatím tak vysoké pokuty nepadly.
Nařízení GDPR vstoupilo v platnost 25. května 2018 avšak stále se v praxi setkáváme s mnoha případy, kdy organizace požadují udělení vašeho souhlasu, který pro zpracování nepotřebují nebo si souhlas transparentně nevyžádají. Ne vždy se ovšem jedná o špatně nastavený proces organizace nýbrž o nedostatečné informování pracovníků, kteří jednají protiprávně, aniž by si to uvědomovali. Na druhé straně existuje i mnoho organizací, které si se zněním nařízení poradily.
Přehled udělených pokut za porušení GDPR v EU (k 1.12.2020)
| Země | Organizace | Obor | Pokuta |
| Velká Británie | British Airways | Letecký dopravce | € 204,6M |
| Francie | Internetový gigant | € 50M | |
| Itálie | TIM SpA | Telco operátor | € 27,8M |
| Chorvatsko | neuvedeno | Banka | € 20M |
| Rakousko | Austrian Post | Poštovní služby | € 18M |
| Německo | Deutsche Wohnen | Nemovitosti | € 14,5M |
| Švédsko | Internetový gigant | € 7M | |
| Bulharsko | National Revenue Agency | Daňový orgán | € 2,6M |
| Nizozemí | UWV | Pojišťovna | € 0,9M |
| Polsko | morele.net | Online prodejce | € 0,6M |
| Belgie | Internetový gigant | € 0,6M | |
| Portugalsko | neuvedeno | Nemocnice | € 0,4M |
| Španělsko | La Liga | Fotbalová asociace | € 0,3M |
| Řecko | OTE | Telco operátor | € 0,2M |
| Norsko | Oslo Municipal Education Dep. | Školství | € 0,2M |
| Dánsko | IDdesign | Prodej nábytku | € 0,2M |
| Rumunsko | Raiffeisen Bank | Banka | € 0,2M |
Text zpracovala Gabriela Halámka Slámová, Security Specialist, a tabulku Jaromír Veber, Security Specialist, ve společnosti AEC.
