A DLA Piper multinacionális jogi cég jelentésében olvashatjuk, hogy az Európai Bizottság hivatalos statisztikája szerint a 2018. május 25-től 2019. január végéig terjedő időszakban 41502 adatkezeléssel kapcsolatos incidenst jelentettek az Európai Uniós szervezetek, és csupán 91 esetben szabtak ki bírságot az illetékes. Az adatok a 28 tagot számláló Európai Unió 21 országából származnak. A legtöbb esetet Hollandiában, Németországban és az Egyesült Királyságban regisztrálták (5400, 12600 és 10600), ezekben az országokban történt az összes incidens közel kétharmada.
A GDPR megköveteli a szervezetektől, a személyes adatok illetéktelen kezekbe kerülését az inciens kiderülését követő 72 órán belül jelentsék a nemzeti adatvédelmi hatóságoknak és az érintett személyeknek. A kiszabható bírság összege 10 millió euróig vagy a szervezet globális éves bevételének a 2 százalékáig terjedhet.
A legnagyobb összegű kiszabott bírság az időszakban a Google-nek a francia CNIL hatóság által nemrégiben megítélt 50 millió euró volt. Ezt a büntetést a keresőkirály azért kapta, mert hirdetési célokra használt fel személyes adatokat, és ehhez nem kérte az érintettek beleegyezését.
Németországban a szabályozó hatóság 20 ezer euróval büntetett egy céget, mert nem titkosította az alkalmazottak jelszavait, mg Ausztriában 4800 euró büntetést kell kifizetnie annak a vállalatnak, amely egy CCTV videórendszerrel figyelte meg engedély nélkül az utcai járókelőket.
Mind ez ideig a kiszabott bírságok száma és mértéke (kivéve a Google büntetését) elenyésző volt ahhoz képest, amilyen nagy számban jelentettek adatvédelmi incidenseket. Ennek valószínűleg az az oka, hogy a szabályozó hatóságok egyelőre még ismerkednek a törvény alkalmazásával, vagy eleinte csak figyelmeztetik az előírásokat megsértőket.
Az adatok ugyanakkor azt mutatják, hogy a hatalmas bírságok által fenyegetett vállalatok felkészültek arra, hogy megfeleljenek a GDPR információszolgáltatási kötelezettségének. Az egyes országok között azonban óriási eltérések vannak e tekintetben. Ha például összevetjük a jelentett incidensek számát a népesség méretével, akkor Hollandia, Írország és Dánia áll az első három helyen, míg Németország és az Egyesült Királyság a 10. és 11. helyet foglalja el.
Románia, Olaszország és Görögország rendelkezik a jelentések legkisebb arányával 100 ezer lakosra nézve (1,2, 0,9 és 0,6).
A DLA Piper jelentése mindenesetre megállapítja, hogy "az adatkezelési incidensek szőnyeg alá söprése egy nagy kockázatokkal járó stratégia a GDPR esetében".