Hlavní navigace

Mohou pokuty za porušení GDPR ohrozit vaši firmu?

Jana Langerová

Jak se blíží schválení GDPR, tak se častěji hovoří také o pokutách. Čím vším se budou při jejich ukládání řídit dozorovací orgány? A co vám může pomoci?

Doba čtení: 6 minut

K evropskému nařízení o ochraně osobních údajů se vážou také pokuty a sankce, které bude udělovat dozorový orgán. Tím je v České republice Úřad pro ochranu osobních údajů (ÚOOÚ). Ten bude po nabytí platnosti nařízení (25. května 2018) stále fungovat stejně, jen mu přibude také mezinárodní spolupráce. Hlavním úkolem bude monitorovat dodržování obecného nařízení. A pokud ho příslušné subjekty dodržovat nebudou, tak bude naším úkolem je k nápravě přimět, vysvětluje mluvčí ÚOOÚ Tomáš Paták. Dozorové orgány pracují nezávisle na vnitrostátních vládách, správcích a zpracovatelích, ale požaduje se od nich, aby spolupracovaly s cílem zajistit jednotné uplatňování a prosazování GDPR.  

Výše pokut se odvíjí podle závažnosti porušení, kterého se správce údajů dopustil, a je zde mnoho okolností. Nařízení neuvádí žádné přesné sumy, ale jen maximální částky (stropy), které mohou být až do výše 10 000 000 EUR a 2 % z celosvětového obratu pro podniky při méně závažných porušeních nebo 20 000 000 EUR a 4 % celkového ročního celosvětového obratu pro podniky při závažných porušeních povinností. Jakkoliv se tyto částky zdají příliš velké, tak legislativa nedovoluje, aby sankce byly jakkoli likvidační. Po celou dobu svého fungování takto k sankcím vždy úřad přistupoval a bude tak činit i nadále, dodává Paták. V případě, kdy je správce údajů fyzickou osobou nebo když by potenciální pokuta představovala neúměrnou zátěž, je možné nahradit pokuty napomenutím.

Psali jsme: Nejasnosti kolem výjimky z GDPR pro malé firmy. Nakonec ji využije jen málokdo

Zásady pro dozorové úřady

Když dozorový úřad posoudí fakta a odhalí porušení nařízení, je jeho úkolem zjistit nejvhodnější nápravná opatření k jeho vyřešení. Při uplatňování pravomocí se však musí řídit několika zásadami:

  1. Porušení nařízení by mělo mít za následek uložení „rovnocenných sankcí“.
  2. Stejně jako všechna nápravná opatření zvolená dozorovými úřady by i správní pokuty měly být „účinné, přiměřené a odrazující“.
  3. Příslušný dozorový úřad provede posouzení „v každém jednotlivém případě“. 
  4. Harmonizovaný přístup ke správním pokutám v oblasti ochrany údajů vyžaduje aktivní účast dozorových úřadů a výměnu informací mezi nimi. 

Rovnocennost se týká stejné úrovně ochrany ve všech členských státech a jde o rovnocenné pravomoci pro monitorování a zajišťování souladu s pravidly ochrany osobních údajů a dále rovnocenné sankce za porušování v členských státech. Hlavním cílem je v tomto případě dosáhnout zamezení rozdílům bránícím volnému pohybu osobních údajů v rámci vnitřního trhu. Požadavek na to, aby byly pokuty „účinné, přiměřené a odrazující“, se jeví jako nejdůležitější. Výše sankce by měly odrážet povahu, závažnost a také důsledky zjištěného porušení nařízení. Úkolem dozorových orgánů je posoudit všechna fakta a objektivně odůvodnit svá rozhodnutí. Postup vymáhání mohou upravovat vnitrostátní právní předpisy, konkrétně mohou například stanovit doplňující požadavky, jako je zasílání oznámení, jeho formu nebo lhůty pro vznesení námitek a odvolání.

Nařízení GDPR vyžaduje, aby byl každý případ posuzován individuálně a aby dozorový úřad při volbě nejvhodnějších opatření zohlednil všechny okolnosti. Dále se mu doporučuje zaujímat uvážlivý a vyvážený přístup. Aktivní účast dozorových úřadů zahrnuje spolupráci například mezi sebou navzájem, dále s vnitrostátními soudy nebo Evropskou komisí. Tyto subjekty si mohou vyměňovat zkušenosti, seznamovat se s osvědčenými postupy, což může vést i ke změně zákonů a zásad v této oblasti.

Psali jsme: Jak je to s GDPR a transparentností?

Posuzovací kritéria

Dozorové úřady by měly při posuzování kromě zásad dodržovat také několik kritérií:

  • povaha, závažnost a délka trvání porušení,
  • zda k porušení došlo úmyslně, nebo z nedbalosti,
  • kroky podniknuté správcem či zpracovatelem ke zmírnění škod způsobených subjektům údajů,
  • míra odpovědnosti správce či zpracovatele s přihlédnutím k technickým a organizačním opatřením jimi zavedeným podle článků 25 a 32,
  • veškerá relevantní předchozí porušení správcem či zpracovatelem,
  • míra spolupráce s dozorovým úřadem za účelem nápravy daného porušení a zmírnění jeho možných nežádoucích účinků,
  • kategorie osobních údajů dotčené daným porušením,
  • způsob, jakým se dozorový úřad dozvěděl o porušení, zejména zda správce či zpracovatel porušení oznámil, a pokud ano, v jaké míře,
  • v případě, že vůči danému správci nebo zpracovateli byla v souvislosti s týmž předmětem dříve nařízena opatření uvedená v čl. 58 odst. 2, splnění těchto opatření,
  • dodržování schválených kodexů chování podle článku 40 nebo schváleného mechanismu pro vydávání osvědčení podle článku 42,
  • jakákoli jiná přitěžující nebo polehčující okolnost vztahující se na okolnosti daného případu, jako jsou získaný finanční prospěch či zamezení ztrátám, přímo či nepřímo vyplývající z porušení

Povaha porušení souvisí se závažností a týká se rozsahu nebo účelu zpracování údajů, počtu dotčených subjektů údajů a také míře způsobené škody. Přihlédnout je nutné také k výši dané škody. Délka trvání porušení může odhalit například nezavedení náležitých preventivních opatření nebo neschopnost zavést požadovaná technická a organizační opatření. 

Ohledně porušení nařízení z nedbalosti nebo vědomě platí, že úmyslná porušení jsou závažnější a jsou častěji důvodem k uložení pokuty. Mezi tato porušení patří například pozměňování osobních údajů za účelem vyvolání klamného zdání o splnění cílů nebo obchodování s osobními údaji za účelem marketingu. Nedbalost pak naznačují situace spojené s neprostudováním a nedodržováním stávajících politik nebo selháním lidského faktoru.

Dále čtěte: Odpovědnost za osobní údaje je na správci. Na cloudové služby se nevymluvíte

Povinností správců a zpracovatelů údajů je zavést technická a organizační opatření, která jsou nutná k zajištění zabezpečení podle daného rizika, provést posouzení dopadů na ochranu údajů a zmírnit rizika, která zpracování osobních údajů představuje pro práva a svobody daných osob. Když dojde k porušení, měli by správci a zpracovatelé vynaložit veškeré úsilí na zmírnění následků. To může být bráno jako polehčující okolnost při určování výše pokuty. S tím souvisí také posouzení odpovědnosti v podobě toho, zda odpovědné subjekty udělaly všechno, co se od nich očekávalo, zda zavedly odpovídající technická a organizační opatření a podobně. Roli zde hraje také to, zda se správce nebo zpracovatel dopustil porušení nařízení poprvé nebo měl problémy již dříve.

Ptejte se odborníka v poradně GDPR po praktické stránce
Ing. Kamil Beránek
poradce pro GDPR

Za polehčující okolnost nelze považovat oznámení od samotného správce údajů, které je jeho povinností. Jedná se o novinku, kdy musí správce za určitých okolností ohlašovat bezpečnostní incident, který se dotkl zpracovávaných osobních údajů, Úřadu pro ochranu osobních údajů, případně i dotčeným fyzickým osobám, dodává Tomáš Paták. V opačném případě se dozorový úřad může o porušení nařízení dozvědět z vyšetřování, stížností, článků v tisku a na základě anonymních tipů.

Dále jsme psali: Začněte třídit databáze svých kontaktů, jen tak obstojíte po zavedení GDPR

Adaptační zákon obsahoval výjimky pro obce 

Ve středu 21. března vláda v demisi projednávala adaptační zákon, což je zákon doplňkový k obecnému nařízení, který dotváří komplexní úpravu ochrany osobních údajů při jejich zpracování. V rámci tohoto jednání ministerstvo vnitra chtělo snížit pokuty pro obce I. a II. typu (a pro jejich dobrovolné svazky, příspěvkové organizace a školy a školky) na 5 a 15 tisíc. Důvodem měl být především ohled na hospodářské poměry těchto obcí. Tato výjimka byla však zrušena, což vyvolalo nevoli a dá se očekávat, že se kvůli tomu schvalování adaptačního zákona ještě protáhne. 

Více informací o adaptačním zákoně: Na adaptační zákon se vláda v demisi vymlouvat nemusí, GDPR prostě bude

Takto vysoké sankce za neúmyslné porušení pravidel GDPR by byly pro řadu obcí zcela likvidační. Původní dohoda s ministrem Metnarem měla za cíl obce uklidnit, aktuální znění zákona je však staví na stejnou úroveň jako jiné právnické osoby, a to nepovažujeme za správné, říká členka předsednictva Sdružení místních samospráv ČR a poslankyně parlamentu Věra Kovářová. Tuto situaci uklidňuje Tomáš Paták, který tvrdí, že obavy Sdružení místních samospráv nejsou na místě, protože úřad opakovaně uvádí, že legislativa nedovoluje, aby sankce byly jakkoli likvidační. ÚOOÚ volí a bude volit vždy přiměřené sankce. Stav bez sankcí by byl naprosto nesystémovou věcí, protože by občanům hrozily vyšší postihy než obcím, dodává závěrem.