Hlavní navigace

Jaké budou sankce při porušení GDPR a lze se nějak bránit?

Jiří Matzner

S řadou nových povinností GDPR zavádí také vysoké pokuty a sankce za jeho porušení. Jak vysoké budou a v jaké míře bude dodržování nařízení prováděno?

Doba čtení: 5 minut

Dne 25. května nabylo účinnosti nové nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“). 

O tomto nařízení se dlouho mluvilo jako o přelomovém předpisu v oblasti ochrany osobních údajů, který nejen sjednotí úpravu ochrany osobních údajů napříč Evropskou unií, ale i významně posílí ochranu osobních dat fyzických osob obecně a pokusí se zároveň alespoň udržet krok s technologickým vývojem současnosti. 

S řadou nových povinností GDPR zavádí mimo jiné také vysoké pokuty a sankce za jeho porušení, na jejichž dodržování bude v České republice dohlížet dozorový úřad, kterým je Úřad pro ochranu osobních údajů (dále jen „úřad“).

Jak vysoké budou pokuty a sankce za porušení kterých povinností a v jaké míře lze očekávat, že úřad bude jejich dodržování kontrolovat a sankcionovat? Pokud u vás úřad zjistí jakékoliv porušení nařízení GDPR, lze očekávat uložení sankce spíše ve vyšší nebo nižší hranici? Na základě jakých kritérií bude úřad výši sankcí stanovovat a je možné se proti případnému rozhodnutí o uložení pokuty nějakým způsobem bránit? Pojďme se na řešení těchto otázek podívat o něco blíže.

Výše sankcí ukládaných podle GDPR

Podle článku 83 odst. 4 nařízení GDPR se výše sankcí může vyšplhat až na 10 000 000 EUR nebo, jedná-li se o podnik, až do výše 2 % celosvětového ročního obratu, a to například při porušení povinností týkajících se jmenování pověřence pro ochranu osobních údajů a výkonu jeho činnosti, podmínek a náležitostí smluvního vztahu mezi správcem a zpracovatelem osobních údajů, vypracování záznamů o činnostech zpracování, nedodržení předepsaných požadavků na zabezpečení osobních údajů nebo povinnosti ohlašování případů porušení zabezpečení osobních údajů. 

Čtěte také: Jak si správně vytvářet evidenci o zákaznících a jejich objednávkách dle GDPR? 

Dále podle článku 83 odst. 5 nařízení GDPR může úřad ve vybraných případech uložit ještě o něco vyšší pokuty, a to až do výše 20 000 000 EUR nebo, jde-li o podnik, až do výše 4 % celosvětového ročního obratu. Tyto nejvyšší možné sankce může úřad ukládat například při porušování (resp. nedodržování) základních zásad zpracování osobních údajů stanovených nařízením, podmínek a náležitostí týkajících se souhlasu se zpracováním osobních údajů, jsou-li osobní údaje zpracovávány na základě tohoto titulu, podmínek pro zpracovávání tzv. zvláštních kategorií osobních údajů (tj. citlivých údajů – jako např. osobních údajů vypovídajících o rasovém či etnickém původu, politických názorech, náboženském vyznání, údajů o zdravotním stavu, sexuální orientaci atp.), porušování práv subjektů údajů (např. práva na výmaz, opravu, omezení zpracování, přenositelnost údajů atp.), nedodržování příkazů úřadu, porušování povinností stanovených pro předávání osobních údajů do třetích zemí a mnoho dalšího.

Kritéria pro určování výše správních pokut

Podle oficiálních výkladů nařízení GDPR ke správnímu pokutování by sankce měly být vždy adekvátní reakcí na povahu, závažnost a důsledky konkrétního porušení nařízení GDPR. Úřad proto musí při ukládání pokut vždy posoudit veškeré okolnosti daného případu a učinit tak způsobem, který je konzistentní a objektivně odůvodněný. Úřad by tak měl sankce ukládat způsobem, který je účinný, přiměřený a odrazující. 

Psali jsme: Zneužívali auta pro osobní účely. Firma do nich proto dala GPS. Co na to GDPR?

Při rozhodování o tom, zda pokutu uložit a v jaké výši, úřad zohlední především:

  • povahu, závažnost a délku trvání porušení, 
  • počet dotčených subjektů údajů a míru škody, která jim byla způsobena, 
  • zda k porušení došlo úmyslně nebo z nedbalosti, 
  • kroky podniknuté správcem či zpracovatelem ke zmírnění způsobených škod,
  • míru odpovědnosti správce nebo zpracovatele za škodu, s přihlédnutím k zavedeným bezpečnostním opatřením, 
  • případná předchozí porušení GDPR správcem či zpracovatelem, 
  • míru spolupráce s úřadem za účelem nápravy daného porušení a zmírnění jeho možných následků, 
  • kategorii osobních údajů dotčených porušením (např. zda šlo o citlivé údaje či nikoliv),
  • způsob, jakým se úřad o porušení dozvěděl (zejména zda správce či zpracovatel porušení sám oznámil či nikoliv).

Těmito kritérii je proto nezbytné se v případě vzniklého incidentu porušení zabezpečení osobních údajů řídit tak, aby eventuální sankce ze strany úřadu byly v případě jejich uložení co nejnižší. Úřad bude při rozhodování o sankcích v neposlední řadě přihlížet i k tomu, zda správce či zpracovatel akceptuje a dodržuje určitý kodex chování nebo uplatňuje schválený mechanismus pro vydávání osvědčení dokládající soulad s požadavky GDPR.

Čtěte také: Jak je to s GDPR a transparentností?

Lze se proti uloženým sankcím bránit?

Jak již bylo uvedeno, o pokutách a sankcích (vč. určení jejich případné výše) bude v České republice rozhodovat úřad. Proti rozhodnutí úřadu o uložení pokuty nebo jiného nápravného opatření dle GDPR bude možné v souladu s ustanovením § 152 zákona č. 500/2004 Sb., správní řád, v platném znění, podat řádný opravný prostředek, kterým je tzv. rozklad. O podaném rozkladu bude následně rozhodovat předsedkyně úřadu, která bude moci napadené rozhodnutí buď potvrdit, zrušit, nebo změnit. Proti takovémuto rozhodnutí předsedkyně úřadu o rozkladu se sice již nebude možné dále odvolat, bude jej však možné dále napadnout žalobou ke správnímu soudu. V případě uložení sankce úřadem se tak zjevně bude možné dostupnými právními mechanismy bránit a rozhodnutí přezkoumávat u vyšších instancích, které budou schopny uloženou pokutu případně i zmírnit. Rozhodně však není namístě na tyto prostředky obrany spoléhat, nýbrž se raději soustředit na to, aby k porušení GDPR v prvé řadě vůbec nedošlo.

WT 100 tip v článku hlavy

Čtěte také: Mohou pokuty za porušení GDPR ohrozit vaši firmu?

Závěr

Po nabytí účinnosti nařízení GDPR lze bezesporu ze strany úřadu vůči správcům a zpracovatelům osobních údajů očekávat spíše větší benevolenci nežli nadměrnou přísnost. Přehnané obavy z provádění rozsáhlých kontrol úřadem tak určitě nejsou nutné. Přesto, že nové povinnosti plynoucí z nařízení GDPR jsou vcelku rozsáhlé, mnoho podmínek a záležitostí týkajících se ochrany osobních údajů přeci jen zůstává beze změny. Pokud jakožto správci nebo zpracovatelé nezpracováváte ve velkém rozsahu citlivé údaje, nezpracováváte data ve velkých objemech elektronicky nebo online (např. v cloudu) nebo neobchodujete s databázemi obsahujícími osobní údaje bez platných souhlasů fyzických osob, neměli byste se mít čeho obávat. V zásadě bude stačit pohlídat si základní povinnost vyplývající z GDPR a pokuta by vám hrozit neměla.