Hlavní navigace

Pokut u GDPR se zatím nebojte, úřad chce zprvu hlavně vysvětlovat

Daniel Morávek

Úřad pro ochranu osobních údajů nebude do přijetí adaptační legislativy GDPR primárně trestat méně závažná provinění, nýbrž hodlá hlavně vysvětlovat.

Doba čtení: 2 minuty

Jak uvedl Úřad pro ochranu osobních údajů (ÚOOÚ), k tomuto přístupu jej vede zásada subsidiarity trestně správní represe, která brání nadužívání správního trestání státem. Je povinností ÚOOÚ jako správního úřadu naplňovat principy dobré a efektivní veřejné správy a respektovat zásady správního trestání, uvedl úřad na svém webu.

Místo pokut domluva, alespoň na začátku

ÚOOÚ ujišťuje, že se v souvislosti s počáteční účinností GDPR a projednáváním adaptační legislativy v období před přijetím připravovaného zákona o zpracování osobních údajů zaměří především na zvyšování povědomí správců o vhodné ochraně údajů. V rámci kontrolní činnosti bude vyzývat a vést k nápravě, nikoliv tedy primárně trestat za méně závažná a nedbalostní pochybení, k nimž dochází zejména u malých správců. Toto vyjádření je určeno zejména správcům, jakými jsou například menší obce či drobní podnikatelé, kteří v nadcházejícím období přípravy adaptační legislativy (doprovodné k GDPR) zavádějí některý z nových nástrojů ochrany osobních údajů a uzpůsobují dosavadní zpracování, upřesnil ÚOOÚ.

Podle úřadu má být cílem každé veřejnoprávní kontroly v prvé řadě náprava protiprávního stavu a ochrana práv dotčených osob (subjektů údajů), nikoliv uložení pokuty. Úřad během posledních dvou let téměř v 500 případech namísto zahájení sankčního řízení (k projednání drobného, ojedinělého a méně závažného deliktu) informoval chybujícího správce a vyzval jej k okamžité nápravě vadného zpracování. Podle úřadu se tento postup v převážné většině případů osvědčil, neboť zajistil, že správce okamžitě změnil dosavadní postup a opravil vadný stav, tj. donutil správce vynaložit jisté úsilí k nápravě. V této v praxi hodlá ÚOOÚ pokračovat i do budoucna.

Za porušení GDPR hrozí vysoké pokuty

Za porušení GDPR lze udělit pokutu buď do výše 10 000 000 EUR (nebo až do 2 % celkového ročního celosvětového obratu, jde-li o podnik), nebo do výše 20 000 000 EUR (nebo až do 4 % celkového ročního celosvětového obratu, jde-li o podnik). Rozdělení do dvou skupin odráží důležitost porušených povinností, kdy ve skupině s vyšší sazbou jsou povinnosti, u jejichž porušení je očekávána vyšší intenzita zásahu do práva na ochranu osobních údajů, které obecné nařízení zajišťuje.

Do nižší sazby spadá např. porušení ustanovení týkajících se záznamů o činnostech zpracování či posouzení vlivu na ochranu osobních údajů, zatímco do vyšší sazby jsou například zahrnuta porušení povinností upravujících zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování zvláštních kategorií osobních údajů a práva subjektu údajů.