Prvé pokuty za nedodržanie GDPR

ZANECHAJTE KONTAKT A MY VÁM ZAVOLÁME

Minulý rok vstúpilo do platnosti Nariadenie GDPR, ktoré prinieslo nové záväzky pre podnikateľov. Je tomu tak z dôvodu rýchleho technologického rozvoja a globalizácie.

Prinášajú so sebou nové výzvy v oblasti ochrany osobných údajov. Fyzické osoby čoraz viac a častejšie zverejňujú svoje osobné údaje a ľudia by mali mať väčšiu kontrolu nad tým ako, komu a kde sa zverejnia ich osobné údaje.

V súvislosti s GDPR sa častokrát skloňujú slová ako pokuta alebo sankcia. Pokutám a sankciám vyplývajúcich z nedodržania GDPR sa venuje ôsma kapitola Nariadenia Európskeho parlamentu a Rady Európy 2016/679.

Nariaďuje prevádzkovateľom a sprostredkovateľom údajov zvýšenú zodpovednosť za ochranu osobných údajov jednotlivcov. Dozorné orgány majú zabezpečovať, aby boli práva jednotlivcov dodržiavané.

Na Slovensku má túto úlohu Úrad na ochranu osobných údajov. Ukladanie pokút musí byť podľa nariadenia primerané, účinné a odradzujúce. Cieľom pokuty nie je likvidácia, ale pokuta by mala mať preventívny a odstrašujúci charakter.

Podľa GDPR však pokuty nemôžu byť symbolické a adresát by ju mal pocítiť.

V tomto článku sa dozviete:

  • Od čoho závisí výška pokuty pri porušení GDPR
  • Aké sú najčastejšie porušenia GDPR
  • Aké boli prvé pokuty udelené za porušenie GDPR
  • Ako nedostať pokutu

Od čoho závisí výška pokuty?

Pokuty a sankcie sa posudzujú individuálne v závislosti od kritérií, ktoré sú uvedené aj v nariadení v článku 83, odsek 2. Podľa daných kritérií sa odvodzuje výška pokuty. Kritéria sú:

  1. povaha, závažnosť a trvanie porušenia
    Povinnosti prevádzkovateľov a sprostredkovateľov sú roztriedené podľa ich povahy.

    Na základe povahy sa delia pokuty do dvoch skupín, z toho vyplýva, že niektoré porušenia sú závažnejšie ako iné.
    V prvom prípade je porušenie ochrany pokutované 10 mil. alebo 2% z ročných tržieb. V druhom prípade je to až 20 mil. a 4% z ročných tržieb.

    Pozor ale: Subjekt z nižšej kategórie sa môže pokutovať aj vyššou sadzbou za predpokladu, že už bol úradom upozornený, prípadne napomínaný a neprišlo k náprave.
  2. úmyselný alebo nedbanlivostný charakter porušenia
    Úmysel zahŕňa vedomie aj úmysel v súvislosti s povahou priestupku. Neúmyselný znamená, že nebol zámer nariadenie porušiť.
  3. akékoľvek kroky, ktoré prevádzkovateľ alebo sprostredkovateľ podnikol s cieľom zmierniť škodu
    Prevádzkovateľom a sprostredkovateľom vyplýva povinnosť prijať také kroky a opatrenia, ktoré zmiernia dopad na Ochranu osobných údajov jednotlivcov.
  4. miera zodpovednosti prevádzkovateľa alebo sprostredkovateľa
    Výška pokuty sa odráža aj od toho, ako sa prevádzkovateľ zabezpečil proti úniku osobných údajov, či má vypracovanú GDPR dokumentáciu, či má poverenú osobu, ale aj to či sú v organizácii známe princípy, postupy a či sú uplatňované aj vo vyššom manažmente.
  5. akékoľvek relevantné predchádzajúce porušenia zo strany prevádzkovateľa alebo sprostredkovateľa
  6. miera spolupráce s dozorným orgánom pri náprave porušenia a zmiernení možných nepriaznivých dôsledkov porušenia
  7. kategórie osobných údajov, ktorých sa porušenie týka – do akej kategórie patrí osobný údaj. Niektoré kategórie sú citlivejšie ako iné
  8. spôsob, akým sa dozorný orgán o porušení dozvedel
  9. ak boli predtým voči dotknutému prevádzkovateľovi alebo sprostredkovateľovi v rovnakej veci prijaté opatrenia
  10. dodržiavanie schválených kódexov správania
  11. akékoľvek iné priťažujúce alebo poľahčujúce okolnosti prípadu

Úrad na ochranu osobných údajov vyhodnocuje dané kritéria a na základe toho sa rozhoduje o výške pokuty.

Najčastejšie porušenia nedodržania ochrany osobných údajov

Porušovanie sa týka najmä porušovania zásad zákonnosti, spravodlivosti, transparentnosti, porušenie minimalizácie údajov, neobmedzenie účelu použitia osobných údajov, porušenie zásady správnosti použitia osobných údajov, porušenie minimalizácie uchovávania a porušenie zásady integrity a dôvernosti.

Aj napriek tomu, že sa hovorí o preventívnom charaktere kontrol, pokuty sa udeľujú. Tu je pár príkladov – v EÚ ich samozrejme bolo udelených oveľa viac.

Prvé pokuty

Jedna z prvých udelených pokút bola hneď vedľa v Českej republike. Bolo to pre spoločnosť mall.cz, ktorá nezabezpečila osobné údaje takmer štvrť milióna zákazníkov. Pokuta bola vo výške 1,5 milióna českých korún.

Spoločnosti British Airways hrozí doteraz najvyššia pokuta za nedodržanie nariadenia GDPR vo výške 183 miliónov eur.

Francúzsky úrad na ochranu osobných údajov uložil 21. januára 2019 pokutu 50 miliónov EUR americkému IT gigantovi Google LLC.

Facebook sa tiež nezaobišiel bez pokuty, ktorá mu bola udelená len nedávno, a to vo výške 5 miliárd dolárov.

Na Slovensku dostali pokutu tri súkromné spoločnosti, jedno krajské mesto a jedna nezisková organizácia. Pokuty neboli samozrejme v takej výške, boli “len” poriadkové .

Ako (ne)dostať pokutu

Ako je vyššie spomenuté, sankcie za nedodržanie GDPR sú ozaj vysoké. Týka sa to všetkých firiem, no najmä takých, ktoré prichádzajú do styku s osobnými údajmi.

Podľa Asociácie zamestnávateľských zväzov a združení je hlavným dôvodom udelenia pokuty chýbajúca GDPR dokumentácia (zdroj: týždenník Trend). Zákon ako aj smernica sú častokrát pre firmy ťažko pochopiteľné a nezrozumiteľné.

Chybou je najmä veľmi nízke povedomie o tom, ako dokumentáciu pripraviť, čo všetko má obsahovať a ako opatrenia zaviesť do praxe. Kvalitné  vypracovanie GDPR dokumentácie zabezpečí nielen samotnú dokumentáciu, ale zároveň aj preberanie rizika pokuty na spoločnosť, ktorá GDPR dokumentáciu pripraví.

Akákoľvek pokuta nie je príjemná a nerobí spoločnosti dobré meno. Pre spoločnosť môže znamenať odliv zákazníkov a uprednostnenie konkurencie. Pre spoločnosti síce pokuty nie sú likvidačné, no stoja ich náklady, zodpovednosti a straty.

Nechajte preto vypracovanie GDPR na odborníkov a majte GDPR dokumentáciu pripravenú naozaj profesionálne.

Ak si chcete nechať bezplatne vypracovať cenovú ponuku, tak nás neváhajte kontaktovať!

Vložiť komentár

Kontaktujte nás