Menu

Kolik zaplatíte za porušení GDPR?

Konečně padlo rozhodnutí o tom, jak budou pokuty za porušení GDPR vyměřovány. Pracovní skupina WP29 (Working Party 29) totiž představila dlouho očekávané vodítko ke stanovování pokut.

Stáhnout si ho můžete například na stránkách Úřadu pro ochranu osobních údajů.

Pokud však očekáváte jasný a ucelený přehled pokut, budete zklamaní. Pracovní skupina WP29 zatím nedošla tak daleko, aby stanovila konkrétní částky. Představila ale kritéria hodnocení, která vám pomohou sestavit si vlastní scénář pokutování.

Celý dokument také doprovází vztyčený ukazováček, který správce a zpracovatele osobních údajů jasně varuje: Neignorujte nařízení GDPR. Nevyplácí se to.

Když se proviníte, budou orgány kontrolující dodržování GDPR (v České republice je to Úřad pro ochranu osobních údajů) posuzovat především „povahu, závažnost a dobu trvání protiprávního jednání“.

Z vodítka vyplývá, že v některých případech by nemusely hned padat pokuty, ale úřad by vás mohl jen „pokárat“ nebo „napomenout“. Formu upozornění zvolí úřady v situacích, kdy zpracovatelé neohrozí práva dotčených občanů. K pokárání se úřady uchýlí také v případech, kdy by pokuta „nepřiměřeně zatěžovala“ fyzickou osobu.

Dokument také uvádí, že konkrétní výše pokut budou pravděpodobně stanovené v dalším souboru pokynů. Už teď jsou ale známá zmiňovaná kritéria, kterými se budou úřady řídit.

  • Počet osob, kterých se porušení GDPR dotklo. Platí, že čím více lidí zpracovatel ohrozí svým jednáním, tím vyšší bude pokuta. Více zaplatí také organizace, které budou nařízení porušovat opakovaně.
  • Účel zpracování osobních údajů. Úřady budou zkoumat, jak se organizace ke zpracování osobních údajů postavila z hlediska specifikace účelu i kompatibilního použití.
  • Škody, které subjekty utrpěly. Ačkoliv úřady nemají pravomoci přiznávat odškodnění občanům, jejichž údaje byly zpracovávány, měly by zohlednit škodu, kterou lidé utrpěli.
  • Doba trvání protiprávního jednání. Nejde ani tak o samotný čas, ale také o prokázání úmyslu, podcenění vhodných preventivních opatření nebo o neschopnost provést technická zabezpečení.

Toto jsou klíčové body, které budou úřady zohledňovat při stanovování pokut za porušení GDPR.

O finální částce ale rozhodnou i další ukazatele. Přitěžující okolností bude nedbalost nebo úmyslné porušení nařízení. Příkladem je situace, kdy společnost bude navenek působit tak, že přijala opatření vedoucí k ochraně osobních údajů, ale skutečnost bude opačná. Jako nedbalost bude chápána situace, kdy společnost nezvládne držet krok s nejnovějšími bezpečnostními postupy nebo nedokáže dodržovat zásady, jež sama zavedla.

Vyšší pokuty přiklepnou úřady také ve chvíli, kdy zpracovatel nebo správce osobních údajů nedodrží doporučení ze strany pověřenců neboli DPO. To může být považované za záměrné porušení nařízení. Z tohoto důvodu je pro organizace klíčové, aby si vybraly vhodného a hlavně dostatečně zkušeného odborníka s letitými zkušenostmi v oblasti ochrany dat. Tzv. „rychlokvašky“, kterých se za poslední dobu vyrojily desítky, mohou pro společnosti představovat výrazné riziko právě s ohledem na fakt, že za porušení GDPR pravidel bude vždy zodpovědná samotná organizace, resp. její statutární orgán, nikoliv pověřenec.

Existují ale i polehčující okolnosti, například „zodpovědné jednání a vynaložené úsilí“, které zpracovatel nebo správce osobních údajů prokázal. Za dobré zabezpečení osobních údajů ale plusové body nezískáte, protože to je považováno za neoddiskutovatelnou povinnost každé organizace.

A teď už konečně alespoň nějaká čísla.

Vodítko neprozrazuje konkrétní výši pokut pro jednotlivá provinění, přesto alespoň trochu napovídá:

  • Maximální výše pokuty může být 20 milionů eur, respektive 4 % z celkového ročního obratu firmy.

O velikosti firmy pokutování rozhodně nebude. Nicméně platí princip přiměřenosti, a tak pokutu v procentech svého globálního obratu dostane maximálně nadnárodní společnost, která porušila ochranu dat v několika státech a podílela se na něm jak mateřská, tak i její dceřiné společnosti.

Přesto se pokutám nevyhnou ani menší společnosti jen s několika málo zaměstnanci, ale určitě v jiných číselných řádech.

Zaplacením pokuty však celá nepříjemnost nemusí skončit. Správci a zpracovatelé osobních údajů totiž mohou čelit žalobám podaným samotnými fyzickými osobami, které mohou žádat o náhradu škody.

Pokud vás zatím GDPR míjelo, přečtěte si, jak ho můžete ve své firmě uchopit, nebo si udělejte jednoduchý test připravenosti na GDPR.

Mgr. Eva Škorničková
Mgr. Eva Škorničková

Jsem nezávislá právní konzultantka ochrany osobních dat a bezpečnosti IT. O obsah portálu GDPR.cz pečuji jako jeho zakladatelka a šéfredaktorka s podporou redakčního týmu. Máte-li pro nás zajímavý tip, sem s ním!


Hlavní partneři

GDPR vstoupí v účinnost za :

  dnů :   hodin :   minut :   vteřin

: 25. května 2018