19 / 06 / 2018

5 otázek na téma Pokuty při porušení GDPR

Kdo na dodržování GDPR dohlíží? Jak vysoké jsou sankce při porušení? Jaká budou kritéria pro určení výše pokuty? Je možné se proti tomu bránit? A existuje prevence? Na tyto otázky jsme hledali odpovědi.

Jedním z největších „strašáků“ spojených se vstupem Obecného nařízení o ochraně osobních údajů v platnost byly především vysoké sankce při jeho porušení. Jak velké částky to jsou? A lze se nějak bránit? Na tyto a další otázky odpoví následující text.

1. Kdo na dodržování GDPR dohlíží?

Na dodržování nařízení dohlíží dozorový úřad. V České republice je jím Úřad pro ochranu osobních údajů (ÚOOÚ, dále Úřad).

2. Jak vysoké jsou sankce při porušení?

Článek 83 odst. 4 nařízení GDPR stanovuje sankce až do výše 10 000 000 eur nebo, jedná-li se o podnik, až do výše 2 % celosvětového ročního obratu. Tyto pokuty může ÚOOÚ uložit kupříkladu v případě porušení povinností týkajících se jmenování pověřence pro ochranu osobních údajů (DPO), výkonu jeho činnosti, ale také třeba v případě nesrovnalostí ve smluvních vztazích, v záznamech o činnostech zpracovávání osobních dat nebo při nedodržení požadavků na zabezpečení těchto dat.

V případě porušení (resp. nedodržování) základních zásad zpracování osobních údajů, nebo při porušování práv (jako je např. právo na výmaz), může Úřad dle článku 83 odst. 5 nařízení GDPR uložit pokutu až do výše 20 000 000 eur nebo, jde-li o podnik, až do výše 4 % celosvětového ročního obratu.

3. Jaká budou kritéria pro určení výše pokuty?

V tomto ohledu není třeba mít přehnaný strach. Dle oficiálního výkladu GDPR by sankce neměly být likvidační a měly by vždy být adekvátní k povaze a závažnosti konkrétního porušení nařízení. Pokuta by přesto měla být účinná, přiměřená a odrazující.

4. Je možné se proti pokutě bránit?

Ano. V České republice bude možné proti rozhodnutí ÚOOÚ podat v souladu s ustanovením § 152 zákona č. 500/2004 Sb., správní řád, v platném znění, řádný opravný prostředek – tzv. rozklad. Rozkladem se bude zabývat předsedkyně Úřadu. Proti jejímu rozhodnutí se již nebude možné odvolat, bude ale možné podat žalobu ke správnímu soudu.

5. Existuje prevence?

Z výše uvedených odstavců vyplývá, že přehnané obavy ze sankcí nejsou na místě, zároveň však situaci rozhodně není radno podceňovat. Doporučujeme pohlídat si především základní práva a povinnosti vyplývající z nového nařízení. Pokutě byste se tak měli vyhnout.

V případě, že si při zavádění nových opatření vyplývajících z GDPR nebudete s něčím vědět rady, neváhejte se na nás obrátit. Rádi vám pomůžeme a hrozbu případné sankce odvrátíme.

GDPR je obecné nařízení o ochraně osobních údajů (z angličtiny General Data Protection Regulation). Patří k novým revolučním legislativám EU, která výrazně zvýší ochranu osobních dat. Výrazně ovlivní nakládání s osobními daty vašich zaměstnanců i klientů.

Ochrana osobních údajů, s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. Nařízení přináší revoluci v ochraně osobních údajů. GDPR se týká všech firem, institucí, ale i jednotlivců a online služeb, které zpracovávají data uživatelů.

Dát evropským občanům šanci mít větší kontrolu nad tím, co se s jejich daty děje. GDPR zavádí enormní pokuty za porušování nových, přísnějších pravidel v ochraně osobních údajů.

EU nařizuje větším zpracovatelům dat zřídit nezávislou kontrolní funkci DPO (Data Protection Officer), tzv. pověřence pro ochranu osobních údajů. Jeho úkolem bude dohlížet na řádné zacházení s osobními daty a hlásit možné úniky dat či porušení zákona.