Pokuty dle GDPR

GDPR Petr Gondek

Zanedlouho to bude rok, kdy nařízení GDPR skončilo přechodné období k jeho implementaci. Mnoho jedinců i společností si na jeho výklad učinilo patent. Jejich přesvědčení již začínají být prověřována dozorovými orgány a vznikají první precedenty. Zvýšený zájem vede k nárůstu hlášení incidentů porušení bezpečnosti dat.

Naše firemní zkušenost je taková, že se skoro všichni zaměřili jen na právní otázku, získání souhlasů na vše, ale velice málo společností provedlo alespoň nějakou revizi dat, jaká data mají, kdo k nim má přístup a zda je vůbec po nějaké době skartují.

Zatímco náš úřad zatím udělil jen dvě nepravomocné pokuty ve výši 10.000 CZK, v okolních státech jsou pokuty už běžně udělovány.

Polský úřad UODO udělil pokutu ve výši 943.000 Zlotých za nesplnění informační povinnosti správce. Pokutovaná společnost nesplnila svou povinnost vůči více než 6 milionu subjektů. Upozornil bych hlavně na to, že potrestaná společnost sbírala údaje z veřejných rejstříků a zdrojů a informovala pouze ty uživatele, u kterých evidovala email. Správce sice splnil informační povinnost i na svých webových stránkách, ale podle UODO mnoho subjektů nemělo ani ponětí o tom, že společnost zpracovává jejich údaje a proto nemohli uplatnit svá práva. Správce také neučinil žádné kroky k odstranění porušení nebo nějakou snahu o to. I toto vedlo k výši pokuty. Správce argumentoval tím, že odeslání doporučené zásilky by vedlo k neúměrným nákladům, což úřad zamítl s tím, že předpisy doporučenou zásilku nevyžadují. U mnohých subjektů navíc správce evidoval telefonní čísla.

V Polsku je pokuta pravomocná, odvolání správce jde k soudu, který rozhodne po potvrzení či zrušení pokuty.

Holandský dozorový úřad (DPA) je prvním, který zveřejnil politiku udělování pokut. Vzhledem k tomu, že záměrem nařízení GDPR je i sjednocování postupů dozorových úřadů, může jít o zajímavý precedens, kterým by se nyní měli řídit i ostatní úřady v EU.

DPA připravil pět příloh, které rozdělil do čtyř kategorií podle velikosti společnosti, minimální a maximální výši pokuty. Kritéria na výši pokuty vycházejí z doporučení skupiny WP29:

  • povaha, závažnost a doba trvání protiprávního jednání
  • úmyslné nebo nedbalostní povahy protiprávního jednání
  • opatření přijatá správcem nebo zpracovatelem za účelem omezení škod
  • stupeň odpovědnosti správce nebo zpracovatele s přihlédnutím k technickým a organizačním opatřením, která provádějí
  • předchozí příslušná porušení ze strany správce nebo zpracovatele
  • stupeň spolupráce s orgánem dohledu při nápravě protiprávního jednání a omezení jeho možných negativních účinků
  • kategorie porušených osobních údajů
  • způsob, jakým se orgán dozoru dozvěděl o protiprávním jednání
  • soulad s opatřeními uvedenými v článku 58.2, GDPR
  • sladění se schválenými kodexy chování
  • jakýkoli jiný přitěžující nebo polehčující faktor použitelný na okolnosti, jako jsou finanční zisky nebo ztráty, kterým bylo zabráněno

Petr Gondek, DPO, managing director GDPR Support s.r.o.