Směrnice GDPR – otázky – 11. Sankce, pokuty

11. Sankce, pokuty

Jaké jsou podmínky pro ukládání pokut?

Ukládání správních pokut musí být účinné, přiměřené, ale zároveň odrazující. Správní pokuty se ukládají podle okolností každého jednotlivého případu, a to kromě či namísto opatření uvedených v čl. 58 odst. 2 písm. a) až h) a j) Obecného nařízení. Podstatné tedy je, že nikoli za každé porušení Obecného nařízení musí být udělena pokuta, ale správce může být například nejprve upozorněn, že zamýšlené operace zpracování pravděpodobně porušují Obecné nařízení, nebo může být správci, jehož operace zpracování porušily Obecné nařízení, uděleno napomenutí nebo mu může být nařízeno, aby vyhověl žádosti subjektu údajů. Správci může být mezi dalšími též nařízeno uvést zpracování do souladu s Obecným nařízením atd.

Není tak pravdou, že každé porušení Obecného nařízení bude představovat uložení správní pokuty.

Jak vysoká může být udělená pokuta?

V souvislosti s Obecným nařízením je často skloňována výše pokut, kterou lze za porušení udělit. Výše pokut je rozdělena do dvou skupin dle porušení, jakého se správce dopustil. Pokutu lze udělit buď do výše 10 000 000 EUR (nebo až do 2% celkového ročního celosvětového obratu, jde-li o podnik) nebo do výše 20 000 000 EUR (nebo až do 4% celkového ročního celosvětového obratu, jde-li o podnik). Rozdělení do dvou skupin odráží důležitost porušených povinností, kdy ve skupině s vyšší sazbou jsou povinnosti, u jejichž porušení je očekávána vyšší intenzita zásahu do práva na ochranu osobních údajů, které Obecné nařízení zajišťuje. Do nižší sazby spadá např. porušení ustanovení týkajících se záznamů o činnostech zpracování či posouzení vlivu na ochranu osobních údajů, zatímco do vyšší sazby jsou například zahrnuta porušení povinností upravujících zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování zvláštních kategorií osobních údajů a práva subjektu údajů.

Jsou při ukládání pokut polehčující či přitěžující okolnosti?

Polehčující a přitěžující okolnosti jsou vyjmenovány v čl. 83 odst. 2 písm. a) až k) Obecného nařízení. Brána v úvahu bude zejména povaha, závažnost a délka trvání porušení s přihlédnutím k povaze, rozsahu a účelu zpracování, kategorií údajů a počtu dotčených subjektů údajů, zda se jednalo o úmyslné či nedbalostní porušení, kroky podniknuté správcem a spolupráce s Úřadem pro ochranu osobních údajů atd. Viz úplný výčet okolností, které se při rozhodování o výši pokuty zohledňují.

Jak může postupovat subjekt údajů, pokud mu vznikla v souvislosti se zpracováním jeho osobních údajů škoda?

Pokud vznikla subjektu údajů hmotná či nehmotná újma v důsledku porušení Obecného nařízení ze strany správce či zpracovatele, má právo na úhradu újmy. Nejčastěji to bude znamenat obrátit se přímo s žádostí o náhradu na správce či zpracovatele, a pokud ten nebude dobrovolně plnit, bude se subjekt údajů muset obrátit na soud.

Bude nadále platit oznamovací povinnost, tak jak platí dnes pro některá zpracování?

Oznamovací povinnost již není obsažena v Obecném nařízení a bude tedy s novelou zákona o ochraně osobních údajů zrušena v plném rozsahu. Oznamovací povinnost je částečně nahrazena záznamy o činnostech zpracování a povinností v některých případech zpracování konzultovat s Úřadem pro ochranu osobních údajů (viz otázka: Kdy musí správce konzultovat zpracování osobních údajů?).

Mohlo by vás zajímat


zdroj: Pracovní skupina WP29, www.uoou.cz, aktualizováno 26.6.2017

Košík