GDPR: Koľko zaplatíte za porušenie?
V novembri uplynulo 1,5 roka od účinnosti nových predpisov o ochrane osobných údajov známych ako GDPR.
Predpismi o ochrane osobných údajov sú Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len: „Nariadenie“), a zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len: „zákon o ochrane osobných údajov“). Slovenský dozorný orgán, ktorým je Úrad na ochranu osobných údajov SR (ďalej len: „úrad“) so sídlom v Bratislave vykonal v tomto období okolo cca 50 kontrol. Časť kontrol ešte nie je ukončených, časť je ukončených záznamami (čo znamená, že nebolo zistené žiadne porušenie predpisov o ochrane osobných údajov) a časť bola ukončená podpísaním protokolu o vykonaní kontroly.
Vzhľadom na to, že uloženie sankcie nie je pre úrad povinné, nie pri každom zistení porušenia bola aj uložená sankcia. Úrad uloží rozhodnutie podľa § 102 zákona o ochrane osobných údajov, ak zistí porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov ustanovených týmto zákonom alebo osobitným predpisom 1 pre oblasť ochrany osobných údajov účastníkom konania. Rozhodnutím môže
- uložiť opatrenia na nápravu a lehotu na vykonanie nariadeného opatrenia podľa odseku 3, ak je to dôvodné a účelné,
- zrušiť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo sprostredkovateľa, ktorý sa zaviazal dodržiavať schválený kódex správania,
- odňať certifikát,
- nariadiť certifikačnému subjektu odňatie certifikátu,
- odňať osvedčenie o udelení akreditácie,
- uložiť pokutu podľa § 104 zákona o ochrane osobných údajov. Novinkou oproti zákonu č. 122/2013 Z. z.2 je, že rozhodnutie bude už obsahovať aj uloženie sankcie.
K uloženiu pokuty úrad môže pristúpiť a ukladá ju jednorazovo, poriadkovú pokutu môže uložiť aj opakovane. Pokuty aj poriadkové pokuty sú príjmom štátneho rozpočtu. Pokuty úrad môže uložiť na základe zákona o ochrane osobných údajov za správne delikty alebo za nesplnenie úradom uloženého opatrenia. Úrad môže uložiť aj poriadkovú pokutu, a to inej osobe ako prevádzkovateľovi alebo prevádzkovateľovi, či sprostredkovateľovi, prípadne ich zástupcom. Každá pokuta musí byť podľa čl. 83 Nariadenia účinná, primeraná a odrádzajúca.
Na základe žiadosti podľa zákona č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) úrad sprístupnil aktuálny prehľad právoplatných pokút podľa GDPR na Slovensku k 10. máju 2019:
- 3 500 EUR (podnikateľský subjekt – poriadková pokuta);
- 1 000 EUR (samospráva);
- 500 EUR (podnikateľský subjekt – poriadková pokuta);
- 500 EUR (občianske združenie – poriadková pokuta);
- 500 EUR (podnikateľský subjekt – poriadková pokuta).
Na rozdiel od dozorných orgánov v iných členských štátoch (viac na https://www.theverge.com/2019/1/21/18191591/google-gdpr-fine-50-million-euros-data-consent-cnil alebo https://www.epravo.sk/top/clanky/prva-pokuta-za-porusenie-gdpr-udelena-polskym-uradom-na-ochranu-osobnych-udajov-4449.html) sa sankcie pohybujú skôr v dolnej sadzbe. Toto všetko však neznamená, že úrad v budúcnosti nebude dávať vyššie a viac sankcií. Samotný úrad sa netají tým, že v prvom roku chcel robiť skôr osvetu pre verejnosť, ako správne postupovať a čoho sa vyvarovať a predpokladá sa, že práve od 25. 5. 2019 začne obdobie, kedy úrad bude vykonávať viac kontrol a bude udeľovať aj viac a vyšších sankcií.