Trnavská cesta 177/82, Bratislava
+421 911 325 399, +421 904 227 448
info@1uctovnicka.sk

GDPR: Koľko zaplatíte za porušenie?

V novembri uplynulo 1,5 roka od účinnosti nových predpisov o ochrane osobných údajov známych ako GDPR. 

Predpismi o ochrane osobných údajov sú Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe týchto údajov, ktorým sa zrušuje smernica 95/46/ES (ďalej len: „Nariadenie“), a zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov (ďalej len: „zákon o ochrane osobných údajov“). Slovenský dozorný orgán, ktorým je Úrad na ochranu osobných údajov SR (ďalej len: „úrad“) so sídlom v Bratislave vykonal v tomto období okolo cca 50 kontrol. Časť kontrol ešte nie je ukončených, časť je ukončených záznamami (čo znamená, že nebolo zistené žiadne porušenie predpisov o ochrane osobných údajov) a časť bola ukončená podpísaním protokolu o vykonaní kontroly.

Vzhľadom na to, že uloženie sankcie nie je pre úrad povinné, nie pri každom zistení porušenia bola aj uložená sankcia. Úrad uloží rozhodnutie podľa § 102 zákona o ochrane osobných údajov, ak zistí porušenie práv dotknutej osoby alebo nesplnenie povinností pri spracúvaní osobných údajov ustanovených týmto zákonom alebo osobitným predpisom 1 pre oblasť ochrany osobných údajov účastníkom konania. Rozhodnutím môže

  1. uložiť opatrenia na nápravu a lehotu na vykonanie nariadeného opatrenia podľa odseku 3, ak je to dôvodné a účelné,
  2. zrušiť záväznosť schváleného kódexu správania pre prevádzkovateľa alebo sprostredkovateľa, ktorý sa zaviazal dodržiavať schválený kódex správania,
  3. odňať certifikát,
  4. nariadiť certifikačnému subjektu odňatie certifikátu,
  5. odňať osvedčenie o udelení akreditácie,
  6. uložiť pokutu podľa § 104 zákona o ochrane osobných údajov. Novinkou oproti zákonu č. 122/2013 Z. z.2  je, že rozhodnutie bude už obsahovať aj uloženie sankcie.

K uloženiu pokuty úrad môže pristúpiť a ukladá ju jednorazovo, poriadkovú pokutu môže uložiť aj opakovane. Pokuty aj poriadkové pokuty sú príjmom štátneho rozpočtu. Pokuty úrad môže uložiť na základe zákona o ochrane osobných údajov za správne delikty alebo za nesplnenie úradom uloženého opatrenia. Úrad môže uložiť aj poriadkovú pokutu, a to inej osobe ako prevádzkovateľovi alebo prevádzkovateľovi, či sprostredkovateľovi, prípadne ich zástupcom. Každá pokuta musí byť podľa čl. 83 Nariadenia účinná, primeraná a odrádzajúca.

Na základe žiadosti podľa zákona č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) úrad sprístupnil aktuálny prehľad právoplatných pokút podľa GDPR na Slovensku k 10. máju 2019:

  1. 3 500 EUR (podnikateľský subjekt – poriadková pokuta);
  2. 1 000 EUR (samospráva);
  3. 500 EUR (podnikateľský subjekt – poriadková pokuta);
  4. 500 EUR (občianske združenie – poriadková pokuta);
  5. 500 EUR (podnikateľský subjekt – poriadková pokuta).

Na rozdiel od dozorných orgánov v iných členských štátoch (viac na https://www.theverge.com/2019/1/21/18191591/google-gdpr-fine-50-million-euros-data-consent-cnil alebo https://www.epravo.sk/top/clanky/prva-pokuta-za-porusenie-gdpr-udelena-polskym-uradom-na-ochranu-osobnych-udajov-4449.html) sa sankcie pohybujú skôr v dolnej sadzbe. Toto všetko však neznamená, že úrad v budúcnosti nebude dávať vyššie a viac sankcií. Samotný úrad sa netají tým, že v prvom roku chcel robiť skôr osvetu pre verejnosť, ako správne postupovať a čoho sa vyvarovať a predpokladá sa, že práve od 25. 5. 2019 začne obdobie, kedy úrad bude vykonávať viac kontrol a bude udeľovať aj viac a vyšších sankcií.