Pokuty pre GDPR – aká je prax po troch rokoch

Autor Tomáš Vick apríl 2021 -
Pokuty pre GDPR – aká je prax po troch rokoch PIxabay

Európske nariadenie GDPR pri svojom vzniku vyvolalo  pozornosť verejnosti aj možnosťou štátnych orgánov udeliť dovtedy neobvykle vysoké pokuty za nedodržiavanie povinností.

Pokuta 20 miliónov eur, prípadne až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia, sa spomínala skoro vo všetkých článkoch o GDPR. Ako je to však naozaj? Ostali stanovené pokuty pre GDPR iba na papieri alebo sa uplatňujú aj v praxi?

Sankcie sú primerané

Ku koncu tretieho roku fungovania GDPR je v praxi vidieť, že sankcie udeľované jednotlivými úradmi na ochranu osobných údajov sú primerané a zodpovedajú zisteným porušeniam stanovených povinností.

Aj úrady si uvedomujú, že napriek snahe a vynaloženému úsiliu môže v podnikoch dôjsť pri bežnej podnikateľskej činnosti k neúmyselnému porušeniu niektorých povinností. Či už je to v dôsledku individuálnej chyby zamestnanca, nesprávne nastaveného procesu alebo neúmyselného opomenutia niektorej z povinností, takéto porušenie neznamená automaticky vysokú pokutu.

Úrady sú povinné pri udeľovaní sankcie vziať do úvahy veľké množstvo premenných. Napríklad povahu, závažnosť a trvanie porušenia, rozsah alebo účel dotknutého spracúvania, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ktorú utrpeli. Zvažujú úmyselný alebo nedbanlivostný charakter porušenia, kroky, ktoré prevádzkovateľ podnikol s cieľom zmierniť škodu, ktorú dotknuté osoby utrpeli, mieru zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia, ktoré prijali, atď.

Možnosť odvolania pred súdom

Pri zvážení typu porušenia a poľahčujúcich okolností nemusí dôjsť ani k uloženiu pokuty. V niektorých prípadoch môže úrad iba napomenúť a neudeliť žiadnu finančnú sankciu. Pokiaľ k udeleniu pokuty dôjde, táto musí byť primeraná a v rozhodnutí dostatočne odôvodnená.

Ak by totiž takéto rozhodnutie úradu malo vady, ten, komu je pokuta udelená, má stále možnosť podať odvolanie a následne napadnúť vydané rozhodnutie pred súdom.

Vysoká pokuta pre H&M

Uvedené však v žiadnom prípade neznamená, že úrady udeľujú iba zanedbateľne nízke pokuty. V prípade flagrantného zanedbania povinností alebo spracúvania osobných údajov bez akéhokoľvek dôvodu strašiak menom GDPR stále funguje.

V minulom roku sa o tom mohla presvedčiť spoločnosť H&M, ktorá spracúvala informácie zo súkromia zamestnancov bez právneho základu, za čo jej nemecký regulátor uložil pokutu vo výške 35 miliónov eur. Spoločnosť H&M od roku 2014 spracúvala údaje o časti zamestnancov z tzv. Welcome Back Talks (rozhovory so zamestnancami po dovolenke alebo inej, aj kratšej, neprítomnosti), ktoré obsahovali zážitky zamestnancov z dovolenky, ale aj ich zdravotné údaje (choroby, diagnózy), informácie o rodinných záležitostiach, vierovyznaní a podobne. Okrem iného sa tieto údaje použili na získanie podrobného profilu zamestnancov, ktoré slúžili ako podklad pre opatrenia a rozhodnutia týkajúce sa ich zamestnania.

Kauzy v Taliansku a ČR

Pokuta neobišla ani talianskych telekomunikačných operátorov, ktorí využívali osobné údaje klientov bez ich súhlasu na posielanie reklamy (Vodafone – 12,5 mil. EUR, Italian Telecom – 27,5 mil. EUR). Vysokú pokutu udelil v roku 2020 aj český úrad spoločnosti predávajúcej ojazdené vozidlá, a to za opakované posielanie nevyžiadaných e-mailov vo výške 6 miliónov korún (asi 230 000 eur).  

Všetky tieto vysoké pokuty majú spoločného menovateľa, ktorým je laxný prístup k dodržiavaniu zákonných povinností, respektíve ich úmyselné obchádzanie. Nastavenie pravidiel ochrany osobných údajov a ich dodržiavanie je možné aj pri súčasnej podpore podnikateľských aktivít spoločnosti. Na druhej strane, ich ignorovanie a prípadné úmyselné porušovanie sa v konečnom dôsledku môže vypomstiť.

Tomáš Vick, Noerr s. r. o.

(Prevzaté z odborného newsletra Slovensko-nemeckej obchodnej a priemyselnej komory Právo & Dane)

 

O advokátskej kancelárii Noerr

Noerr s. r. o. je popredná európska advokátska kancelária s viac ako 480 odborníkmi pracujúcimi v Nemecku, ďalších krajinách Európy a v USA. Poskytuje právne a daňové poradenstvo a spolu so spoločnosťami v skupine Noerr vyvíja aj riešenia pre financovanie a manažment. Jej oradenstvo využívajú skupiny a stredné podniky, ako aj finančné inštitúcie a investori.

Odborný profil kancelárie Noerr zahŕňa právo obchodných spoločností vrátane fúzii a akvizícií, súťažné, kartelové ako aj bankové právo vrátane práva kapitálového trhu a podnikového financovania. Zaoberá sa právom duševného vlastníctva, právom informačných technológii a telekomunikácií, právnymi otázky spojenými s distribúciou tovaru, právnymi vzťahy k nehnuteľnostiam, pracovným právom, konkurzným právom a právom životného prostredia.

 

Partneri