Pokuta 20 miliónov eur, prípadne až do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia, sa spomínala skoro vo všetkých článkoch o GDPR. Ako je to však naozaj? Ostali stanovené pokuty pre GDPR iba na papieri alebo sa uplatňujú aj v praxi?
Sankcie sú primerané
Ku koncu tretieho roku fungovania GDPR je v praxi vidieť, že sankcie udeľované jednotlivými úradmi na ochranu osobných údajov sú primerané a zodpovedajú zisteným porušeniam stanovených povinností.
Aj úrady si uvedomujú, že napriek snahe a vynaloženému úsiliu môže v podnikoch dôjsť pri bežnej podnikateľskej činnosti k neúmyselnému porušeniu niektorých povinností. Či už je to v dôsledku individuálnej chyby zamestnanca, nesprávne nastaveného procesu alebo neúmyselného opomenutia niektorej z povinností, takéto porušenie neznamená automaticky vysokú pokutu.
Úrady sú povinné pri udeľovaní sankcie vziať do úvahy veľké množstvo premenných. Napríklad povahu, závažnosť a trvanie porušenia, rozsah alebo účel dotknutého spracúvania, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ktorú utrpeli. Zvažujú úmyselný alebo nedbanlivostný charakter porušenia, kroky, ktoré prevádzkovateľ podnikol s cieľom zmierniť škodu, ktorú dotknuté osoby utrpeli, mieru zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia, ktoré prijali, atď.
Možnosť odvolania pred súdom
Pri zvážení typu porušenia a poľahčujúcich okolností nemusí dôjsť ani k uloženiu pokuty. V niektorých prípadoch môže úrad iba napomenúť a neudeliť žiadnu finančnú sankciu. Pokiaľ k udeleniu pokuty dôjde, táto musí byť primeraná a v rozhodnutí dostatočne odôvodnená.
Ak by totiž takéto rozhodnutie úradu malo vady, ten, komu je pokuta udelená, má stále možnosť podať odvolanie a následne napadnúť vydané rozhodnutie pred súdom.
Vysoká pokuta pre H&M
Uvedené však v žiadnom prípade neznamená, že úrady udeľujú iba zanedbateľne nízke pokuty. V prípade flagrantného zanedbania povinností alebo spracúvania osobných údajov bez akéhokoľvek dôvodu strašiak menom GDPR stále funguje.
V minulom roku sa o tom mohla presvedčiť spoločnosť H&M, ktorá spracúvala informácie zo súkromia zamestnancov bez právneho základu, za čo jej nemecký regulátor uložil pokutu vo výške 35 miliónov eur. Spoločnosť H&M od roku 2014 spracúvala údaje o časti zamestnancov z tzv. Welcome Back Talks (rozhovory so zamestnancami po dovolenke alebo inej, aj kratšej, neprítomnosti), ktoré obsahovali zážitky zamestnancov z dovolenky, ale aj ich zdravotné údaje (choroby, diagnózy), informácie o rodinných záležitostiach, vierovyznaní a podobne. Okrem iného sa tieto údaje použili na získanie podrobného profilu zamestnancov, ktoré slúžili ako podklad pre opatrenia a rozhodnutia týkajúce sa ich zamestnania.
Kauzy v Taliansku a ČR
Pokuta neobišla ani talianskych telekomunikačných operátorov, ktorí využívali osobné údaje klientov bez ich súhlasu na posielanie reklamy (Vodafone – 12,5 mil. EUR, Italian Telecom – 27,5 mil. EUR). Vysokú pokutu udelil v roku 2020 aj český úrad spoločnosti predávajúcej ojazdené vozidlá, a to za opakované posielanie nevyžiadaných e-mailov vo výške 6 miliónov korún (asi 230 000 eur).
Všetky tieto vysoké pokuty majú spoločného menovateľa, ktorým je laxný prístup k dodržiavaniu zákonných povinností, respektíve ich úmyselné obchádzanie. Nastavenie pravidiel ochrany osobných údajov a ich dodržiavanie je možné aj pri súčasnej podpore podnikateľských aktivít spoločnosti. Na druhej strane, ich ignorovanie a prípadné úmyselné porušovanie sa v konečnom dôsledku môže vypomstiť.
Tomáš Vick, Noerr s. r. o.
(Prevzaté z odborného newsletra Slovensko-nemeckej obchodnej a priemyselnej komory Právo & Dane)
O advokátskej kancelárii Noerr
Noerr s. r. o. je popredná európska advokátska kancelária s viac ako 480 odborníkmi pracujúcimi v Nemecku, ďalších krajinách Európy a v USA. Poskytuje právne a daňové poradenstvo a spolu so spoločnosťami v skupine Noerr vyvíja aj riešenia pre financovanie a manažment. Jej oradenstvo využívajú skupiny a stredné podniky, ako aj finančné inštitúcie a investori.
Odborný profil kancelárie Noerr zahŕňa právo obchodných spoločností vrátane fúzii a akvizícií, súťažné, kartelové ako aj bankové právo vrátane práva kapitálového trhu a podnikového financovania. Zaoberá sa právom duševného vlastníctva, právom informačných technológii a telekomunikácií, právnymi otázky spojenými s distribúciou tovaru, právnymi vzťahy k nehnuteľnostiam, pracovným právom, konkurzným právom a právom životného prostredia.