SK

Najčastejšie porušenia GDPR v praxi a pokuty

V súvislosti s GDPR sú často skloňované sankcie a pokuty, ktoré môžu dosiahnuť závratnú výšku až do 20 mil. eur alebo až do 4 % celkového ročného celosvetového obratu. Cieľom GDPR je hájiť práva občanov Európskej únie proti neoprávnenému spracúvaniu ich osobných údajov. Je však pravdou, že nie každé porušenie GDPR musí automaticky znamenať uloženie správnej pokuty.

Podmienky pre ukladanie pokút

Ukladanie pokút musí byť primerané, ale zároveň účinné a odradzujúce. Správne pokuty sa ukladajú individuálne, podľa okolností každého jednotlivého prípadu. Prevádzkovateľ alebo sprostredkovateľ nemusia za porušenie ochrany osobných údajov automaticky dostať pokutu, môže byť najprv upozornený, že konkrétne spracovateľské operácie porušujú GDPR.

Nápravné právomoci Úradu na ochranu osobných údajov

Úrad na ochranu osobných údajov má podľa Čl. 58 ods. 2 GDPR tieto nápravné právomoci:

  1. upozorniť prevádzkovateľa alebo sprostredkovateľa na to, že plánované spracovateľské operácie pravdepodobne porušia ustanovenia GDPR,
  2. napomenúť prevádzkovateľa alebo sprostredkovateľa, ak spracovateľské operácie porušili ustanovenia GDPR,
  3. nariadiť prevádzkovateľovi alebo sprostredkovateľovi, aby vyhovel žiadostiam dotknutej osoby o uplatnenie jej práv podľa GDPR,
  4. nariadiť prevádzkovateľovi alebo sprostredkovateľovi , aby svoje spracovateľské operácie zosúladili podľa potreby určeným spôsobom a v rámci určenej lehoty s ustanoveniami GDPR,
  5. nariadiť prevádzkovateľovi, aby porušenie ochrany osobných údajov oznámil dotknutej osobe,
  6. nariadiť dočasné alebo trvalé obmedzenie vrátane zákazu spracúvania,
  7. nariadiť opravu alebo vymazanie osobných údajov alebo obmedzenie spracúvania a informovanie príjemcov, ktorým boli osobné údaje poskytnuté o takýchto opatreniach,
  8. odňať certifikáciu alebo nariadiť certifikačnému subjektu, aby odňal certifikáciu, alebo nariadiť certifikačnému subjektu, aby nevydal certifikáciu, ak nie sú splnené alebo už nie sú splnené požiadavky na certifikáciu.

Poľahčujúce a priťažujúce okolnosti pri rozhodovaní o pokute

Pri rozhodovaní o uložení správnej pokuty a jej výške sa v každom jednotlivom prípade náležite zohľadnia tieto skutočnosti (poľahčujúce alebo priťažujúce okolnosti):

  1. povaha, závažnosť a trvanie porušenia, pričom sa zohľadní povaha, rozsah alebo účel dotknutého spracúvania, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ktorú utrpeli,
  2. úmyselný alebo nedbanlivostný charakter porušenia,
  3. akékoľvek kroky, ktoré prevádzkovateľ alebo sprostredkovateľ podnikol s cieľom zmierniť škodu, ktorú dotknuté osoby utrpeli,
  4. miera zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia, ktoré prijali,
  5. akékoľvek relevantné predchádzajúce porušenia zo strany prevádzkovateľa alebo sprostredkovateľa,
  6. miera spolupráce s dozorným orgánom pri náprave porušenia a zmiernení možných nepriaznivých dôsledkov porušenia,
  7. kategórie osobných údajov, ktorých sa porušenie týka,
  8. spôsob, akým sa dozorný orgán o porušení dozvedel, a najmä to, či prevádzkovateľ alebo sprostredkovateľ porušenie oznámili, a ak áno, v akom rozsahu,
  9. ak boli predtým voči dotknutému prevádzkovateľovi alebo sprostredkovateľovi v rovnakej veci prijaté nápravné opatrenia uvedené v Čl. 58 ods. 2 GDPR, splnenie uvedených opatrení,
  10. dodržiavanie schválených kódexov správania alebo schválených mechanizmov certifikácie,
  11. akékoľvek iné priťažujúce alebo poľahčujúce okolnosti prípadu, ako napríklad akékoľvek získané finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením.

Najčastejšie porušenia ochrany osobných údajov v praxi

Najčastejším pochybením prevádzkovateľov alebo sprostredkovateľov pri spracúvaní osobných údajov je nedodržanie zásad spracúvania osobných údajov, čo je zo strany Úradu na ochranu osobných údajov sankcionované najvyššími pokutami. Môže ísť o tieto porušenia zásad:

    • Porušenie zásady zákonnosti – spracúvanie osobných údajov je zákonné, ak sa spracúva aspoň na jednom z právnych základov uvedených v Čl. 6 GDPR. V praxi sa často stáva, že súhlas sa používa ako univerzálny právny základ, čo nie je správne vzhľadom na možnosť jeho odvolania. Nie vždy je nutné použiť tento právny základ. Častým porušením je použitie nesprávneho právneho základu.
    • Porušenie zásady spravodlivosti a transparentnosti – zásada spravodlivého a transparentného spracúvania osobných údajov vyžaduje, aby dotknutá osoba bola informovaná o spracúvaní jej osobných údajov, a to pred začatím spracúvania. Túto zásadu možno napríklad naplniť zverejnením zásad spracúvania osobných údajov na webovej stránke prevádzkovateľa.
    • Porušenie zásady obmedzenia účelu spracúvania – osobné údaje môže prevádzkovateľ získavať a spracúvať len na konkrétny účel, nesmú sa spracúvať na iný účel.
    • Porušenie zásady minimalizácie údajov – osobné údaje sa môžu spracúvať len v rozsahu, ktorý je daný účelom, na ktorý sú spracúvané. Ak prevádzkovateľ spracúva osobné údaje, ktoré nie sú nevyhnutné na daný účel, porušuje túto zásadu.
    • Porušenie zásady správnosti – spracúvané osobné údaje musia byť správne, podľa potreby ich treba aktualizovať. Osobné údaje, ktoré sú nesprávne z hľadiska účelu, na ktorý sa spracúvajú, sa musia bezodkladne vymazať alebo opraviť.
    • Porušenie zásady minimalizácie uchovávania – osobné údaje môžu byť uchovávané po dobu nevyhnutnú na naplnenie účelu spracúvania. Potom sa môžu spracúvať len na účel archivácie, vedecký účel, účel historického výskumu alebo štatistický účel.
    • Porušenie zásady integrity a dôvernosti – osobné údaje môže prevádzkovateľ spracúvať len spôsobom, ktorý po prijatí primeraných technických a organizačných opatrení zaručuje bezpečnosť spracúvaných osobných údajov.

Porušenie zásady zodpovednosti –

    prevádzkovateľ je zodpovedný za dodržiavanie základných zásad spracúvania osobných údajov v súlade s GDPR a musí vedieť tento súlad preukázať Úradu na ochranu osobných údajov. Ak je napr. právnym základom súhlas, prevádzkovateľ musí preukázať, že súhlas mu dotknutá osoba poskytla.

Najvyššia udelená pokuta za porušenie GDPR

Za nedodržanie GDPR dostal vo Francúzsku pokutu americký internetový gigant Google. Francúzsky úrad na ochranu osobných údajov mu vytkol nedostatočné informovanie dotknutých osôb o spracúvaní osobných údajov a nezískanie súhlasu na účel personalizovanej reklamy. Pokuta bola udelená vo výške 50 mil. eur.

Autorka: Ing. Marcela Ilavská