Evropské nařízení o ochraně osobních údajů (GDPR) je účinné již 12 měsíců. U nás v oddělení IT poradenství jsme mnoha zákazníkům pomáhali vypořádat se zodpovědně s novými povinnostmi. Všichni pak byli zvědavi, jaká bude praxe i reálné sankce. A nás zajímaly odlišnosti v České republice a na Slovensku od zbytku Evropy.
Lokální předpisy
GDPR je závazné pro všechny členské státy EU. Na rozdíl od směrnice, která může být určena jen některým členům společenství a její naplnění je řešeno vždy až vnitrostátním právním aktem, nařízení je závazné a bezprostředně uplatnitelné v každé zemi unie, dokud není do právního řádu jednotlivých členských států transponováno. V případě, že vnitrostátní právo není v souladu s nařízením, má nařízení přednost.
Zatímco Česko přijalo adaptační zákon se značným zpožděním až téměř 11 měsíců poté, co GDPR vstoupilo v platnost, na Slovensku byl lokální zákon vydán s předstihem a platí zároveň s nařízením EU, tedy od 25. 5. 2018. Nyní již obě země mají svůj zákon reagující na požadavky GDPR. Na Slovensku je to již déle platný 18/2018 Z. z., v Česku novinka 110/2019 Sb.
Postihy za přestupky
Pokuty stanovené obecným nařízením za porušení jeho ustanovení jsou vysoké. Maximální pokuta za prohřešek proti GDPR je 10 nebo 20 milionů eur, případně 2 % nebo 4 % z obratu. Dozorové úřady samozřejmě ukládají případné sankce vždy podle okolností každého jednotlivého případu a příliš drastické pokuty by měly být použity jen výjimečně. Přesto je maximální výše pokuty jistým mementem pro všechny, kdo nemají v souvislosti s ochranou osobních údajů čisté svědomí.
Příkladem země, která se nebála pokutovat i velké firmy za porušení, je Francie. Její dozorový úřad CNIL letos udělil americké internetové společnosti Google rekordní pokutu 50 milionů eur.
Postihy v Čechách a na Slovensku jsou zatím spíše mírné.
Nejvyšší pokuta, která byla v Česku udělena (1,5 mil. Kč společnosti Internet Mall), je za porušení z doby ještě před platností GDPR, tedy podle původního zákona č. 101/2000 Sb. Podle právě vydaného českého zákona o zpracování osobních údajů může být maximální pokuta za přestupek 10 milionů Kč. Úřad nemusí hned trestat, ale nejdříve uložit opatření. Orgány veřejné moci a veřejné subjekty jsou navíc v české právní úpravě od pokut zcela osvobozeny.
Slovenský zákon o ochraně osobních údajů přebírá maximální pokuty z obecného nařízení, tedy 10 milionů a 20 milionů eur pro všechny bez rozdílu, zda jde o soukromý subjekt či státní správu.
Z informací, které nám domácí úřady poskytly, vyplývá, že praxe v našich zemích je proti zahraničí zatím opatrnější. Přesto již u nás několik pokut za porušení konkrétních článků GDPR padlo a situaci je lépe nepodceňovat.
Lumír Pelc
Konzultant IT poradenství, SOITRON s.r.o.
We are in the process of finalizing. If you want to be redirected to our old version of web site, please click here.