Novinky
22. května 2019

GDPR první rok v praxi. Jaké jsou sankce?

Evropské nařízení o ochraně osobních údajů (GDPR) je účinné již 12 měsíců. U nás v oddělení IT poradenství jsme mnoha zákazníkům pomáhali vypořádat se zodpovědně s novými povinnostmi. Všichni pak byli zvědavi, jaká bude praxe i reálné sankce. A nás zajímaly odlišnosti v České republice a na Slovensku od zbytku Evropy.

Lokální předpisy

GDPR je závazné pro všechny členské státy EU. Na rozdíl od směrnice, která může být určena jen některým členům společenství a její naplnění je řešeno vždy až vnitrostátním právním aktem, nařízení je závazné a bezprostředně uplatnitelné v každé zemi unie, dokud není do právního řádu jednotlivých členských států transponováno. V případě, že vnitrostátní právo není v souladu s nařízením, má nařízení přednost.

Zatímco Česko přijalo adaptační zákon se značným zpožděním až téměř 11 měsíců poté, co GDPR vstoupilo v platnost, na Slovensku byl lokální zákon vydán s předstihem a platí zároveň s nařízením EU, tedy od 25. 5. 2018. Nyní již obě země mají svůj zákon reagující na požadavky GDPR. Na Slovensku je to již déle platný 18/2018 Z. z., v Česku novinka 110/2019 Sb.

Postihy za přestupky

Pokuty stanovené obecným nařízením za porušení jeho ustanovení jsou vysoké. Maximální pokuta za prohřešek proti GDPR je 10 nebo 20 milionů eur, případně 2 % nebo 4 % z obratu. Dozorové úřady samozřejmě ukládají případné sankce vždy podle okolností každého jednotlivého případu a příliš drastické pokuty by měly být použity jen výjimečně. Přesto je maximální výše pokuty jistým mementem pro všechny, kdo nemají v souvislosti s ochranou osobních údajů čisté svědomí.

Příkladem země, která se nebála pokutovat i velké firmy za porušení, je Francie. Její dozorový úřad CNIL letos udělil americké internetové společnosti Google rekordní pokutu 50 milionů eur.

Postihy v Čechách a na Slovensku jsou zatím spíše mírné.

Nejvyšší pokuta, která byla v Česku udělena (1,5 mil. Kč společnosti Internet Mall), je za porušení z doby ještě před platností GDPR, tedy podle původního zákona č. 101/2000 Sb. Podle právě vydaného českého zákona o zpracování osobních údajů může být maximální pokuta za přestupek 10 milionů Kč. Úřad nemusí hned trestat, ale nejdříve uložit opatření. Orgány veřejné moci a veřejné subjekty jsou navíc v české právní úpravě od pokut zcela osvobozeny.

Slovenský zákon o ochraně osobních údajů přebírá maximální pokuty z obecného nařízení, tedy 10 milionů a 20 milionů eur pro všechny bez rozdílu, zda jde o soukromý subjekt či státní správu.

Z informací, které nám domácí úřady poskytly, vyplývá, že praxe v našich zemích je proti zahraničí zatím opatrnější. Přesto již u nás několik pokut za porušení konkrétních článků GDPR padlo a situaci je lépe nepodceňovat.

 

Lumír Pelc

Konzultant IT poradenství, SOITRON s.r.o.