Ukládání sankcí za porušení GDPR
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“ nebo „Nařízení“), které je účinné již přes čtyři roky, představuje právní rámec ochrany osobních údajů v evropském prostoru.
Nařízení poskytuje záruku na ochranu osobních údajů, přispívá ke zvýšení transparentnosti, přináší jednotlivcům silnější práva a celkově zvyšuje odpovědnost osob, které nakládají s osobními údaji. Dále Nařízení vybavilo úřady pro ochranu osobních údajů silnějšími donucovacími prostředky a pravomocemi a zavedlo nový systém správy a řízení. Díky harmonizaci této právní úpravy ve všech členských státech EU vytváří rovné podmínky pro všechny aktéry působící na společném trhu, bez ohledu na umístění sídla nebo jejich původu, a zároveň podporuje volný tok údajů a dat v rámci EU.
Ochrana osobních údajů se stala určitým celosvětovým trendem. Nejen členské státy EU, ale i státy po celém světě dávají důraz na ochranu osobních údajů a jednotlivci stále více oceňují soukromí a bezpečné zacházení s jejich údaji. Ochrana osobních údajů se tak stala důležitým faktorem při rozhodování spotřebitelů o nákupech a chování na internetu, kdy preferují transparentní jednání a důraz na zvýšenou ochranu. Podnikatelé na tuto poptávku reagují dobrovolným rozšiřováním práv a záruk nad rámec GDPR, a tak se ochrana osobních údajů stává zajímavou konkurenční výhodou.
Dle průzkumu Agentury Evropské unie pro základní práva slyšelo o GDPR 69 % obyvatel EU starších 16 let a 71 % lidí v EU ví o svém vnitrostátním úřadu pro ochranu osobních údajů.[1] Je patrné, že jednotlivci mají stále větší povědomí o svých právech spojených s ochranou osobních údajů, tedy právo na přístup, opravu, výmaz, právo na omezení zpracování, přenositelnost údajů, jakož i právo vznést námitku.
Otázka možných sankcí je stále velice aktuální téma s ohledem na množící se počty ohlášení porušení zabezpečení osobních údajů, počty řízení a množství udělených správních sankcí. V loňském roce evropské úřady na ochranu osobních údajů zaznamenaly o pětinu více porušení GDPR a také uložily vyšší pokuty.
Podle čl. 83 odst. 2 GDPR se při rozhodování o uložení a výši sankce přihlédne především k závažnosti a délce trvání porušení, rozsahu a účelu dotčeného zpracování, k počtu dotčených subjektů údajů a míře škody, která jim byla způsobena. Z toho tedy vyplývá, že je nezbytné každý případ posuzovat individuálně.
Dle Nařízení je možné za porušení procesních nástrojů (posouzení dopadu, jmenování pověřence, řízení incidentů atd.) uložit správní pokutu až 10 milionů EUR nebo až 2 % celkového ročního obratu podniku celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší. V případě porušení základních pravidel a povinností pro zpracování dat, jako je např. stanovení rozsahu, doby uchování, právního titulu ke zpracování nebo vyřizování podnětů dotčených osob lze uložit správní pokutu až do výše 20 milionů EUR nebo 4 % celkového ročního obratu podniku celosvětově za předchozí finanční rok, podle toho, která z těchto hodnot je vyšší.[2] Tyto nemalé sankce vyvolaly po přijetí Nařízení vlnu rozruchu a obav.
Jak uvidíme níže, praxe úřadů na ochranu osobních údajů je různorodá. Přestože úřady ukládají ve většině případů sankce velmi nízko v rámci této sazby, existují i případy, kdy se především zahraniční úřady neostýchaly sáhnout i po sankcích astronomických rozměrů.
Česká republika:
Český Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“ nebo „Úřad“) udělil za rok 2018 za porušení GDPR 18 pokut při celkové výši 1.173.000 Kč. ÚOOÚ v roce 2019 vystavil 33 pokut za porušení GDPR v celkové výši 1.435.000 Kč a v roce 2020 30 pokut v souhrnu za 2.080.000 Kč. V minulém roce udělil Úřad za porušení GDPR 40 pokut v celkové výši 5.996.000 Kč. Celkem tedy Úřad udělil za účinnosti Nařízení 122 pokut v celkové výši 10.684.000 Kč.[3]
|
|
2018 |
2019 |
2020 |
2021 |
|
Celkový počet udělených sankcí |
19 |
33 |
30 |
40 |
|
Souhrnná výše udělených sankcí |
1.173.000 Kč |
1.435.000 Kč |
2.080.000 Kč |
5.996.000 Kč |
|
Průměrná výše sankce |
61.737 Kč |
43.485 Kč |
69.333 Kč |
149.900 Kč |
Lze tedy vidět, že v minulém roce oproti letům předchozím státní inspektoři výrazně přitvrdili. Výše průměrné sankce se více jak zdvojnásobila z 69.000 Kč na necelých 150.000 Kč. Jedním z důvodů, proč se udělené pokuty v minulém roce vyšplhaly v souhrnu na tak vysokou částku, je četné sankcionování spamování prostřednictvím datových schránek, které byly dostupné zdarma a byly zneužity ke spamování v období nouzového stavu. Úřad tak uložil za zneužití údajů k šíření nevyžádaných zpráv pokutu 11 společnostem v celkové výši 3 111 000 Kč.[4]
Nemalou část ze souhrnné výše pokut každoročně tvoří pokuty za porušení zabezpečení osobních údajů. Od nabytí účinnosti Nařízení eviduje Úřad 455 stížností, které souvisí s povinnostmi správce dle čl. 32 GDPR a 1358 ohlášení správců dle čl. 33 GDPR.[5] Celkem udělil Úřad za porušení zabezpečení osobních údajů 12 pokut, jejichž celková výše činí 515.000 Kč a nejvyšší uložená pokuta byla ve výši 180.000 Kč.
Dosud nejvyšší Úřadem uložená pokuta za porušení GDPR v České republice byla ve výši 2.000.000 Kč, a to z důvodu neprovedení opatření k nápravě. Konkrétně se jednalo o situaci, kdy společnost na svých webových stránkách zpracovávala osobní údaje ve formě jejich zveřejnění (překlopení) z veřejně dostupných rejstříků (insolvenčního rejstříku, obchodního rejstříku, rejstříku topografií, patentového rejstříku a rejstříku ochranných známek), přičemž Úřad na základě výsledku kontroly uložil pokutu za toto zpracování a vydal rozhodnutí o opatření k nápravě, kterým nařídil ukončení zpracování a následný výmaz těchto údajů. Společnost nápravná opatření nesplnila, za což jí byla uložena tato pokuta.[6]
Dále stojí za zmínku také pokuta ve výši 666.000 Kč, která byla udělena za porušení povinnosti stanoveného čl. 6 odst. 1 GDPR, tedy povinnosti zpracovávat osobní údaje pouze na základě některého právního důvodu upraveného v písm. a) až f) tohoto ustanovení, kdy obviněná právnická osoba bez jakéhokoliv právního titulu zpracovávala osobní údaje fyzických osob za účelem zasílání nevyžádaných nabídek prostřednictvím jejich datových schránek.[7]
Na dalších příkladech lze ukázat, že praxe Úřadu je různorodá a výše i důvody sankcí se velmi liší. Jednu z nejnižších doposud udělených pokut ve výši 10.000 Kč dostala půjčovna sportovního vybavení, která nezákonně skenovala občanské průkazy svých klientů. Dále pokutu ve výši 10.000 Kč obdržel spolek, který zveřejnil neanonymizovaný trestní příkaz. V celku přísně sankcionuje Úřad situace, kdy osobní údaje uniknou či mohou uniknout mezi veřejnost. V tomto případě byla vyměřena pokuta ve výši 180.000 Kč obchodní společnosti, jejíž personální neanonymizovaná dokumentace byla nalezena u popelnice. Další spolek dostal pokutu 150.000 Kč za to, že zveřejnil některé osobní údaje svých členů na veřejných webových stránkách. Dalšími často pokutovanými přestupky jsou například porušení práva na přístup k osobním údajům, za které Úřad již v minulosti udělil pokutu ve výši 50.000 Kč, nebo nezabezpečení osobních údajů při převozu s pokutou ve výši 15.000 Kč.
Zahraničí:
Jak lze výše vidět, částky udělené českým ÚOOÚ v porovnání s maximální možnou pokutou, tedy 10 milionů EUR, respektive 20 milionů EUR nebo až 4 % celkového ročního obratu podniku celosvětově za předchozí finanční rok, jsou poměrně nízké. Tento jev lze spatřovat ve většině členských státech EU, ale existuje několik výjimek. Řada evropských dozorových úřadů totiž již neváhala a přistoupila i k udělení pokut ve výši blížící se horní hranici sazby s ohledem na roční obrat daných společností.
Kumulativně byly v roce 2021 v Evropské unii uděleny pokuty ve výši lehce přes 1,3 miliardy EUR. Za rok 2020 to bylo „pouhých“ 306,3 milionů EUR. Tento velký rozdíl je dán především tím, že v roce 2021 bylo uděleno hned několik historicky nejvyšších pokut za porušení GDPR. Jedná se o pokutu pro Amazon EuropeCore S.à.r.l ve výši 746 milionů EUR udělenou lucemburským dozorovým úřadem, na druhém místě je pokuta pro WhatsApp Ireland Ltd ve výši 225 milionů EUR udělená irským dozorovým úřadem a třetí nejvyšší pokuta za porušení GDPR byla udělena ve Francii ke konci roku 2021 společnosti Google LLC, a to ve výši 90 milionů EUR a stejným úřadem byla také ve stejný den udělena čtvrtá nejvyšší pokuta ve výši 60 milionů EUR pro společnost Facebook Ireland Ltd. Celkově lze usoudit, že nejvyšší pokuty jsou ukládány společnostem z oblasti technologií a telekomunikací.[8]
Právě tyto jednotlivé vysoké pokuty zahýbaly i se žebříčkem států s kumulativně nejvyššími pokutami. Na prvním místě je Lucembursko, které v 18 případech uložilo pokuty v celkové výši 746,26 milionů EUR, následované Francií s celkovou částkou 269,7 milionů EUR a Irskem s částkou 243,5 milionů EUR. Ve srovnání největších počtů rozhodnutých případů zaujímá první místo Španělsko s počtem 395 vydaných rozhodnutích od účinnosti GDPR.[9]
Závěr:
Na těchto příkladech lze vypozorovat, že ukládání vysokých pokut za porušení GDPR je již běžnou praxí v řadě členských států. Lze předpokládat, že se při výskytu závažnějších porušení k této praxi přikloní i český ÚOOÚ. Lze tedy jen doporučit, nenechávat ochranu osobních údajů na náhodě a důkladně se zaměřit na to, zda daný subjekt zpracovává osobní údaje v souladu s GDPR a případné nedostatky napravit včas.
Marek Jindra,
Associate
© EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz
