Firmy nevědí o výši pokut

S tímto zjištěním přišel server Connect.zive.cz ve svém článku „Nařízení na ochranu osobních údajů přitvrdí, pokuty se budou počítat z obratu firmy.“ Informace vycházejí z průzkumu ve 151 firmách s více jak 100 zaměstnanci v České republice a na Slovensku. Ač většina firem již o GDPR slyšela, jen 8 % firem ví, jaké sankce jim hrozí.

Jaké pokuty za porušení ochrany osobních údajů od 25. května 2018 tedy hrozí? To záleží na mnoha okolnostech. Rozhodujícími faktory jsou závažnost porušení ochrany osobních údajů, délka trvání tohoto porušení, počet osob, jejichž údaje byly dotčeny, způsobená škoda, zda o porušení úmyslné či toliko nedbalostní, ale rovněž i jaké byly podniknuty kroky k nápravě konkrétního porušení.

Zjednodušeně řečeno bude porušení pravidel „ohodnoceno“ jednou ze dvou kategorií sankcí. Tou „mírnější“ sankcí je pokuta do výše až 10 miliónů EUR, nebo – jedná-li se o podnik – až do výše 2 % celkového ročního obratu celosvětově za předchozí rozpočtový rok, v závislosti na tom, která hodnota je vyšší. Přísnější sankcí je pak pokuta ve výši dvojnásobku zmíněných hodnot, tedy do výše až 20 miliónů EUR či 4 % z  celkového ročního obratu podniku.


Mezi prohřešky spadající pod „mírnější“ sankci patří:

  • porušení pravidel při získávání osobních údajů nezletilých osob
  • nezajištění vhodných technických a organizačních opatření k ochraně osobních údajů
  • chybějící záznamy o činnostech zpracování
  • porušení ohlašovací povinnosti (data breach)
  • chybějící posouzení vlivu na ochranu osobních údajů při využití nových technologií
  • nejmenování pověřence pro ochranu osobních údajů


Mezi závažné prohřešky sankcionované přísnější sazbou patří:

  • porušení zásad zpracování osobních údajů („zákonnost, korektnost a transparentnost“)
  • zpracování dat ve větším než nezbytném rozsahu ve vztahu k účelu
  • zpracování osobních údajů bez souhlasu subjektu
  • porušení zásad zpracování zvláštních kategorií údajů (upřesnění viz níže)
  • porušení práv subjektu údajů – právo na poskytování informací o zpracování údajů, právo na přístup k údajům, právo na opravu a výmaz, právo na omezení zpracování, právo na přenositelnost údajů, právo vznést námitku proti zpracování dat a profilování.
  • porušení pravidel pro předávání údajů do třetích zemí nebo mezinárodním organizacím.

 

Zvláštní kategorie osobních dat: osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.