Zaznamenali jste nové nařízené, které nabylo účinnosti dnem 25. května o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. (dále jen „GDPR“)?

S řadou nových povinností GDPR zavádí mimo jiné také vysoké pokuty a sankce za jeho porušení, na jejichž dodržování bude v České republice dohlížet dozorový úřad, kterým je Úřad pro ochranu osobních údajů.

S nedodržením nařízení přichází pokuty a sankce. Jak se jim vyhnout?

Podle článku 83 odst. 4 nařízení GDPR se výše sankcí může vyšplhat až na 10 000 000 EUR nebo, jedná-li se o podnik, až do výše 2 % celosvětového ročního obratu, a to například při porušení povinností týkajících se jmenování pověřence pro ochranu osobních údajů a výkonu jeho činnosti, podmínek a náležitostí smluvního vztahu mezi správcem a zpracovatelem osobních údajů, vypracování záznamů o činnostech zpracování, nedodržení předepsaných požadavků na zabezpečení osobních údajů nebo povinnosti ohlašování případů porušení zabezpečení osobních údajů. 

Dále podle článku 83 odst. 5 nařízení GDPR může úřad uložit ještě o něco vyšší pokuty, a to až do výše 20 000 000 EUR nebo, jde-li o podnik, až do výše 4 % celosvětového ročního obratu. Tyto nejvyšší sankce může úřad ukládat například při porušování základních zásad zpracování osobních údajů stanovených nařízením, podmínek a náležitostí týkajících se souhlasu se zpracováním osobních údajů, jsou-li osobní údaje zpracovávány na základě tohoto titulu, podmínek pro zpracovávání tzv. zvláštních kategorií osobních údajů (tj. citlivých údajů – jako např. osobních údajů vypovídajících o rasovém či etnickém původu, politických názorech, náboženském vyznání, údajů o zdravotním stavu, sexuální orientaci atp.), porušování práv subjektů údajů (např. práva na výmaz, opravu, omezení zpracování, přenositelnost údajů atp.), nedodržování příkazů úřadu, porušování povinností stanovených pro předávání osobních údajů do třetích zemí a mnoho dalšího.

Proti rozhodnutí úřadu o uložení pokuty bude možné podat řádný opravný prostředek, kterým je tzv. rozklad. O podaném rozkladu bude následně rozhodovat předsedkyně úřadu, která bude moci napadené rozhodnutí buď potvrdit, zrušit, nebo změnit. Proti takovémuto rozhodnutí předsedkyně úřadu o rozkladu se sice již nebude možné dále odvolat, bude jej však možné dále napadnout žalobou ke správnímu soudu. V případě uložení sankce úřadem se tak zjevně bude možné dostupnými právními mechanismy bránit a rozhodnutí přezkoumávat u vyšších instancí, které budou schopny uloženou pokutu případně i zmírnit.

V zásadě bude stačit pohlídat si základní povinnost vyplývající z GDPR a pokuta by vám hrozit neměla.