Ako to už býva, každé nedodržanie pravidiel môže byť potrestané pokutou. Rovnako to platí aj pri spracúvaní osobných údajov.
S cieľom harmonizácie metodiky pre výpočet výšky pokút za nedostatky v ochrane osobných údajov, Európsky výbor pre ochranu údajov (EDPB) prijal usmernenia 04/2022 o výpočte pokút podľa GDPR.
Platí, že výpočet výšky pokuty je v kompetencii príslušného dozorného orgánu (u nás je to Úrad na ochranu osobných údajov SR, ktorý nedodržanie pravidiel môže zistiť napríklad pri kontrole u prevádzkovateľa alebo sprostredkovateľa). Pričom výška pokuty by mala byť účinná, primeraná a odradzujúca.
Stanovenie výšky pokuty však nie je jednoduchý proces a každý dozorný orgán pri jej určovaní musí zohľadňovať rôzne prvky. Sú nimi napríklad:
- kategorizácia porušenia,
- závažnosť porušenia,
- výška obratu.
Kategorizácia porušení
Vo všeobecnom nariadení o ochrane údajov sa stanovujú dve kategórie porušení a to:
- Porušenia podľa čl. 83 ods. 4 GDPR (pokuta vo výške maximálne 10 miliónov eur alebo 2 % ročného obratu, podľa toho, ktorá suma je vyššia). Sem by sme zaradili napríklad porušenie, kedy spolupráca medzi prevádzkovateľom a jeho sprostredkovateľom nie je upravená riadnou zmluvou v zmysle čl. 28 GDPR.
- A porušenia podľa čl. 83 ods. 5 a 6 (pokuta vo výška maximálne 20 miliónov eur alebo 4 % ročného obratu, a to podľa toho, ktorá suma je vyššia). Sem patria napríklad porušenia v oblasti nedostatočného výkonu práv dotknutej osoby alebo nedodržiavania základných zásad spracúvania osobných údajov.
Závažnosť porušenia
Do hodnotenia závažnosti porušenia ochrany osobných údajov vstupuje opäť niekoľko faktorov, ktoré dozorujúci orgán náležite zohľadňuje. Sú nimi:
- povaha porušenia,
- závažnosť porušenia (povaha spracúvania osobných údajov, rozsah spracúvania, účel spracúvania osobných údajov, počet dotknutých osôb, výška spôsobenej škody a rozsah v akom môže konanie ovplyvniť práva a slobody jednotlivca)
- trvanie porušenia (platí, že čím dlhšie porušenie trvá, tým vyššiu váhu môže dozorný orgán tomuto faktoru priradiť).
Úmyselný alebo nedbanlivostný charakter
Za úmyselné môžu byť považované také porušenia, pri ktorých napríklad vedenie prevádzkovateľa nariadilo spracúvanie osobných údajov, a to aj s vedomím, že pravidlá GDPR nebudú pri tom dodržiavané.
Naopak za nedbanlivostné môžu byť považované napríklad neúmyselné chyby zamestnancov.
Kategórie dotknutých osobných údajov
GDPR stanovuje zvýšenú ochranu tým osobným údajom, ktoré spadajú pod jeho čl. 9 a 10. Vyššiu závažnosť má však aj porušenie pri spracúvaní napríklad lokalizačných osobných údajov a rodného čísla.
Takto by sme mohli pokračovať ďalej prvkom výšky obratu, priťažujúcimi a poľahčujúcimi okolnosťami, atď. Téme sme sa však už venovali predčasom, a to v súvislosti s odpoveďou na otázku: “Ako sa bude po novom určovať výška pokuty za porušenie v ochrane osobných údajov”.
Celý dokument EDPB – Usmernenie 04/2022 o výpočte správnych pokút podľa GDPR je dostupný zatiaľ len v anglickom jazyku. Členom GDPR Academy však už dnes prinášame jeho neoficiálny preklad. Po prihlásení si ho môžete prevziať v slovenskom jazyku vo formáte PDF.