Nová evropská úprava ochrany osobních údajů: sankce a odpovědnost

Nové evropské obecné nařízení o ochraně osobních údajů (GDPR) upravuje ukládání rozsáhlých sankcí s cílem harmonizovat ochranu osobních údajů v rámci Evropské unie a zajistit jednotnou úroveň této ochrany. Vedle postihu jednotlivých porušení ochrany osobních údajů mají mít sankce rovněž preventivní (odrazující) funkci pro ostatní subjekty.

Sankce

Sankce budou spočívat v ukládání správních pokut nebo opatření směřujících k odstranění porušení, jako je omezení nebo zákaz zpracování, povinnost opravit nebo vymazat osobní údaje nebo uložení zákazu předávání osobních údajů do zemí mimo EU/EHS. Namísto toho nebo společně s opatřením směřujícím k odstranění porušení mohou být ukládány správní pokuty. Při rozhodování o uložení a výši pokuty budou příslušné dozorové orgány zohledňovat povahu, závažnost a dobu trvání porušení povinnosti, účel zpracování osobních údajů, počet poškozených, rozsah škody, zavinění, kroky, které byly učiněny s cílem zmírnit způsobenou škodu, míru odpovědnosti, vynaložené technické a organizační prostředky na ochranu osobních údajů a jiné přitěžující či polehčující okolnosti.

V méně závažných případech s nepatrnými následky pro poškozené může sankce spočívat v prostém napomenutí bez uložení peněžité pokuty. Závažná porušení ochrany osobních údajů jsou pak rozdělena do dvou kategorií: V první kategorii mohou být uloženy pokuty do výše 10.000.000,00 EUR nebo do 2% celkového ročního celosvětového obratu podniku v návaznosti na předchozí obchodní rok (podle toho, která hodnota je vyšší), ve druhé kategorii mohou být stanoveny pokuty až do výše 20.000.000,00 EUR nebo do 4 % ročního obratu (viz výše). Porušení spadající do první kategorie jsou mimo jiné: nedodržení principů „Privacy by Design“ nebo „by Default“, chybějící záznamy o činnostech zpracování osobních údajů, neposkytnutí součinnosti dozorovým orgánům, neohlášení porušení zabezpečení osobních údajů nebo zanedbání provádění posouzení vlivu na ochranu osobních údajů. Druhá kategorie obsahuje především porušení týkající se souhlasů se zpracováním osobních údajů, zejména pak citlivých údajů, informačních povinností, předávání osobních údajů do zemí mimo EU/EHS, zpracování osobních údajů v souvislosti se zaměstnáním nebo nedodržení pokynů dozorových orgánů.

Finanční možnosti subjektů nebudou při ukládání pokut zohledňovány a od dozorových orgánů se očekává, že své postupy budou koordinovat a pokuty za srovnatelná porušení ochrany osobních údajů budou v rámci EU ukládat v obdobné výši. Zejména pak menší podniky by si toho měly být vědomy, neboť pro ně uložení vysoké pokuty může být likvidační.

Občanskoprávní a trestněprávní sankce

Poškození se budou moci domáhat u soudů náhrady hmotné i nehmotné újmy způsobené jim správcem a/nebo zpracovatelem osobních údajů. Druzí jmenovaní se budou moci zprostit odpovědnosti, pokud prokáží, že škodu nezpůsobili. Podle článku 80 budou také sdružení na ochranu spotřebitelů oprávněny podávat stížnosti jménem poškozených. Porušení ochrany osobních údajů může mít rovněž trestněprávní důsledky: článek 84 a bod 149 důvodové zprávy umožňují členským státům přijmout podle vlastního uvážení příslušná trestně-právní ustanovení.

Kdo ponese odpovědnost?

Kromě správce může nést odpovědnost rovněž zpracovatel osobních údajů za porušení ochrany osobních údajů, kterých se dopustil sám nebo spolu se správcem. Pověřenci pro ochranu osobních údajů nemohou být ukládány žádné sankce. Nicméně i on může nést odpovědnost vůči správci nebo zpracovateli, pokud jim udělil nevhodné pokyny.

Kolegové z našich poboček Vám budou kdykoli rádi k dispozici a zodpoví Vám veškeré případné další dotazy.