Logo Podnikajte.sk
Podnikajte.sk > Právo a legislatíva > Zákonné povinnosti podnikateľa

Ukladanie pokút podľa GDPR

Ukladanie pokút podľa GDPR
Petra Pohorelá
Petra Pohorelá

Absolventka Právnickej fakulty Univerzity P. J. Šafárika v Košiciach, ktorá pôsobí v oblasti justície a zameriava sa najmä na obchodné a pracovné právo.

Články autora
Zápis do obchodného registra od 1. 11. 2023
Centrálny register účtov – otázky a odpovede
Projekt premeny obchodných spoločností a družstiev od 1. 3. 2024
Rozdelenie obchodných spoločností od 1. 3. 2024
Zmeny právnej formy od 1. 3. 2024
Neprípustnosť premeny obchodných spoločností od 1. 3. 2024
Nový zákon o premenách obchodných spoločností a družstiev od 1. 3. 2024
Ako založiť rodinný podnik od 1. 7. 2023
Dedenie majetku podnikateľa – praktické prípady
Evidovaný a registrovaný rodinný podnik od 1. 7. 2023
Zobraziť viac
Zobraziť menej

Zanedbanie povinností ustanovených v GDPR alebo strata osobných údajov môže stáť firmu nemálo peňazí. Aké pokuty hrozia za porušenie jednotlivých povinností? Prinášame ucelený prehľad.

Európske nariadenie o ochrane osobných údajov, známe pod skratkou GDPR a nový zákon č. 18/2018 Z. z. o ochrane osobných údajov nadobudli účinnosť dňa 25. 5. 2018. Od tohto dátumu sa v členských štátoch EÚ uplatňuje jednotný režim ochrany osobných údajov vrátane ukladania pokút za porušenie ustanovených povinností . Nový zákon o ochrane osobných údajov v podstate kopíruje ustanovenia GDPR.

Druhy pokút podľa GDPR

Za porušenie povinností ustanovených GDPR alebo novým zákonom o ochrane osobných údajovmôže Úrad na ochranu osobných údajov SR (ďalej len „úrad“), v závislosti od okolností každého jednotlivého prípadu a ďalších skutočností, ktoré berie do úvahy, uložiť nasledovné druhy sankcií:

  1. pokutu za správne delikty (za priame porušenie GDPR alebo nového zákona) - úrad ju ukladá výlučne jednorazovo, za ten istý správny delikt môže udeliť len jednu pokutu,
  2. poriadkovú pokutu za nesplnenie ním uloženého opatrenia (za nesplnenie predchádzajúceho opatrenia uloženého úradom) - úrad ju môže udeliť aj opakovane, ak povinnosť nebola splnená v určenej lehote.

Pokuty a poriadkové pokuty sú príjmom štátneho rozpočtu.

Uvedené pokuty môžu byť uložené:

  • prevádzkovateľovi – t. j. každému, kto sám spracúva osobné údaje vo vlastnom mene (napr. obchodná spoločnosť),
  • sprostredkovateľovi – t. j. každému, kto spracúva osobné údaje v mene prevádzkovateľa (napr. externý účtovník),
  • zástupcovi prevádzkovateľa alebo sprostredkovateľa,
  • inej osobe, ktorá nie je prevádzkovateľom alebo sprostredkovateľom (napr. certifikačnému subjektu – t. j. subjektu, ktorému bola udelená akreditácia v súlade s GDPR a ktorý vykonáva vydanie, obnovu i odňatie certifikátu; alebo monitorujúcemu subjektu – t. j. subjektu, ktorý spĺňa kritériá a podmienky na udelenie akreditácie v súlade s GDPR a ktorý monitoruje súlad spracúvania osobných údajov s kódexom správania).

Akú výšku pokút ustanovuje GDPR?

Podľa starého zákona o ochrane osobných údajov bolo možné pokuty ukladať do maximálnej výšky 200 000 eur. GDPR prinieslo výraznú zmenu, pretože zakotvilo možnosť ukladania pokút až do výšky niekoľkých miliónov eur. V prípade porušenia nového európskeho nariadenia tak hrozia povinným subjektom vysoké pokuty, ktoré môžu byť pre firmy v niektorých situáciách až likvidačné.

Úrad môže v prípade zistenia porušenia povinností ustanovených GDPR alebo novým zákonom o ochrane osobných údajov uložiť:

  • pokutu do výšky 10 000 000 eur alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok podľa toho, ktorá suma je vyššia – za menej závažné porušenia povinností,
  • pokutu do výšky 20 000 000 eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia - za závažné porušenia povinností,
  • poriadkovú pokutu do výšky 2 000 eur,
  • poriadkovú pokutu do výšky 10 000 eur.

Uvedené sumy pokút predstavujú horný strop, teda ide o maximálnu hornú hranicu pokuty, ktorá môže byť uložená.

Ako prebieha kontrola a informácie o dodrživaní GDPR nájdete v článku Kontrola dodržiavania GDPR

Za aké porušenie povinností hrozia podľa GDPR pokuty?

Pokutu do výšky 10 000 000 eur alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok podľa toho, ktorá suma je vyššia, môže úrad uložiť:

  1. prevádzkovateľovi (vrátane orgánu verejnej moci a verejnoprávnym inštitúciám) za neplnenie alebo porušenie:
  • podmienok poskytnutia súhlasu v súvislosti so službami informačnej spoločnosti (čl. 8 GDPR, § 15 nového zákona),
  • spracovávania osobných údajov bez potreby identifikácie (čl. 11 GDPR, § 18 nového zákona),
  • všeobecných povinností (čl. 25 - 39 GDPR, § 31 - § 35 nového zákona) – napr. porušenie povinnosti prevádzkovateľa prijať vhodné technické a organizačné opatrenia na zabezpečenie a preukázanie toho, že spracúvanie osobných údajov sa vykonáva v súlade so zákonom,
  • viesť záznam o spracovateľských činnostiach, za ktoré je zodpovedný (§ 37 nového zákona),
  • bezpečnosti spracúvania, oznámenia porušenia ochrany osobných údajov úradu alebo dotknutej osobe, posúdenia vplyvu na ochranu osobných údajov, určenie zodpovednej osoby (§ 39 - § 45 nového zákona),
  • certifikácie (čl. 42 a čl. 43 GDPR),
  • mlčanlivosti o osobných údajoch, ktoré spracúva (§ 79 nového zákona),
  • poskytnutia súčinnosti úradu pri výkone jeho úloh (§ 109 nového zákona),
  1. príslušnému orgánu za neplnenie alebo porušenie niektorej z povinností, ktoré mu vyplývajú z § 67 - 72 nového zákona - napr. povinnosť predchádzajúcej konzultácie s úradom (teda ešte pred spracúvaním osobných údajov, ktoré majú tvoriť súčasť nového informačného systému), oznamovacia povinnosť v prípade porušenia ochrany osobných údajov voči orgánu členského štátu príslušnému na plnenie úloh na účely trestného konania,
  2. sprostredkovateľovi (vrátane orgánu verejnej moci a verejnoprávnej inštitúcii v postavení sprostredkovateľa) za neplnenie alebo porušenie:
  • všeobecných povinností (čl. 27 až 33 GDPR, § 34 - 37 nového zákona) – napr. porušenie povinnosti spracúvať osobné údaje len na základe písomných pokynov prevádzkovateľa,
  • určenia a postavenia zodpovednej osoby (čl. 37 - 39 GDPR, § 44 - 45 nového zákona),
  • bezpečnosti spracúvania osobných údajov (§ 39 a § 71 nového zákona),
  • certifikácie (čl. 42 a čl. 43 GDPR),
  • oznámenia porušenia ochrany osobných údajov úradu (§ 40 ods. 3 nového zákona),
  • mlčanlivosti o osobných údajoch, ktoré spracúva (§ 79 nového zákona),
  • poskytnutia súčinnosti úradu pri výkone jeho úloh (§ 109 nového zákona),
  1. certifikačnému subjektu za neplnenie alebo porušenie niektorej z povinností, ktoré mu vyplývajú ako osobitnému subjektu podľa § 88 a § 89 nového zákona a podľa čl. 42 a 43 GDPR – napr. porušenie oznamovacej povinnosti úradu,
  2. monitorujúcemu subjektu za neplnenie alebo porušenie niektorej z povinností, ktoré mu vyplývajú ako osobitnému subjektu podľa § 87 ods. 5 a 19 nového zákona a podľa čl. 41 ods. 4 GDPR – napr. porušenie informačnej povinnosti voči úradu.

Pokutu do výšky 20 000 000 eur alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok podľa toho, ktorá suma je vyššia, môže úrad uložiť každému, kto:

  • nesplnil alebo porušil niektorú zo základných zásad spracúvania osobných údajov vrátane podmienok súhlasu (čl. 5 - 7 a čl. 9 GDPR, § 6 - 14, § 16 a § 52 - 58 nového zákona) – napr. porušenie zásady zákonnosti, porušenie spracúvania citlivých údajov,
  • nesplnil alebo porušil niektoré z práv dotknutej osoby (čl. 12 - 22 GDPR, § 19 - 29 a § 59 - 66 nového zákona) – napr. porušenie informačnej povinnosti voči dotknutej osobe,
  • nesplnil alebo porušil niektorú z povinností pri prenose osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii (čl. 44 - 49 GDPR, § 49 - 51 a § 73 - 77 nového zákona),
  • nesplnil alebo porušil niektorú z povinností zákonného spracúvania osobných údajov (§ 78 nového zákona) – napr. porušenie povinnosti prijať primerané záruky pre práva dotknutej osoby pri spracúvaní osobných údajov na účel archivácie alebo na vedecký či štatistický účel,
  • nesplnil príkaz alebo nedodržal dočasné alebo trvalé obmedzenie spracúvania osobných údajov alebo pozastavenie prenosu osobných údajov nariadeného úradom (čl. 58 ods. 2 GDPR, § 81 ods. 3 nového zákona) alebo neposkytol prístup (čl. 58 ods. 1 GDPR),
  • nesplnil úradom uložené opatrenie (čl. 58 ods. 2 GDPR, § 102 ods. 1 písm. a/ nového zákona) – ide o opatrenie na nápravu a lehotu na vykonanie nariadeného opatrenia.

Poriadkovú pokutu do výšky 2 000 eur môže úrad uložiť:

  1. prevádzkovateľovi alebo sprostredkovateľovi, prípadne ich zástupcovi za nezabezpečenie primeraných podmienok na výkon kontroly (§ 94 písm. a/ nového zákona)
  2. inej osobe, ktorá nie je prevádzkovateľom alebo sprostredkovateľom (tretej osobe) za neposkytnutie požadovanej súčinnosti úradu pri výkone dozoru (§ 109 nového zákona).

Poriadkovú pokutu do výšky 10 000 eur môže úrad uložiť prevádzkovateľovi alebo sprostredkovateľovi, prípadne ich zástupcovi za marenie výkonu kontroly (§ 94 písm. b/ - h/ nového zákona) – napr. neposkytnutie súčinnosti nevyhnutnej na riadny výkon kontroly.

Napriek tomu, že výška jednotlivých pokút ustanovených v GDPR je akýmsi „všeobecným strašiakom“, treba mať vždy na pamäti, že úrad môže, ale nemusí pokutu uložiť (t. j. nemá povinnosť uložiť pokutu).

Taktiež zdôrazňujeme, že nie za každé porušenie GDPR alebo nového zákona o ochrane osobných údajov musí byť hneď uložená pokuta. Kontrolovaný subjekt (napr. obchodná spoločnosť ako prevádzkovateľ) môže byť napríklad najprv upozornený na to, že jeho spracovateľské operácie pravdepodobne porušujú európske nariadenie alebo pri zistení konkrétneho porušenia mu môže byť udelené napomenutie. To znamená, že úrad posudzuje každé porušenie samostatne a po zhodnotení konkrétnych okolností zváži, či kontrolovanému subjektu hneď uloží pokutu a v akej výške alebo ho len napomenie.

Článok pokračuje pod reklamou

Na aké okolnosti úrad pri udelení pokuty podľa GDPR prihliada?

Pokuty a poriadkové pokuty úrad ukladá v závislosti od okolností každého jednotlivého prípadu. V zmysle GDPR je teda úrad pri ukladaní týchto sankcií povinný posudzovať okolnosti každého konkrétneho prípadu tak, aby ukladané pokuty boli účinné, primerané a odrádzajúce.

Podľa GDPR a nového zákona o ochrane osobných údajov musí úrad pri rozhodovaní o uložení pokuty a určení jej výšky zohľadniť najmä:

  • povahu, závažnosť a trvanie porušenia, povahu, rozsah alebo účel spracúvania osobných údajov, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ak vznikla,
  • prípadné zavinenie porušenia ochrany osobných údajov - t. j. úmyselný alebo nedbanlivostný charakter porušenia,
  • opatrenia, ktoré prevádzkovateľ alebo sprostredkovateľ prijal na zmiernenie škody, ktorú dotknuté osoby utrpeli,
  • mieru zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia, ktoré prijal v súvislosti so špecificky navrhnutou a štandardnou ochranou osobných údajov (§ 32 nového zákona), bezpečnosťou spracúvania (§ 39 nového zákona) a posúdením vplyvu na ochranu osobných údajov (§ 42 nového zákona),
  • predchádzajúce porušenia ochrany osobných údajov zo strany prevádzkovateľa alebo sprostredkovateľa,
  • mieru spolupráce s úradom pri náprave porušenia ochrany osobných údajov a zmiernení možných nepriaznivých dôsledkov porušenia ochrany osobných údajov,
  • kategóriu osobných údajov, ktorých sa porušenie ochrany osobných údajov týka,
  • spôsob, akým sa úrad o porušení ochrany osobných údajov dozvedel, a najmä to, či prevádzkovateľ alebo sprostredkovateľ porušenie ochrany osobných údajov oznámili, a ak áno, v akom rozsahu,
  • splnenie opatrení prevádzkovateľom alebo sprostredkovateľom, ktoré boli už skôr v konaní o ochrane osobných údajov uložené,
  • dodržiavanie schválených kódexov správania (§ 85 nového zákona) alebo vydaných certifikátov (§ 86 nového zákona),
  • priťažujúce okolnosti alebo poľahčujúce okolnosti, najmä finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením ochrany osobných údajov.

V akej lehote môže úrad pokutu uložiť?

Pri ukladaní sankcií musí úrad dodržať premlčacie lehoty ustanovené novým zákonom o ochrane osobných údajov. Osobitná lehota je určená pre uloženie pokuty a iná zase pre uloženie poriadkovej pokuty. Lehoty zodpovedajú charakteru závažnosti porušenia povinností.

Úrad môže uložiť pokutu:

  • do dvoch rokov odo dňa, keď zistil porušenie povinnosti (tzv. subjektívna lehota),
  • najneskôr do piatich rokov odo dňa, keď k porušeniu povinnosti došlo (tzv. objektívna lehota).

Subjektívna aj objektívna lehota musí byť dodržaná súčasne – subjektívna lehota vždy plynie v rámci objektívnej lehoty.

Úrad môže uložiť poriadkovú pokutu do šiestich mesiacov odo dňa, keď k porušeniu povinnosti došlo (tzv. objektívna lehota).

Povinnosti podnikateľa Ochrana osobných údajov GDPR - ochrana osobných údajov

Viac podobných článkov nájdete na www.podnikajte.sk

Petra Pohorelá
Petra Pohorelá

Absolventka Právnickej fakulty Univerzity P. J. Šafárika v Košiciach, ktorá pôsobí v oblasti justície a zameriava sa najmä na obchodné a pracovné právo.

Články autora
Zápis do obchodného registra od 1. 11. 2023
Centrálny register účtov – otázky a odpovede
Projekt premeny obchodných spoločností a družstiev od 1. 3. 2024
Rozdelenie obchodných spoločností od 1. 3. 2024
Zmeny právnej formy od 1. 3. 2024
Neprípustnosť premeny obchodných spoločností od 1. 3. 2024
Nový zákon o premenách obchodných spoločností a družstiev od 1. 3. 2024
Ako založiť rodinný podnik od 1. 7. 2023
Dedenie majetku podnikateľa – praktické prípady
Evidovaný a registrovaný rodinný podnik od 1. 7. 2023
Zobraziť viac
Zobraziť menej

Súvisiace témy

Národný program reforiem: na čo sa pripraviť?
Pripravované zmeny v legislatíve - Libuša Removčíková

Národný program reforiem: na čo sa pripraviť?

Návrat k eFaktúre, efektívnejšie plnenie daňových povinností, podpora inovácií či jednoduchšie zamestnávanie cudzincov. Súhrn opatrení, ktoré reagujú na odporúčania EÚ.
Otváracie hodiny počas veľkonočných sviatkov 2024
Zákonné povinnosti podnikateľa - Libuša Removčíková

Otváracie hodiny počas veľkonočných sviatkov 2024

Prehľad otváracej doby jednotlivých reťazcov počas Veľkej noci - od 29.3.2024 do 1.4.2024. Kto (ne)musí prevádzku zatvoriť?
Aplikovať botox nemôže hocikto: aké sú pravidlá v estetickej medicíne?
Zákonné povinnosti podnikateľa - Libuša Removčíková

Aplikovať botox nemôže hocikto: aké sú pravidlá v estetickej medicíne?

Kedy môže zväčšovať pery alebo vyhladzovať vrásky kozmetička a kedy to musí robiť lekár? Môže botox aplikovať zdravotná sestra? Čo hovorí zákon a kto kontroluje jeho dodržiavanie?
Povinnosti podnikateľa/účtovníka v januári 2024
Dane - Dominika Ružičková Kubišová

Povinnosti podnikateľa/účtovníka v januári 2024

Ukončenie roka so sebou prináša množstvo povinností. Čo všetko musia podnikatelia, príp. ich účtovníci stihnúť (spravidla) do 31. januára 2024?
Inšpirácia pre podnikanie
Podnikanie vo dvojici: keď sa zo životných partnerov stanú partneri aj v biznise Generačná výmena môže biznis posunúť vpred: príkladom je prešovská textilná firma
Štart podnikania
Založenie živnosti študenta a platenie odvodov Ako výhodne vybrať peniaze z s. r. o.?
Dane a účtovníctvo
Základná náhrada za 1 km pri použití motorového vozidla od 1. 5. 2024 PN a nemocenské živnostníka v roku 2024
Financie ekonomika
Predčasný dôchodok od 15. 5. 2024 Schvaľovanie dôchodku: riziko výpadku príjmu a neplatenia odvodov
Manažment a marketing
Elektromobilita na Slovensku: v rozvoji nestíhame priemeru EÚ Nekalé praktiky a podvody pri obchodovaní s ázijskými firmami
Právo a legislatíva
Európska smernica o minimálnych mzdách: čo znamená pre Slovensko? Cestovné náhrady za spotrebované pohonné látky od 1.1.2025 (návrh)
To najlepšie z Podnikajte.sk do vašej schránky