Ukladanie pokút podľa GDPR

Zanedbanie povinností ustanovených v GDPR alebo strata osobných údajov môže stáť firmu nemálo peňazí. Aké pokuty hrozia za porušenie jednotlivých povinností? Prinášame ucelený prehľad.

Európske nariadenie o ochrane osobných údajov, známe pod skratkou GDPR a nový zákon č. 18/2018 Z. z. o ochrane osobných údajov nadobudli účinnosť dňa 25. 5. 2018. Od tohto dátumu sa v členských štátoch EÚ uplatňuje jednotný režim ochrany osobných údajov vrátane ukladania pokút za porušenie ustanovených povinností . Nový zákon o ochrane osobných údajov v podstate kopíruje ustanovenia GDPR.

Druhy pokút podľa GDPR

Za porušenie povinností ustanovených GDPR alebo novým zákonom o ochrane osobných údajovmôže Úrad na ochranu osobných údajov SR (ďalej len „úrad“), v závislosti od okolností každého jednotlivého prípadu a ďalších skutočností, ktoré berie do úvahy, uložiť nasledovné druhy sankcií:

  1. pokutu za správne delikty (za priame porušenie GDPR alebo nového zákona) - úrad ju ukladá výlučne jednorazovo, za ten istý správny delikt môže udeliť len jednu pokutu,
  2. poriadkovú pokutu za nesplnenie ním uloženého opatrenia (za nesplnenie predchádzajúceho opatrenia uloženého úradom) - úrad ju môže udeliť aj opakovane, ak povinnosť nebola splnená v určenej lehote.

Pokuty a poriadkové pokuty sú príjmom štátneho rozpočtu.

Uvedené pokuty môžu byť uložené:

  • prevádzkovateľovi – t. j. každému, kto sám spracúva osobné údaje vo vlastnom mene (napr. obchodná spoločnosť),
  • sprostredkovateľovi – t. j. každému, kto spracúva osobné údaje v mene prevádzkovateľa (napr. externý účtovník),
  • zástupcovi prevádzkovateľa alebo sprostredkovateľa,
  • inej osobe, ktorá nie je prevádzkovateľom alebo sprostredkovateľom (napr. certifikačnému subjektu – t. j. subjektu, ktorému bola udelená akreditácia v súlade s GDPR a ktorý vykonáva vydanie, obnovu i odňatie certifikátu; alebo monitorujúcemu subjektu – t. j. subjektu, ktorý spĺňa kritériá a podmienky na udelenie akreditácie v súlade s GDPR a ktorý monitoruje súlad spracúvania osobných údajov s kódexom správania).

Akú výšku pokút ustanovuje GDPR?

Podľa starého zákona o ochrane osobných údajov bolo možné pokuty ukladať do maximálnej výšky 200 000 eur. GDPR prinieslo výraznú zmenu, pretože zakotvilo možnosť ukladania pokút až do výšky niekoľkých miliónov eur. V prípade porušenia nového európskeho nariadenia tak hrozia povinným subjektom vysoké pokuty, ktoré môžu byť pre firmy v niektorých situáciách až likvidačné.

Úrad môže v prípade zistenia porušenia povinností ustanovených GDPR alebo novým zákonom o ochrane osobných údajov uložiť:

  • pokutu do výšky 10 000 000 eur alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok podľa toho, ktorá suma je vyššia – za menej závažné porušenia povinností,
  • pokutu do výšky 20 000 000 eur, alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia - za závažné porušenia povinností,
  • poriadkovú pokutu do výšky 2 000 eur,
  • poriadkovú pokutu do výšky 10 000 eur.

Uvedené sumy pokút predstavujú horný strop, teda ide o maximálnu hornú hranicu pokuty, ktorá môže byť uložená.

Ako prebieha kontrola a informácie o dodrživaní GDPR nájdete v článku Kontrola dodržiavania GDPR

Za aké porušenie povinností hrozia podľa GDPR pokuty?

Pokutu do výšky 10 000 000 eur alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok podľa toho, ktorá suma je vyššia, môže úrad uložiť:

  1. prevádzkovateľovi (vrátane orgánu verejnej moci a verejnoprávnym inštitúciám) za neplnenie alebo porušenie:
  • podmienok poskytnutia súhlasu v súvislosti so službami informačnej spoločnosti (čl. 8 GDPR, § 15 nového zákona),
  • spracovávania osobných údajov bez potreby identifikácie (čl. 11 GDPR, § 18 nového zákona),
  • všeobecných povinností (čl. 25 - 39 GDPR, § 31 - § 35 nového zákona) – napr. porušenie povinnosti prevádzkovateľa prijať vhodné technické a organizačné opatrenia na zabezpečenie a preukázanie toho, že spracúvanie osobných údajov sa vykonáva v súlade so zákonom,
  • viesť záznam o spracovateľských činnostiach, za ktoré je zodpovedný (§ 37 nového zákona),
  • bezpečnosti spracúvania, oznámenia porušenia ochrany osobných údajov úradu alebo dotknutej osobe, posúdenia vplyvu na ochranu osobných údajov, určenie zodpovednej osoby (§ 39 - § 45 nového zákona),
  • certifikácie (čl. 42 a čl. 43 GDPR),
  • mlčanlivosti o osobných údajoch, ktoré spracúva (§ 79 nového zákona),
  • poskytnutia súčinnosti úradu pri výkone jeho úloh (§ 109 nového zákona),
  1. príslušnému orgánu za neplnenie alebo porušenie niektorej z povinností, ktoré mu vyplývajú z § 67 - 72 nového zákona - napr. povinnosť predchádzajúcej konzultácie s úradom (teda ešte pred spracúvaním osobných údajov, ktoré majú tvoriť súčasť nového informačného systému), oznamovacia povinnosť v prípade porušenia ochrany osobných údajov voči orgánu členského štátu príslušnému na plnenie úloh na účely trestného konania,
  2. sprostredkovateľovi (vrátane orgánu verejnej moci a verejnoprávnej inštitúcii v postavení sprostredkovateľa) za neplnenie alebo porušenie:
  • všeobecných povinností (čl. 27 až 33 GDPR, § 34 - 37 nového zákona) – napr. porušenie povinnosti spracúvať osobné údaje len na základe písomných pokynov prevádzkovateľa,
  • určenia a postavenia zodpovednej osoby (čl. 37 - 39 GDPR, § 44 - 45 nového zákona),
  • bezpečnosti spracúvania osobných údajov (§ 39 a § 71 nového zákona),
  • certifikácie (čl. 42 a čl. 43 GDPR),
  • oznámenia porušenia ochrany osobných údajov úradu (§ 40 ods. 3 nového zákona),
  • mlčanlivosti o osobných údajoch, ktoré spracúva (§ 79 nového zákona),
  • poskytnutia súčinnosti úradu pri výkone jeho úloh (§ 109 nového zákona),
  1. certifikačnému subjektu za neplnenie alebo porušenie niektorej z povinností, ktoré mu vyplývajú ako osobitnému subjektu podľa § 88 a § 89 nového zákona a podľa čl. 42 a 43 GDPR – napr. porušenie oznamovacej povinnosti úradu,
  2. monitorujúcemu subjektu za neplnenie alebo porušenie niektorej z povinností, ktoré mu vyplývajú ako osobitnému subjektu podľa § 87 ods. 5 a 19 nového zákona a podľa čl. 41 ods. 4 GDPR – napr. porušenie informačnej povinnosti voči úradu.

Pokutu do výšky 20 000 000 eur alebo ak ide o podnik do 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok podľa toho, ktorá suma je vyššia, môže úrad uložiť každému, kto:

  • nesplnil alebo porušil niektorú zo základných zásad spracúvania osobných údajov vrátane podmienok súhlasu (čl. 5 - 7 a čl. 9 GDPR, § 6 - 14, § 16 a § 52 - 58 nového zákona) – napr. porušenie zásady zákonnosti, porušenie spracúvania citlivých údajov,
  • nesplnil alebo porušil niektoré z práv dotknutej osoby (čl. 12 - 22 GDPR, § 19 - 29 a § 59 - 66 nového zákona) – napr. porušenie informačnej povinnosti voči dotknutej osobe,
  • nesplnil alebo porušil niektorú z povinností pri prenose osobných údajov príjemcovi v tretej krajine alebo medzinárodnej organizácii (čl. 44 - 49 GDPR, § 49 - 51 a § 73 - 77 nového zákona),
  • nesplnil alebo porušil niektorú z povinností zákonného spracúvania osobných údajov (§ 78 nového zákona) – napr. porušenie povinnosti prijať primerané záruky pre práva dotknutej osoby pri spracúvaní osobných údajov na účel archivácie alebo na vedecký či štatistický účel,
  • nesplnil príkaz alebo nedodržal dočasné alebo trvalé obmedzenie spracúvania osobných údajov alebo pozastavenie prenosu osobných údajov nariadeného úradom (čl. 58 ods. 2 GDPR, § 81 ods. 3 nového zákona) alebo neposkytol prístup (čl. 58 ods. 1 GDPR),
  • nesplnil úradom uložené opatrenie (čl. 58 ods. 2 GDPR, § 102 ods. 1 písm. a/ nového zákona) – ide o opatrenie na nápravu a lehotu na vykonanie nariadeného opatrenia.

Poriadkovú pokutu do výšky 2 000 eur môže úrad uložiť:

  1. prevádzkovateľovi alebo sprostredkovateľovi, prípadne ich zástupcovi za nezabezpečenie primeraných podmienok na výkon kontroly (§ 94 písm. a/ nového zákona)
  2. inej osobe, ktorá nie je prevádzkovateľom alebo sprostredkovateľom (tretej osobe) za neposkytnutie požadovanej súčinnosti úradu pri výkone dozoru (§ 109 nového zákona).

Poriadkovú pokutu do výšky 10 000 eur môže úrad uložiť prevádzkovateľovi alebo sprostredkovateľovi, prípadne ich zástupcovi za marenie výkonu kontroly (§ 94 písm. b/ - h/ nového zákona) – napr. neposkytnutie súčinnosti nevyhnutnej na riadny výkon kontroly.

Napriek tomu, že výška jednotlivých pokút ustanovených v GDPR je akýmsi „všeobecným strašiakom“, treba mať vždy na pamäti, že úrad môže, ale nemusí pokutu uložiť (t. j. nemá povinnosť uložiť pokutu).

Taktiež zdôrazňujeme, že nie za každé porušenie GDPR alebo nového zákona o ochrane osobných údajov musí byť hneď uložená pokuta. Kontrolovaný subjekt (napr. obchodná spoločnosť ako prevádzkovateľ) môže byť napríklad najprv upozornený na to, že jeho spracovateľské operácie pravdepodobne porušujú európske nariadenie alebo pri zistení konkrétneho porušenia mu môže byť udelené napomenutie. To znamená, že úrad posudzuje každé porušenie samostatne a po zhodnotení konkrétnych okolností zváži, či kontrolovanému subjektu hneď uloží pokutu a v akej výške alebo ho len napomenie.

Článok pokračuje pod reklamou

Na aké okolnosti úrad pri udelení pokuty podľa GDPR prihliada?

Pokuty a poriadkové pokuty úrad ukladá v závislosti od okolností každého jednotlivého prípadu. V zmysle GDPR je teda úrad pri ukladaní týchto sankcií povinný posudzovať okolnosti každého konkrétneho prípadu tak, aby ukladané pokuty boli účinné, primerané a odrádzajúce.

Podľa GDPR a nového zákona o ochrane osobných údajov musí úrad pri rozhodovaní o uložení pokuty a určení jej výšky zohľadniť najmä:

  • povahu, závažnosť a trvanie porušenia, povahu, rozsah alebo účel spracúvania osobných údajov, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ak vznikla,
  • prípadné zavinenie porušenia ochrany osobných údajov - t. j. úmyselný alebo nedbanlivostný charakter porušenia,
  • opatrenia, ktoré prevádzkovateľ alebo sprostredkovateľ prijal na zmiernenie škody, ktorú dotknuté osoby utrpeli,
  • mieru zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia, ktoré prijal v súvislosti so špecificky navrhnutou a štandardnou ochranou osobných údajov (§ 32 nového zákona), bezpečnosťou spracúvania (§ 39 nového zákona) a posúdením vplyvu na ochranu osobných údajov (§ 42 nového zákona),
  • predchádzajúce porušenia ochrany osobných údajov zo strany prevádzkovateľa alebo sprostredkovateľa,
  • mieru spolupráce s úradom pri náprave porušenia ochrany osobných údajov a zmiernení možných nepriaznivých dôsledkov porušenia ochrany osobných údajov,
  • kategóriu osobných údajov, ktorých sa porušenie ochrany osobných údajov týka,
  • spôsob, akým sa úrad o porušení ochrany osobných údajov dozvedel, a najmä to, či prevádzkovateľ alebo sprostredkovateľ porušenie ochrany osobných údajov oznámili, a ak áno, v akom rozsahu,
  • splnenie opatrení prevádzkovateľom alebo sprostredkovateľom, ktoré boli už skôr v konaní o ochrane osobných údajov uložené,
  • dodržiavanie schválených kódexov správania (§ 85 nového zákona) alebo vydaných certifikátov (§ 86 nového zákona),
  • priťažujúce okolnosti alebo poľahčujúce okolnosti, najmä finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením ochrany osobných údajov.

V akej lehote môže úrad pokutu uložiť?

Pri ukladaní sankcií musí úrad dodržať premlčacie lehoty ustanovené novým zákonom o ochrane osobných údajov. Osobitná lehota je určená pre uloženie pokuty a iná zase pre uloženie poriadkovej pokuty. Lehoty zodpovedajú charakteru závažnosti porušenia povinností.

Úrad môže uložiť pokutu:

  • do dvoch rokov odo dňa, keď zistil porušenie povinnosti (tzv. subjektívna lehota),
  • najneskôr do piatich rokov odo dňa, keď k porušeniu povinnosti došlo (tzv. objektívna lehota).

Subjektívna aj objektívna lehota musí byť dodržaná súčasne – subjektívna lehota vždy plynie v rámci objektívnej lehoty.

Úrad môže uložiť poriadkovú pokutu do šiestich mesiacov odo dňa, keď k porušeniu povinnosti došlo (tzv. objektívna lehota).

Viac podobných článkov nájdete na www.podnikajte.sk


65 000 podnikateľov nepripojených na e-kasu dostalo upozornenie

Finančná správa rozposlala upozornenie podnikateľom, ktorí ešte neevidujú tržby v systéme eKasa. Ide o ďalšie opatrenia v snahe pomôcť podnikateľom vyhnúť sa koncoročnému náporu.

Zápis konečného užívateľa výhod do obchodného registra – praktický videonávod

Ešte ste nestihli zapísať údaje konečného užívateľa výhod svojej firmy? Prinášame vám videonávod, ako to zvládnete svojpomocne krok po kroku.

Aké údaje musí obsahovať firemný web?

Aké informácie je podnikateľ povinný zverejňovať na svojom webe? Aké pokuty hrozia? Prinášame prehľad povinne zverejňovaných údajov na webovej stránke podnikateľa.

Musí mať podnikateľ pečiatku?

Je pečiatka zákonnou povinnosťou? Majú úrady či obchodní partneri právo ju od podnikateľa vyžadovať? Kedy pečiatka uľahčuje podnikateľovi život?
To najlepšie z Podnikajte.sk do vašej schránky