Hrozby
GDPR – Dobrý úmysl či cesta do pekla?
Záměrem Evropské komise je dát občanům Evropské unie maximální práva při kontrole jejich osobních dat a zamezit jejich nepovolenému zveřejnění či zneužití. Takto nově zaručená práva jsou vymahatelná díky novým astronomickým pokutám, které hrozí firmám, státní správě, samosprávě, zdravotnictví, školství atd.
Ochrana osobních dat je dobrým úmyslem, ale jedna z jeho cest může být velmi problematická.
Nebezpečí pro statutární orgány, vrcholný management či politickou reprezentaci naleznete v Klientské sekci.
Sankce
Stejné sankce po celé EU
Pozor: Nařízení platí po celé Evropské unii stejně, proto i vymahatelnost je rovnoměrná. To znamená, že např. minimální pokuta 20 000 EUR nebude v ČR 20 000 Kč, ale opět 20 000 EUR. Výši pokut za určitý přestupek bude určovat úřad Evropské unie, a bude stejná, jak pro Siemens AG tak pro Novák s. r. o. v Čmelicích, jak pro Magistrát v Paříži, tak pro úřad v Horní Dolní.
Správní pokuty budou závislé např. na těchto faktorech:
- Jmenování či nejmenování pověřence pro ochranu osobních údajů (DPO)
- Povaha, závažnost a délka porušení s přihlédnutím k povaze, rozsahu či účelu zpracování.
- Úmysl nebo nedbalost
- Počet dotčených subjektů a míra škody
- Kroky podniknuté správcem či zpracovatelem ke zmírnění škod
- Míra spolupráce s dozorovým úřadem za účelem nápravy
- Kategorie osobních údajů dotčené porušením
- Způsob, jakým se dozorový úřad dozvěděl o porušení – hlášení incidentu
Výše pokuty nebude tedy záviset na národním úřadu, ale na Evropském sboru pro ochranu osobních údajů, bude jednotná a uvedená v EUR. Národní úřad bude určovat míru provinění při jednotlivých incidentech. Přitěžující okolností je i pozdní start přípravy s implementací GDPR nebo nejmenování pověřence pro ochranu osobních údajů (DPO).
Sankce
- Náhrada hmotné či nehmotné újmy od správce nebo zpracovatele – společná odpovědnost všech zapojených subjektů – na základě rozhodnutí příslušného soudu (Pozor na únik dat u cizinců např. ve zdravotnictví)
- Správní pokuty udělované dozorovým úřadem
- Jiné sankce – stanovené pravidly členského státu – musí být účinné, přiměřené a odrazující i pro případ, kdy právo členského státu neumožňuje uložení správních pokut
- Trestní odpovědnost právnických osob
Pokuty
Maximální výše správní pokuty může dosáhnout (viz čl. 83 GDPR):
- 20 000 000 EUR nebo 4% z celkového ročního obratu celosvětově za předchozí finanční rok
- 10 000 000 EUR nebo 2% z celkového ročního obratu celosvětově za předchozí finanční rok
Kritéria pro ukládání sankcí
- Úmysl x nedbalost
- Závažnost a délka porušení s přihlédnutím k povaze, rozsahu, účelu zpracování
- Počet poškozených FO
- Vzniklá škoda
- První nebo opakované porušení
- Součinnost s dozorovým orgánem
- Opatření k nápravě – technická, personální
- Pozdní začátek přípravy na GDPR
- Nejmenování pověřence na ochranu osobních údajů
Doporučení
Včasným jmenováním pověřence na ochranu osobních údajů – DPO a plněním shody GDPR se zcela jistě vyhnete problémům v budoucnosti a při incidentech si významně zlepšíte svojí pozici před dozorovým orgánem.
V případě zájmu nás kontaktujte!
Máte zájem o další informace, školení, nebo se chcete stát naším klientem v oblasti řešení a služeb , které naše společnost poskytuje ?
Neváhejte nás kontaktovat, ozveme se vám v nejbližším možném termínu.