Jaké pokuty hrozí za porušení GDPR? Tato otázka straší mnoho manažerů. A právem. Pokuty často dosahují astronomických částek, které mohou firmu položit na lopatky. Jaké chyby se vám stanou osudnými? Přečtěte si náš článek zjistěte, jaká jsou nejčastější porušení GDPR a jak se jim vyhnout.
Obecné nařízení o ochraně osobních údajů (GDPR) poprvé vstoupilo v platnost 25. května 2018 a stalo se jedním z nejpřísnějších zákonů na ochranu soukromí a bezpečnosti dat na světě. Porušení tohoto nařízení může mít závažné právní a finanční následky pro organizace, které jej nedodržují.
Sankce za porušení GDPR
Sankce za porušení GDPR mohou být velmi vysoké a jsou rozdělené do dvou úrovní, které reflektují závažnost porušení a jeho dopad na ochranu osobních údajů. Tyto úrovně jsou stanovené tak, zajistily, že pokuty budou účinné, přiměřené a odrazující.
-
Nižší úroveň sankcí
Pokuta za porušení GDPR může dosahovat až 10 milionů eur nebo 2 % celkového celosvětového ročního obratu firmy (podle toho, která hodnota je vyšší). Tato úroveň pokut se vztahuje na méně závažná porušení povinností stanovených GDPR. Mezi taková řadíme například:
- Nejmenování pověřence pro ochranu osobních údajů (DPO): Pokud jsou splněné určité podmínky – jako je rozsáhlé zpracování citlivých údajů nebo monitorování osob ve velkém měřítku – musí organizace určit pověřence pro ochranu osobních údajů. Nepřítomnost takové osoby nebo její nesprávné jmenování může být důvodem k udělení pokuty.
- Nedostatečné vedení záznamů o zpracování osobních údajů: Organizace jsou povinné vést přesné záznamy o činnostech zpracovávání osobních údajů. Tyto záznamy musí obsahovat informace o tom:
– jaké údaje jsou zpracovávané,
– za jakým účelem,
– kdo k nim má přístup
– a jak jsou chráněné.
- Nedostatečné zabezpečení osobních údajů: Organizace musí zavést vhodná technická a organizační opatření k zabezpečení osobních údajů proti neoprávněnému přístupu, ztrátě nebo poškození.
- Vyšší úroveň sankcí
Pokuta za porušení GDPR v této úrovni může dosahovat až 20 milionů eur nebo 4 % celkového celosvětového ročního obratu firmy (opět podle toho, která hodnota je vyšší). Tato úroveň pokut se uplatňuje při závažnějších porušeních GDPR, která mají významný dopad na práva a svobody subjektů osobních údajů. Jaká porušení sem spadají?
- Nedodržení základních zásad zpracování osobních údajů. GDPR stanoví základní zásady, jako jsou:
– zákonnost,
– spravedlnost,
– transparentnost,
– omezení účelu,
– minimalizace dat,
– přesnost,
– omezení uložení
– a integrita a důvěrnost.
- Porušení práv subjektů údajů. Subjekty osobních údajů mají podle GDPR řadu práv, včetně:
- práva na přístup k jejich údajům,
- práva na opravu, práva na výmaz (známé jako „právo být zapomenut“),
- práva na omezení zpracování,
- práva na přenositelnost údajů
- a práva na vznesení námitky.
- Závažná bezpečnostní porušení: Úniky dat, které vedou k významnému riziku pro práva a svobody fyzických osob. Příkladem je únik dat klientů British Airways, který vedl k pokutě ve výši 20 milionů liber nebo pokuta pro H&M 3,5 milionů eur za neoprávněné sledování zaměstnanců.
V souhrnu jsou sankce za porušení GDPR vymezené tak, aby chránily osobní údaje jednotlivců a zajistily, že organizace budou dodržovat nastavené standardy ochrany dat.
Nahlášení porušení GDPR
Pokud dojde k porušení zabezpečení osobních údajů, je nezbytné toto porušení nahlásit příslušnému dozorovému úřadu do 72 hodin od okamžiku, kdy se o něm správce údajů dozvěděl. V České republice je tímto subjektem Úřad pro ochranu osobních údajů (ÚOOÚ).
Porušení GDPR může mít pro organizace velmi vážné důsledky – kromě vysokých finančních sankcí hrozí také poškození reputace. Dodržování zásad GDPR a pečlivé vedení záznamů o zpracování osobních údajů je nezbytné pro minimalizaci rizik a ochranu práv jednotlivců. V případě porušení je důležité rychle jednat a informovat příslušné úřady.
