Uloženie pokuty pritom nie je jediným nástrojom, ktorý dozorné orgány môžu použiť, aby presadili dodržiavanie všetkých požiadaviek. Úrad na ochranu osobných údajov by mohol okrem pokuty uložiť spracúvateľovi osobných údajov aj opatrenie, ktorého cieľom je zladiť procesy v spoločnosti tak, aby bol dosiahnutý súlad s nariadením.
V závislosti od toho, o aké závažné porušenie naradenia ide, môže byť uložená pokuta buď do 10 miliónov eur, resp. do dvoch percent celkového svetového ročného obratu firmy, alebo do 20 miliónov či štyri percentá z celkového svetového ročného obratu spoločnosti. Nariadenie však zároveň pripúšťa, že aj za menej závažné porušenie stanovených pravidiel sa bude dať na základne konkrétnych okolností a závažnosti prípadu uložiť aj vyššiu sankciu. Takýmto prípadom môže byť, ak za určité porušenie spoločnosť už dostala príkaz na zavedenie opatrenia, ktoré však neimplementovala, následkom čoho došlo k ďalšiemu porušeniu ochrany osobných údajov. Zároveň v prípade, ak spoločnosť poruší hneď niekoľko ustanovení nariadenia, z ktorých niektoré spadajú pod tie menej závažné a iné pod tie závažnejšie, možno očakávať, že pokuta bude uložená v medziach závažnejšieho porušenia.
Čo ovplyvňuje výšku pokuty?
Faktormi, ktoré sa berú do úvahy pri posudzovaní závažnosti konkrétneho porušenia, sú rozsah spracúvania osobných údajov, o aký druh údajov ide, ako aj počet osôb dotknutých porušením a prípadná škoda, ktorá im môže únikom údajov vzniknúť. Rozhodujúce v tomto zmysle môže byť napríklad to, či ide o osobitné kategórie osobných údajov, akými sú rodné čísla, údaje o zdravotnom stave alebo biometrické a genetické údaje, či je osoba v prípade úniku údajov priamo alebo nepriamo identifikovateľná alebo jej na základe uniknutých osobných údajov hrozí diskriminácia či poškodenie dobrej povesti. Aby sa zamedzilo takýmto následkom, je vhodné preventívne chrániť osobné údajné rôznymi technickými prostriedkami, akými sú napríklad pseudonymizácia alebo šifrovanie. Je tiež dôležité zvážiť, či v konkrétnom prípade spoločnosť nespracúva viac osobných údajov, ako je potrebné na daný účel.
Ďalším aspektom, ktorý hrá pri udeľovaní pokuty rolu, je preukázanie zodpovedného prístupu spoločnosti k ochrane osobných údajov, ktorý môže byť demonštrovaný zavedením a dodržiavaním technických, organizačných a bezpečnostných opatrení tak, aby v prípade bezpečnostného incidentu boli následky pre dotknuté osoby čo najmenšie. V týchto intenciách má význam dodržiavanie kódexov správania a „best practices“, ktoré stanovujú štandardy spracúvania osobných údajov v rámci konkrétneho odvetvia. Naopak, negatívne by bolo vnímané, ak sú takéto pravidlá v rámci odvetvia akceptované, ale spoločnosť ich nedodržiava.
Zavážiť môže tiež konanie firmy po zistení porušení pri ochrane osobných údajov. V súlade s nariadením má spoločnosť povinnosť do 72 hodín oznámiť porušenie, avšak je rozdiel, či len formálne splní túto povinnosť, alebo preberie zodpovednosť za riešenie vzniknutého problému, aktívne prijme opatrenia, ktoré zabránia opakovaniu incidentu, a zároveň urobí všetko pre to, aby minimalizovala následky pre dotknuté osoby.
Typickým príkladom priťažujúcej okolnosti je opakované porušenie predpisov pri ochrane osobných údajov. Či v dôsledku nedostatočnej úrovne vedomostí zamestnancov spoločnosti, pre nedôsledné posudzovanie rizík alebo nevybavovanie, prípadne oneskorené vybavovanie žiadostí dotknutých osôb. Relevantným faktorom na uloženie pokuty tiež je, či porušením zákona získala spoločnosť nejaký finančný benefit alebo sa vyhla strate.
Dobrou správou pre drobných podnikateľov je, že pri drobnom porušení ochrany osobných údajov, ktoré nepredstavuje podstatné riziko pre dotknuté osoby, sa dá upustiť od uloženia pokuty a nahradiť ju napomenutím.
Teda priamo zo znenia nariadenia, ale aj z dokumentov vydaných kompetentnými orgánmi, ktoré interpretujú jeho jednotlivé ustanovenia, vyplývajú mantinely, ktorými by sa dozorné orgány mali pri ukladaní pokút riadiť. Strašenie maximálnou výškou pokuty bez jej zasadenia do regulačného kontextu nie je vhodný prístup. Na druhej strane by podnikatelia a iné subjekty spracúvajúce osobné údaje mali vnímať reálnu nutnosť dodržiavať pravidlá, ktoré vyplývajú z nariadenia. A práve dokumentovaná snaha tieto pravidlá skutočne dodržiavať v reálnom živote predstavuje najlepší prostriedok na to, aby dozorné orgány nepristúpili k uloženiu excesívnych sankcií. Podnikatelia by preto mali túto tému brať vážne a nezanedbať poradenstvo od advokátov a právnych poradcov, ktorí sa danej oblasti dlhodobo venujú.
Autori pôsobia v Advokátskej kancelárii Brichta & Partners www.brichta.sk
