epravo.cz

Přihlášení


Registrace nového uživatele
Zapomenuté heslo
Přihlášení
  • ČLÁNKY
    • občanské právo
    • obchodní právo
    • insolvenční právo
    • finanční právo
    • správní právo
    • pracovní právo
    • trestní právo
    • evropské právo
    • veřejné zakázky
    • ostatní právní obory
  • ZÁKONY
    • sbírka zákonů
    • sbírka mezinárodních smluv
    • právní předpisy EU
    • úřední věstník EU
  • SOUDNÍ ROZHODNUTÍ
    • občanské právo
    • obchodní právo
    • správní právo
    • pracovní právo
    • trestní právo
    • ostatní právní obory
  • AKTUÁLNĚ
    • 10 otázek
    • tiskové zprávy
    • vzdělávací akce
    • komerční sdělení
    • ostatní
    • rekodifikace TŘ
  • E-shop
    • Online kurzy
    • Online konference
    • Záznamy konferencí
    • Další vzdělávaní advokátů
    • Konference
    • Roční předplatné
    • Monitoring judikatury
    • Publikace a služby
    • Společenské akce
    • Advokátní rejstřík
    • Partnerský program
  • Advokátní rejstřík
  • Více
    6. 6. 2022
    ID: 114802upozornění pro uživatele

    Ukládání pokut podle GDPR: dosavadní praxe a nová metodika ke kalkulaci pokut

    Když v květnu 2018, tedy přesně před čtyřmi lety, vstupovalo v účinnost nařízení GDPR[1], nejvíce rezonovaly napříč trhem i odbornou veřejností drakonické pokuty dosahující až 4 % celosvětového obratu. Především v prvních měsících a letech účinnosti panovala napříč EU velká právní nejistota ohledně očekávaných pokut. I přesto, že maximální výše pokut dle GDPR může být drakonická, pokuty v horní hranici maximálních částek jsou ukládány v EU spíše výjimečně za opravdu zásadní porušení GDPR značného rozsahu.

    Dosavadní praxe dozorových úřadů v EU však není jednotná. Ke sjednocení postupu při ukládání pokut nyní zveřejnil Evropský sbor pro ochranu osobních údajů (EDPB) nové stanovisko. Stanovisko je aktuálně podrobeno veřejné konzultaci, jeho znění tedy může dostát změn.  

    Co říká GDPR k ukládání pokut

    Konečné rozhodování o výši konkrétní pokuty za porušení GDPR je ponecháno na správním uvážení dozorového úřadu, přičemž GDPR poskytuje k ukládání pokut obecný návod a ohraničuje maximální výši pokut. Právě k výkladu těchto obecných pravidel směřuje nová metodika EDPB.

    GDPR umožňuje ukládat pokuty za jednotlivá porušení nařízení až do výše 20 milionů EUR či 4 % celkového ročního obratu celosvětově za předchozí finanční rok. Pro rozhodování o výši pokuty GDPR stanoví obecné pravidlo, které říká, že pokuty za porušení GDPR mají být v každém jednotlivém případě účinné, přiměřené a odrazující. GDPR dále stanoví výčet okolností, které mají být jednotlivými úřady zohledněny při rozhodování o výši pokut, mezi které patří například úmysl či nedbalost subjektu, povaha a závažnost porušení GDPR při zohlednění povahy zpracování osobních údajů, kroky podniknuté po zjištění porušení GDPR (například okamžité přijetí nápravných opatření) a míra spolupráce s dozorovým úřadem, předchozí porušení GDPR daným subjektem, splnění nápravných opatření uložených dozorovým úřadem apod.[2]

    Vedle uložení správních pokut GDPR dále stanoví řadu dalších nápravných pravomocí dozorových úřadů, ke kterým lze přistoupit vedle či namísto uložení správní pokuty. Mezi tato opatření patří například upozornění na pravděpodobné porušení GDPR, udělení napomenutí, nařízení vyhovět žádostem subjektů údajů, nařízení uvedení zpracování osobních údajů do souladu s GDPR, uložení omezení či zákazu zpracování osobních údajů, nařízení opravy či výmazu údajů, nařízení přerušení předávání osobních údajů do třetích zemí a podobně. 

    Reklama
    Nová právní úprava hromadného řízení (online - živé vysílání) - 30.3.2023
    Nová právní úprava hromadného řízení (online - živé vysílání) - 30.3.2023
    30.3.2023 09:003 025 Kč s DPH
    2 500 Kč bez DPH

    Koupit

    Kalkulace pokut podle návrhu nové metodiky EDPB

    Evropský sbor pro ochranu osobních údajů (EDPB) nedávno zveřejnil nové pokyny ke kalkulaci správních pokut podle GDPR.[3]  Pokyny byly zveřejněny v prvním znění k veřejné konzultaci, která běží od 16. května 2022 do 27. června 2022. Prozatím se tedy nejedná o finální znění a může dojít ke změnám.

    Pokyny mají za cíl harmonizovat metodologii dozorových úřadů při výpočtu výše správních pokut udělovaných dle GDPR. Pokyny mají doplnit již dříve vydané pokyny pracovní skupiny[4] č. WP 253 k uplatňování a stanovování správních pokut pro účely GDPR ze dne 3. října 2017.[5]

    Pokyny zavádí metodu výpočtu správních pokut dle GDPR, která je rozdělena do pěti kroků:

    »   Krok 1: Identifikace jednání porušujícího GDPR

    Než dozorový úřad přikročí k posuzování výše pokuty, je třeba identifikovat jednání a porušení GDPR, které má být postihováno pokutou. Tedy zjistit, k jakému došlo jednání, jaké jsou skutkové okolnosti (například pro posouzení polehčujících a přitěžujících okolností) a jak se toto jednání posoudí z hlediska GDPR, respektive které porušení GDPR způsobí.    

    Metodika dále zavádí pravidla pro posuzování souběhu vícero jednání a porušení (tedy pokud bylo například jedním jednáním porušeno více ustanovení GDPR či zda se jedná o různá jednání zakládající samostatná porušení). Pokud se totiž jedná o stejné či související operace zpracování porušující více ustanovení GDPR, ukládá se dle GDPR pouze jedna pokuta stanovená podle nejzávažnějšího porušení. V tomto směru však není vyloučené, že metodika narazí na hranice národních procesních předpisů a nebude tudíž plně aplikovatelná.   

    »   Krok 2: Stanovení sazby pro další výpočet sankce

    Metodika zavádí princip výpočtu základní sazby pokuty, od které se má odvíjet uložení pokuty. Byť tedy stanovení základní sazby dle pokynů není pro dozorové úřady závazné a nevylučuje uložení pokuty pod či nad hranicí této sazby, dá se očekávat, že povede ke sjednocení výše pokut ukládaných dozorovými úřady.

    Tato základní sazba určená jako procento z maximální výše pokuty se potom určuje podle:

    1. Kategorie porušení GDPR – tedy zda se jedná o porušení, za něž lze uložit pokutu 10 mil. EUR/ 2 % obratu či 20 mil. EUR/ 4 % obratu;
    1. Závažnosti porušení při zohlednění okolností stanovených v článku 83 odst. 2 GDPR, přičemž podle závažnosti rozděluje EDPB porušení do tří základních stupňů, a to podle povahy, závažnosti a trvání porušení GDPR:
      • Nízký stupeň závažnosti – pokuta ve výši 0 – 10 % zákonného maxima;
      • Střední stupeň závažnosti – pokuta ve výši 10 – 20 % zákonného maxima;
      • Vysoký stupeň závažnosti – pokuta ve výši 20 – 100 % zákonného maxima; 
    1. Obratu subjektu – podle obratu subjektu potom EDPB zavádí koeficient, kterým se výše uvedené procentuální hranice mění podle obratu daného subjektu. Hledisko obratu je zavedeno přitom především proto, aby byl naplněn ultimátní cíl uložení účinné, přiměřené a odrazující pokuty. Metodika zatím počítá s šesti stupni (od obratu pod 2 miliony EUR až do obratů převyšujících 250 milionů EUR), přičemž podle výše obratu se výše uvedená základní sazba dále snižuje na 0,2 % do 50 % výše uvedených procentuálních částek ze zákonného maxima.

    Na základě výše uvedené metodiky lze tedy dojít k velmi jednoduché rovnici, na základě které má být vypočten rozsah, ve kterém by měla být výsledná pokuta uložena. Z této rovnice lze potom vyčíst rozsah pokut dle závažnosti porušení a obratu subjektu a vydedukovat tak snížená (byť neformální a nezávazná) „maxima“ pokut za porušení GDPR. Z aktuální verze metodiky lze například vyčíst, že u subjektů s ročním obratem nepřevyšujícím 50 milionů EUR by za méně závažná porušení měla být uložena pokuta nepřevyšující 40 tisíc EUR (v přepočtu cca 1 milion Kč). Vzhledem k veřejné konzultaci očekáváme, že se konkrétní procentuální body či princip výpočtu mohou dále měnit.

    Zavedení metodiky založené na tomto výpočtu by tak výrazně napomohlo právní jistotě napříč EU, neboť subjekty by se již nadále nemusely obávat univerzální drakonické pokuty 20 milionů EUR (či 4 % z obratu) za jakékoli porušení GDPR, ale mohli by předem transparentně rozlišovat rizika dle závažnosti daného porušení GDPR.

    »   Krok 3: Zhodnocení polehčujících a přitěžujících okolností

    Konkrétní výše pokuty v rámci rozsahu vypočteného dle výše popsané kalkulace by potom měla být určena při zohlednění polehčujících a přitěžujících okolností vyjmenovaných v článku 83 odst. 2 GDPR. Mezi tyto okolnosti patří například kroky podniknuté subjektem ke zmírnění škod, míra odpovědnosti subjektu s ohledem na přijatá technická a organizační opatření, předchozí porušení GDPR daným subjektem, míra spolupráce s dozorovým úřadem apod.

    Pro zhodnocení polehčujících a přitěžujících okolností již metodika nepřináší exaktní výpočet ve formě procent či rovnic, neboť zohlednění okolností má být plně ponecháno správnímu uvážení dozorového orgánu. Metodika pouze napomáhá tyto okolnosti lépe interpretovat.

    »   Krok 4: Omezení maximální výše pokuty

    V dalším kroku by měl dozorový úřad zhodnotit, zda vypočtená pokuta nepřekračuje maximální hranici stanovenou GDPR. V tomto směru metodika zejména rozpracovává postup pro výpočet maximální hranice vycházející z celosvětového obratu a nabízí návod k interpretaci pojmů obrat a podnik.

    »   Krok 5: Zhodnocení účinnosti, přiměřenosti a odrazujícího účinku sankce  

    V závěrečném kroku by dozorový úřad měl zhodnotit, zda je finální výše pokuty vypočtená podle stanoveného postupu skutečně účinná, přiměřená a odrazující. Pokud by tyto požadavky nebyly naplněny, může dozorový úřad pokutu dále zvýšit či snížit i bez ohledu na výpočet dle metodiky. Metodika dále interpretuje, co znamená, že je pokuta účinná, přiměřená a odrazující.

    Závěr

    Jak bylo popsáno výše, GDPR stanoví maximální výši pokut a obecná vodítka pro dozorové orgány. I přesto se však doposud značně liší přístup dozorových úřadů napříč Evropskou unií a výše ukládaných pokut za porušení GDPR. Zatímco některé úřady již uložily drakonické pokuty dosahující stovek milionů EUR, jiné úřady ukládají pokuty v nižších desítkách tisíc EUR. Rozdíly jsou samozřejmě výrazně ovlivněny jednotlivými případy, které dané úřady řeší (a zejména tím, že některé úřady vystupují jako vedoucí dozorové úřady globálních hráčů a ukládají drakonické pokuty právě těmto subjektům). Jednou z příčin rozdílů v udělování pokut však může být i rozdílný přístup a metodologie dozorových úřadů při ukládání správních pokut. 

    Přijetí metodiky by mohlo především pozitivně přispět k vyšší právní jistotě a vyšší předvídatelnosti výpočtu pokut napříč EU. Mimo jiné zejména proto, že metodika přináší koncept výpočtu základní sazby pokuty, vypočtené jako procento z maximální výše pokuty podle kategorie porušení, míry závažnosti porušení a výše obratu daného subjektu. Nadále by tak nemusela platit univerzální drakonická pokuta 20 milionů EUR (či 4 % obratu) za porušení GDPR, ale mohlo by být možné transparentním výpočtem předem odhadnout předpokládanou maximální pokutu pro konkrétní porušení (byť tedy nezávazně). Přijetí metodiky by tudíž mohlo přispět ke sjednocení praxe ukládání pokut napříč Evropskou unií.

    Mgr. Štěpánka Havlíková, LL.M.*
    advokátka

     

    Dentons Europe CS LLP, organizační složka

     V Celnici 6
    110 00 Praha 1

     
    Tel.:       +420 236 082 111
    Fax:       +420 236 082 999
    e-mail:    prague@dentons.com

     

    * Autorka působí v advokátní kanceláři Dentons jako advokátka a ve své praxi se specializuje zejména na právo ochrany soukromí a osobních údajů, právo duševního vlastnictví a právo ICT a e-commerce.

    [1] Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

    [2] Článek 83 GDPR.

    [3] Guidelines 04/2022 on the calculation of administrative fines under the GDPR publikované dne 16. května 2022 k veřejné konzultaci, dostupné >>> zde [cit. 27.5.2022].

    [4] Pracovní skupina zřízená dle článku 29 původní směrnice 95/46/ES ochraně fyzických osob v souvislosti se zpracováním osobních údajů, která působila jako předchůdce Evropského sboru pro ochranu osobních údajů zřízeném GDPR.

    [5] Pokyny č. WP 253 k uplatňování a stanovování správních pokut pro účely GDPR ze dne 3. října 2017, dostupné >>> zde [cit. 27.5.2022].


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    Mgr. Štěpánka Havlíková, LL.M. (Dentons Europe CS LLP)
    6. 6. 2022
    pošli emailem
    vytiskni článek
    • Tweet

    Další články:

    • Nejvyšší soud: vyloučit jednatele či člena představenstva z výkonu funkce lze, i když nezpůsobí společnosti újmu
    • Právo “dohodářů” na dovolenou ve světle vládního návrhu novely zákoníku práce
    • Rozdělení nezajištěných věřitelů do různých skupin v reorganizačním plánu
    • Vlastník pozemku a změna územního plánu
    • Právní aspekty vícestranné směny nemovitostí
    • Doručování v pracovním právu e-mailem?
    • Zánik ručení jednatele za dluhy společnosti z důvodu promlčení
    • Nové podmínky výkonu funkce člena voleného orgánu a zřízení evidence vyloučených osob
    • Míra odpovědnosti zaměstnavatele při řešení pracovních úrazů
    • Trestněprávní důsledky nerespektování věcného břemene
    • Nové pojetí moderace smluvní pokuty podle Nejvyššího soudu

    Související produkty

    Online kurzy

    • Spolky pohledem daňového práva
    • Darování pro případ smrti alternativou vydědění?
    • Určitost předmětu podnikání ve společenské smlouvě
    • Aktuální judikatura vysokých soudů
    • Aktuální judikatura ve věcech náhrady škody
    Lektoři kurzů
    Mgr. Stanislav Servus,  LL.M.
    Mgr. Stanislav Servus, LL.M.
    Kurzy lektora
    JUDr. et Mgr.  Pavla  Voříšková, Ph.D.
    JUDr. et Mgr. Pavla Voříšková, Ph.D.
    Kurzy lektora
    doc. JUDr. Petr Tégl, Ph.D.
    doc. JUDr. Petr Tégl, Ph.D.
    Kurzy lektora
    Mgr. František Korbel, Ph.D.
    Mgr. František Korbel, Ph.D.
    Kurzy lektora
    doc. JUDr. Filip Melzer, LL.M., Ph.D.
    doc. JUDr. Filip Melzer, LL.M., Ph.D.
    Kurzy lektora
    JUDr. Milan Hulmák, Ph.D.
    JUDr. Milan Hulmák, Ph.D.
    Kurzy lektora
    JUDr. Daniela Kovářová
    JUDr. Daniela Kovářová
    Kurzy lektora
    všichni lektoři

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Právo “dohodářů” na dovolenou ve světle vládního návrhu novely zákoníku práce
    • Nejvyšší soud: vyloučit jednatele či člena představenstva z výkonu funkce lze, i když nezpůsobí společnosti újmu
    • Excesivní vyplnění blankosměnky (vyplnění blankosměnky v rozporu s vyplňovacím oprávněním)
    • Předběžné opatření
    • Rozdělení nezajištěných věřitelů do různých skupin v reorganizačním plánu
    • Vlastník pozemku a změna územního plánu
    • Výběr z judikatury nejen k zákoníku práce z r. 2022 - část 6.
    • Zásadní faktory aktuálně ovlivňující českou ekonomiku aneb výhledy na rok 2023
    • Nové podmínky výkonu funkce člena voleného orgánu a zřízení evidence vyloučených osob
    • Doručování v pracovním právu e-mailem?
    • Vlastník pozemku a změna územního plánu
    • Zánik ručení jednatele za dluhy společnosti z důvodu promlčení
    • Ochrana osobnosti zaměstnance
    • Právní aspekty vícestranné směny nemovitostí
    • Excesivní vyplnění blankosměnky (vyplnění blankosměnky v rozporu s vyplňovacím oprávněním)
    • Výběr z judikatury nejen k zákoníku práce z r. 2022 - část 6.
    • Nové podmínky výkonu funkce člena voleného orgánu a zřízení evidence vyloučených osob
    • Skutková tvrzení nebo hodnotící úsudky
    • Dlouhodobé pozbytí zdravotní způsobilosti zaměstnance z pohledu zaměstnavatele
    • Změna moderace smluvní pokuty jako další rána pro věřitele
    • Novela zákoníku práce a (zdánlivá) předvídatelnost vztahů z dohod (DPP a DPČ)
    • Lze ujednáním stran zcela vyloučit možnost odstoupení od smlouvy?
    • Nesprávné právní posouzení věci důvodem pro obnovu řízení
    • Nepřetržité odpočinky – podle SDEU je počítáme všichni špatně!

    Pracovní pozice

    Soudní rozhodnutí

    Předběžné opatření

    Při rozhodování o předběžných opatřeních podle § 102 odst. 1 zákona č. 99/1963 Sb., občanského soudního řádu musí být poskytnuta ochrana jak tomu, kdo o vydání předběžného...

    Námitky uplatněné v kasační stížnosti

    Nereagoval-li Nejvyšší správní soud na námitku stěžovatele vznesenou v kasační stížnosti, že Policie České republiky zpracovala záznamy o pohybu jeho vozidla primárně pro daňové...

    Chráněný účet

    Povinnost peněžních ústavů k bezplatnému zřízení a vedení chráněného účtu podle § 304c odst. 1 věty třetí občanského soudního řádu není protiústavním omezením práva...

    Dokazování – zpožděný let (exkluzivně pro předplatitele)

    Zákonem stanovená částka nemůže být absolutní či jedinou mezní hranicí pro připuštění ústavněprávního přezkumu ve výjimečných případech zásadních pochybení orgánů...

    Náhrada škody zaměstnancem, břemeno tvrzení, břemeno důkazní

    Zákonem stanovený zákaz používat pro svou osobní potřebu výrobní a pracovní prostředky zaměstnavatele je absolutní; stanovení rozsahu souhlasu k použití výrobních a pracovních...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2023, ISSN 1213-189X      developed by Actimmy
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.


    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního video tréningu od jednoho z nejznámějších českých advokátů a rozhodců JUDr. Martina Maisnera, Ph.D., MCIArb, a to "Taktika vyjednávání o smlouvách".


    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapoměli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.