epravo.cz

Přihlášení


Registrace nového uživatele
Zapomenuté heslo
Přihlášení
  • ČLÁNKY
    • občanské právo
    • obchodní právo
    • insolvenční právo
    • finanční právo
    • správní právo
    • pracovní právo
    • trestní právo
    • evropské právo
    • veřejné zakázky
    • ostatní právní obory
  • ZÁKONY
    • sbírka zákonů
    • sbírka mezinárodních smluv
    • právní předpisy EU
    • úřední věstník EU
  • SOUDNÍ ROZHODNUTÍ
    • občanské právo
    • obchodní právo
    • správní právo
    • pracovní právo
    • trestní právo
    • ostatní právní obory
  • AKTUÁLNĚ
    • 10 otázek
    • tiskové zprávy
    • vzdělávací akce
    • komerční sdělení
    • ostatní
    • rekodifikace TŘ
  • E-shop
    • Online kurzy
    • Online konference
    • Záznamy konferencí
    • Další vzdělávaní advokátů
    • Konference
    • Roční předplatné
    • Monitoring judikatury
    • Publikace a služby
    • Společenské akce
    • Advokátní rejstřík
    • Partnerský program
  • Advokátní rejstřík
  • Více
    5. 12. 2022
    ID: 115578upozornění pro uživatele

    Ukládání sankcí za porušení GDPR

    Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“ nebo „Nařízení“), které je účinné již přes čtyři roky, představuje právní rámec ochrany osobních údajů v evropském prostoru.

    Nařízení poskytuje záruku na ochranu osobních údajů, přispívá ke zvýšení transparentnosti, přináší jednotlivcům silnější práva a celkově zvyšuje odpovědnost osob, které nakládají s osobními údaji. Dále Nařízení vybavilo úřady pro ochranu osobních údajů silnějšími donucovacími prostředky a pravomocemi a zavedlo nový systém správy a řízení. Díky harmonizaci této právní úpravy ve všech členských státech EU vytváří rovné podmínky pro všechny aktéry působící na společném trhu, bez ohledu na umístění sídla nebo jejich původu, a zároveň podporuje volný tok údajů a dat v rámci EU.

    Ochrana osobních údajů se stala určitým celosvětovým trendem. Nejen členské státy EU, ale i státy po celém světě dávají důraz na ochranu osobních údajů a jednotlivci stále více oceňují soukromí a bezpečné zacházení s jejich údaji. Ochrana osobních údajů se tak stala důležitým faktorem při rozhodování spotřebitelů o nákupech a chování na internetu, kdy preferují transparentní jednání a důraz na zvýšenou ochranu. Podnikatelé na tuto poptávku reagují dobrovolným rozšiřováním práv a záruk nad rámec GDPR, a tak se ochrana osobních údajů stává zajímavou konkurenční výhodou.

    Dle průzkumu Agentury Evropské unie pro základní práva slyšelo o GDPR 69 % obyvatel EU starších 16 let a 71 % lidí v EU ví o svém vnitrostátním úřadu pro ochranu osobních údajů.[1] Je patrné, že jednotlivci mají stále větší povědomí o svých právech spojených s ochranou osobních údajů, tedy právo na přístup, opravu, výmaz, právo na omezení zpracování, přenositelnost údajů, jakož i právo vznést námitku.

    Otázka možných sankcí je stále velice aktuální téma s ohledem na množící se počty ohlášení porušení zabezpečení osobních údajů, počty řízení a množství udělených správních sankcí. V loňském roce evropské úřady na ochranu osobních údajů zaznamenaly o pětinu více porušení GDPR a také uložily vyšší pokuty.

    Reklama
    Novinky v pracovním právu 2023 (online - živé vysílání) - 31.1.2023
    Novinky v pracovním právu 2023 (online - živé vysílání) - 31.1.2023
    31.1.2023 10:003 025 Kč s DPH
    2 500 Kč bez DPH

    Koupit

    Podle čl. 83 odst. 2 GDPR se při rozhodování o uložení a výši sankce přihlédne především k závažnosti a délce trvání porušení, rozsahu a účelu dotčeného zpracování, k počtu dotčených subjektů údajů a míře škody, která jim byla způsobena. Z toho tedy vyplývá, že je nezbytné každý případ posuzovat individuálně.

    Dle Nařízení je možné za porušení procesních nástrojů (posouzení dopadu, jmenování pověřence, řízení incidentů atd.) uložit správní pokutu až 10 milionů EUR nebo až 2 % celkového ročního obratu podniku celosvětově za předchozí finanční rok, podle toho, která hodnota je vyšší. V případě porušení základních pravidel a povinností pro zpracování dat, jako je např. stanovení rozsahu, doby uchování, právního titulu ke zpracování nebo vyřizování podnětů dotčených osob lze uložit správní pokutu až do výše 20 milionů EUR nebo 4 % celkového ročního obratu podniku celosvětově za předchozí finanční rok, podle toho, která z těchto hodnot je vyšší.[2] Tyto nemalé sankce vyvolaly po přijetí Nařízení vlnu rozruchu a obav.

    Jak uvidíme níže, praxe úřadů na ochranu osobních údajů je různorodá. Přestože úřady ukládají ve většině případů sankce velmi nízko v rámci této sazby, existují i případy, kdy se především zahraniční úřady neostýchaly sáhnout i po sankcích astronomických rozměrů.

    Česká republika:

    Český Úřad pro ochranu osobních údajů (dále jen „ÚOOÚ“ nebo „Úřad“) udělil za rok 2018 za porušení GDPR 18 pokut při celkové výši 1.173.000 Kč. ÚOOÚ v roce 2019 vystavil 33 pokut za porušení GDPR v celkové výši 1.435.000 Kč a v roce 2020 30 pokut v souhrnu za 2.080.000 Kč.  V minulém roce udělil Úřad za porušení GDPR 40 pokut v celkové výši 5.996.000 Kč. Celkem tedy Úřad udělil za účinnosti Nařízení 122 pokut v celkové výši 10.684.000 Kč.[3]

     

    2018

    2019

    2020

    2021

    Celkový počet udělených sankcí

    19

    33

    30

    40

    Souhrnná výše udělených sankcí

    1.173.000 Kč

    1.435.000 Kč

    2.080.000 Kč

    5.996.000 Kč

    Průměrná výše sankce

    61.737 Kč

    43.485 Kč

    69.333 Kč

    149.900 Kč

     

    Lze tedy vidět, že v minulém roce oproti letům předchozím státní inspektoři výrazně přitvrdili. Výše průměrné sankce se více jak zdvojnásobila z 69.000 Kč na necelých 150.000 Kč. Jedním z důvodů, proč se udělené pokuty v minulém roce vyšplhaly v souhrnu na tak vysokou částku, je četné sankcionování spamování prostřednictvím datových schránek, které byly dostupné zdarma a byly zneužity ke spamování v období nouzového stavu. Úřad tak uložil za zneužití údajů k šíření nevyžádaných zpráv pokutu 11 společnostem v celkové výši 3 111 000 Kč.[4]

    Nemalou část ze souhrnné výše pokut každoročně tvoří pokuty za porušení zabezpečení osobních údajů. Od nabytí účinnosti Nařízení eviduje Úřad 455 stížností, které souvisí s povinnostmi správce dle čl. 32 GDPR a 1358 ohlášení správců dle čl. 33 GDPR.[5]  Celkem udělil Úřad za porušení zabezpečení osobních údajů 12 pokut, jejichž celková výše činí 515.000 Kč a nejvyšší uložená pokuta byla ve výši 180.000 Kč.

    Dosud nejvyšší Úřadem uložená pokuta za porušení GDPR v České republice byla ve výši 2.000.000 Kč, a to z důvodu neprovedení opatření k nápravě. Konkrétně se jednalo o situaci, kdy společnost na svých webových stránkách zpracovávala osobní údaje ve formě jejich zveřejnění (překlopení) z veřejně dostupných rejstříků (insolvenčního rejstříku, obchodního rejstříku, rejstříku topografií, patentového rejstříku a rejstříku ochranných známek), přičemž Úřad na základě výsledku kontroly uložil pokutu za toto zpracování a vydal rozhodnutí o opatření k nápravě, kterým nařídil ukončení zpracování a následný výmaz těchto údajů. Společnost nápravná opatření nesplnila, za což jí byla uložena tato pokuta.[6]

    Dále stojí za zmínku také pokuta ve výši 666.000 Kč, která byla udělena za porušení povinnosti stanoveného čl. 6 odst. 1 GDPR, tedy povinnosti zpracovávat osobní údaje pouze na základě některého právního důvodu upraveného v písm. a) až f) tohoto ustanovení, kdy obviněná právnická osoba bez jakéhokoliv právního titulu zpracovávala osobní údaje fyzických osob za účelem zasílání nevyžádaných nabídek prostřednictvím jejich datových schránek.[7]

    Na dalších příkladech lze ukázat, že praxe Úřadu je různorodá a výše i důvody sankcí se velmi liší. Jednu z nejnižších doposud udělených pokut ve výši 10.000 Kč dostala půjčovna sportovního vybavení, která nezákonně skenovala občanské průkazy svých klientů. Dále pokutu ve výši 10.000 Kč obdržel spolek, který zveřejnil neanonymizovaný trestní příkaz. V celku přísně sankcionuje Úřad situace, kdy osobní údaje uniknou či mohou uniknout mezi veřejnost. V tomto případě byla vyměřena pokuta ve výši 180.000 Kč obchodní společnosti, jejíž personální neanonymizovaná dokumentace byla nalezena u popelnice. Další spolek dostal pokutu 150.000 Kč za to, že zveřejnil některé osobní údaje svých členů na veřejných webových stránkách. Dalšími často pokutovanými přestupky jsou například porušení práva na přístup k osobním údajům, za které Úřad již v minulosti udělil pokutu ve výši 50.000 Kč, nebo nezabezpečení osobních údajů při převozu s pokutou ve výši 15.000 Kč.

    Zahraničí:

    Jak lze výše vidět, částky udělené českým ÚOOÚ v porovnání s maximální možnou pokutou, tedy 10 milionů EUR, respektive 20 milionů EUR nebo až 4 % celkového ročního obratu podniku celosvětově za předchozí finanční rok, jsou poměrně nízké. Tento jev lze spatřovat ve většině členských státech EU, ale existuje několik výjimek. Řada evropských dozorových úřadů totiž již neváhala a přistoupila i k udělení pokut ve výši blížící se horní hranici sazby s ohledem na roční obrat daných společností.

    Kumulativně byly v roce 2021 v Evropské unii uděleny pokuty ve výši lehce přes 1,3 miliardy EUR. Za rok 2020 to bylo „pouhých“ 306,3 milionů EUR. Tento velký rozdíl je dán především tím, že v roce 2021 bylo uděleno hned několik historicky nejvyšších pokut za porušení GDPR. Jedná se o pokutu pro Amazon EuropeCore S.à.r.l ve výši 746 milionů EUR udělenou lucemburským dozorovým úřadem, na druhém místě je pokuta pro WhatsApp Ireland Ltd ve výši 225 milionů EUR udělená irským dozorovým úřadem a třetí nejvyšší pokuta za porušení GDPR byla udělena ve Francii ke konci roku 2021 společnosti Google LLC, a to ve výši 90 milionů EUR a stejným úřadem byla také ve stejný den udělena čtvrtá nejvyšší pokuta ve výši 60 milionů EUR pro společnost Facebook Ireland Ltd. Celkově lze usoudit, že nejvyšší pokuty jsou ukládány společnostem z oblasti technologií a telekomunikací.[8]

    Právě tyto jednotlivé vysoké pokuty zahýbaly i se žebříčkem států s kumulativně nejvyššími pokutami. Na prvním místě je Lucembursko, které v 18 případech uložilo pokuty v celkové výši 746,26 milionů EUR, následované Francií s celkovou částkou 269,7 milionů EUR a Irskem s částkou 243,5 milionů EUR. Ve srovnání největších počtů rozhodnutých případů zaujímá první místo Španělsko s počtem 395 vydaných rozhodnutích od účinnosti GDPR.[9]

    Závěr:

    Na těchto příkladech lze vypozorovat, že ukládání vysokých pokut za porušení GDPR je již běžnou praxí v řadě členských států. Lze předpokládat, že se při výskytu závažnějších porušení k této praxi přikloní i český ÚOOÚ. Lze tedy jen doporučit, nenechávat ochranu osobních údajů na náhodě a důkladně se zaměřit na to, zda daný subjekt zpracovává osobní údaje v souladu s GDPR a případné nedostatky napravit včas.


    Marek Jindra
    ,
    Associate

     

    TaylorWessing e|n|w|c advokáti v.o.s.
     
    U Prašné brány 1078/1
    110 00  Praha 1
     

    Tel.: +420 224 819 216

     

    [1] European Union Agency for Fundamental Rights. Průzkum základních práv 2019. Ochrana údajů a technologie >>> zde.

    [2] Článek 83 a 84 GDPR

    [3] Úřad pro ochranu osobních údajů. Výroční zpráva 2021. Dostupná >>> zde.

    [4] K dispozici >>> zde.

    [5] Údaje za období od 25.5.2018 do 30.4.2022.

    [6] Úřad pro ochranu osobních údajů. Poskytnutá informace ze dne 12.11.2021. Dostupná >>> zde.

    [7] Úřad pro ochranu osobních údajů. Poskytnutá informace ze dne 31.3.2021. Dostupná >>> zde.

    [8] Statistiky z GDPR Enforcement Tracker. Dostupné >>> zde.

    [9] Údaje platné k 1.1.2022


    © EPRAVO.CZ – Sbírka zákonů, judikatura, právo | www.epravo.cz


    Marek Jindra (TaylorWessing)
    5. 12. 2022
    pošli emailem
    vytiskni článek
    • Tweet

    Další články:

    • Přichází směrnice NIS 2 a s ní revoluce v oblasti kybernetické bezpečnosti
    • Do třetice všeho dobrého? Aneb další pokus České republiky přijmout zákon o hromadných řízeních
    • Přehled vybraných legislativních novinek platných pro rok 2023
    • Nová sbírka právních předpisů jako nechtěný dar
    • Fotovoltaické elektrárny z pohledu stavebního zákona
    • Odmítnutí poskytnutí informace ve světle Nálezu ÚS sp. zn. IV. ÚS 3208/16
    • Přikázání věci do vlastnictví jednoho ze spoluvlastníků při vypořádání spoluvlastnictví
    • Zástupčí oprávnění při střetu zájmů zástupce a zastoupeného ve světle aktuální judikatury
    • Změna žaloby – důsledky stanoviska Ústavního soudu Pl. ÚS-st. 43/16
    • Pravidla pro označování a propagaci doplňků stravy aneb jak se vyhnout vysokým pokutám nebo blokaci e-shopu
    • Úhrada za poskytování sociální služby

    Související produkty

    Online kurzy

    • Spolky pohledem daňového práva
    • Darování pro případ smrti alternativou vydědění?
    • Určitost předmětu podnikání ve společenské smlouvě
    • Aktuální judikatura vysokých soudů
    • Aktuální judikatura ve věcech náhrady škody
    Lektoři kurzů
    Mgr. Stanislav Servus,  LL.M.
    Mgr. Stanislav Servus, LL.M.
    Kurzy lektora
    JUDr. et Mgr.  Pavla  Voříšková, Ph.D.
    JUDr. et Mgr. Pavla Voříšková, Ph.D.
    Kurzy lektora
    doc. JUDr. Petr Tégl, Ph.D.
    doc. JUDr. Petr Tégl, Ph.D.
    Kurzy lektora
    Mgr. František Korbel, Ph.D.
    Mgr. František Korbel, Ph.D.
    Kurzy lektora
    doc. JUDr. Filip Melzer, LL.M., Ph.D.
    doc. JUDr. Filip Melzer, LL.M., Ph.D.
    Kurzy lektora
    JUDr. Milan Hulmák, Ph.D.
    JUDr. Milan Hulmák, Ph.D.
    Kurzy lektora
    JUDr. Daniela Kovářová
    JUDr. Daniela Kovářová
    Kurzy lektora
    všichni lektoři

    Nejčtenější na epravo.cz

    • 24 hod
    • 7 dní
    • 30 dní
    • Přehled vybraných legislativních novinek platných pro rok 2023
    • Fotovoltaické elektrárny z pohledu stavebního zákona
    • 10 otázek pro ..Filipa Seiferta
    • Přichází směrnice NIS 2 a s ní revoluce v oblasti kybernetické bezpečnosti
    • Nová sbírka právních předpisů jako nechtěný dar
    • Valorizace limitních příjmů uchazečů o zaměstnání (podpory a výdělku v nekolidujícím zaměstnání) od 1. 1. 2023 a další související změny
    • Právo na víkend - týden v české justici očima šéfredaktora
    • Jak správně napsat pracovní řád
    • Fotovoltaické elektrárny z pohledu stavebního zákona
    • Nová sbírka právních předpisů jako nechtěný dar
    • Přehled vybraných legislativních novinek platných pro rok 2023
    • Odmítnutí poskytnutí informace ve světle Nálezu ÚS sp. zn. IV. ÚS 3208/16
    • Jak správně napsat pracovní řád
    • Dočasné přidělení zaměstnance k jinému zaměstnavateli
    • Přikázání věci do vlastnictví jednoho ze spoluvlastníků při vypořádání spoluvlastnictví
    • Místní koeficient daně z nemovitých věcí stanovený v části obce
    • Posuzování podřízenosti pohledávky v insolvenčním řízení ve vztahu k ust. § 1938 odst. 1 občanského zákoníku.
    • Kupní cena jako (ne)podstatná náležitost kupní smlouvy o převodu nemovitosti
    • Fotovoltaické elektrárny z pohledu stavebního zákona
    • Střídavá péče a posuzování některých parametrů ve světle aktuální judikatury Ústavního soudu
    • Platné sjednání smluvní pokuty pohledem judikatury Nejvyššího soudu
    • K článku Manželství pro všechny z katolického pohledu
    • Přímá odpovědnost jednatele (společníka) SRO za škodu způsobenou třetí osobě
    • Přikázání věci do vlastnictví jednoho ze spoluvlastníků při vypořádání spoluvlastnictví

    Pracovní pozice

    Soudní rozhodnutí

    Dvojí řízení trestněprávní povahy

    Podle judikatury ESLP rozhodujícím pro posouzení přípustnosti dvojího řízení trestněprávní povahy ve smyslu zásady ne bis in idem, je test „dostatečně úzké souvislosti v podstatě...

    Náhrada škody

    Ustanovení § 45 zákona o silničním provozu upravuje odstranění vozidel, které představují překážku provozu na pozemních komunikacích, zatímco § 27 odst. 5 zákona o silničním...

    Náhrada škody (exkluzivně pro předplatitele)

    Podle § 24 odst. 6 zákona o pozemních komunikacích vlastník dálnice, silnice, místní komunikace nebo veřejně přístupné účelové komunikace, po níž má být vedena objížďka, je...

    Odpovědnost státu za újmu (exkluzivně pro předplatitele)

    Uspokojování restitučních nároků nelze podřadit pod dispozici státu se svým vlastnictvím v rámci soukromoprávního vztahu. Stát v takovém případě nevystupuje jako vlastník, který...

    Oprava rozhodnutí (exkluzivně pro předplatitele)

    Dojde-li v důsledku opravy rozhodnutí ke změně obsahu opravovaného rozhodnutí, a tím i k možnosti prolomení jeho právní moci, bude nezbytné započíst do celkové doby řízení i ten...

    Hledání v rejstřících

    • mapa serveru
    • o nás
    • reklama
    • podmínky provozu
    • kontakty
    • publikační podmínky
    • FAQ
    • obchodní a reklamační podmínky
    • Ochrana osobních údajů - GDPR
    • Nastavení cookies
    100 nej
    © EPRAVO.CZ, a.s. 1999-2023, ISSN 1213-189X      developed by Actimmy
    Provozovatelem serveru je EPRAVO.CZ, a.s. se sídlem Dušní 907/10, Staré Město, 110 00 Praha 1, Česká republika, IČ: 26170761, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod spisovou značkou B 6510.

    Jste zde poprvé?

    Vítejte na internetovém serveru epravo.cz. Jsme zdroj informací jak pro laiky, tak i pro právníky profesionály. Zaregistrujte se u nás a získejte zdarma řadu výhod.


    Protože si vážíme Vašeho zájmu, dostanete k registraci dárek v podobě unikátního video tréningu od jednoho z nejznámějších českých advokátů a rozhodců JUDr. Martina Maisnera, Ph.D., MCIArb, a to "Taktika vyjednávání o smlouvách".


    Registrace je zdarma, k ničemu Vás nezavazuje a získáte každodenní přehled o novinkách ve světě práva.


    Vaše data jsou u nás v bezpečí. Údaje vyplněné při této registraci zpracováváme podle podmínek zpracování osobních údajů



    Nezapomněli jste něco v košíku?

    Vypadá to, že jste si něco zapoměli v košíku. Dokončete prosím objednávku ještě před odchodem.


    Přejít do košíku


    Vaši nedokončenou objednávku vám v případě zájmu zašleme na e-mail a můžete ji tak dokončit později.