V případě nezákonného nakládání s osobními údaji je klíčové, jaká konkrétní povinnost správce osobních údajů tím byla porušena a v důsledku čeho se tak stalo.
Pokud k porušení ochrany (nejčastěji úniku) osobních údajů dojde, musí správce nebo zpracovatel, u kterého k takovému narušení došlo, bez zbytečného odkladu informovat dozorový úřad.
Pokud hrozí, že bezpečnost osobních údajů subjektu údajů bude narušena a toto riziko by nadále nebylo eliminováno, pak musí být informován také subjekt údajů (tj. osoba, které osobní údaj „patří“).
Právo podat stížnost k dozorovému úřadu má také subjekt údajů, domnívá-li se, že došlo k porušení jeho práv v rozporu s pravidly GDPR.
Dozorový úřad
Dozorovým úřadem je Úřad pro ochranu osobních údajů. Jedná se o veřejný orgán, který díky své vyšetřovací a nápravné pravomoci dohlíží na uplatňování pravidel GDPR a vymáhá je. Poskytuje odborné poradenství ohledně otázek souvisejících s ochranou údajů a vyřizuje podané stížnosti na případná porušení.
Takový úřad je zřízen v každém členském státě Evropské unie (EU). Obecně platí, že příslušným dozorovým úřadem je pro správce místně příslušný úřad, tedy úřad v tom členském státě EU, ve kterém má správce údajů sídlo. Pokud však daná společnost/organizace zpracovává údaje v jiných členských státech EU nebo je součástí skupiny společností usazených v jiných členských státech EU, může být tímto hlavním kontaktním místem úřad pro ochranu osobních údajů v jiném členském státu EU.
V České republice je tímto úřadem Úřad pro ochranu osobních údajů, IČO: 70837627, se sídlem Pplk. Sochora 27, 170 00 Praha 7, www.uoou.gov.cz.
Kontrola ochrany osobních údajů
Dozorový úřad v rámci svého správního dozoru zajišťuje jak výkon kontroly, tak případnou aplikaci nápravných nebo sankčních prostředků.
Jeho hlavním úkolem je tedy monitorovat a vymáhat uplatňování nařízení GDPR a provádět šetření o uplatňování tohoto nařízení, a to prostřednictvím kontrol.
Kontroly úřad provádí na základě:
- kontrolního plánu zveřejněného na webových stránkách úřadu
- stížností subjektů údajů
- jiných kvalifikovaných podnětů (od dozorových úřadů jiných členských států EU, soudů, policie apod.)
Průběh kontroly se řídí především zákonem č. 255/2012 Sb., o kontrole (kontrolní řád), zákonem č. 110/2019 Sb., o zpracování osobních údajů a subsidiárně také zákonem č. 500/2004 Sb., správní řád.
Kontrolu provádějí zaměstnanci dozorového úřadu. Zahájení kontroly je kontrolovanému oznámeno písemně nebo ústně na místě kontroly kontrolujícím, který se sám prokáže pověřením ke kontrole.
Přestupky v oblasti ochrany osobních údajů
Přestupky, kterými jsou porušovány nařízení GDPR, upravuje § 62 Zákona o zpracování osobních údajů a jsou projednávány dozorovým úřadem.
Správce nebo zpracovatel se dopustí přestupku vůči tomuto nařízení tím, že:
- poruší některou ze svých povinností, např.:
- zpracovává osobní údaje dítěte mladšího 16 let, aniž by mu k tomu osoba vykonávající rodičovskou zodpovědnost k dítěti udělila souhlas nebo nevyvinul přiměřené úsilí k tomu, aby ověřil, že souhlas byl udělen
- neinformuje subjekt údajů o tom, že příslušné osobní údaje nevyžadují identifikaci subjektu a že tedy nemá povinnost je uchovávat, získávat nebo zpracovávat
- poruší některou ze základních zásad zpracování osobních údajů
- poruší některé z práv subjektu údajů
- nesplní příkaz nebo poruší omezení zpracování osobních údajů nebo nedodrží přerušení toků údajů uložené dozorovým úřadem nebo
- odepře dozorovému úřadu náležité vyšetřovací pravomoci a neposkytne mu přístup k údajům, informacím a prostorám apod.
Správce nebo zpracovatel se dále může dopustit přestupku vůči jiným právním předpisům týkajících se porušení zákazu zveřejnění osobních údajů, jakým je např.:
- nakládání s rodným číslem a jeho využívání
- šíření nevyžádaných obchodních sdělení
- neoprávněného zpracování údajů ukládaných v nosiči dat s biometrickými údaji nebo
- sdělení uživatelského jména a přístupového hesla
Byť se s tím v praxi často nesetkáváme, mohou tato porušení mít intenzitu i trestných činů.
Pokuty při porušení ochrany osobních údajů
Obecné nařízení EU o ochraně osobních údajů rozděluje výši sazby do dvou skupin podle závažnosti přestupku. Do výše 10 000 000 EUR se pokuta ukládá v případě porušení, které závažně zasahuje do práva subjektu údajů, zatímco do výše 20 000 000 EUR se ukládá pokuta např. v případě porušení povinností upravujících zásady a zákonnost zpracování, podmínky souhlasu se zpracováním osobních údajů, podmínky zpracování zvláštních kategorií osobních údajů a práva subjektu údajů.
Pro velké (většinou nadnárodní) společnosti může být strašákem alternativní horní sazba pokut, která činí 2 %, respektive 4 %, z globálního ročního obratu společnosti, pakliže je vyšší než výše zmíněná sazba.
Za porušování ochrany osobních údajů lze dále dle českého zákona o zpracování osobních údajů uložit pokutu ve výši až do 10 000 000 Kč.
Ne každé porušení má za následek uložení správní pokuty. Správní pokuty se totiž ukládají na základě okolností každého případu, které se individuálně zohledňují. V některých mohou být tyto okolnosti polehčující. Ty jsou upraveny v nařízením GDPR s tím, že brána v úvahu je zejména povaha, závažnost a délka trvání porušení, povaha, rozsah a účel zpracování, kategorie údajů a počet dotčených subjektů údajů. Dalším faktorem je skutečnost, zda se jednalo o úmyslné či nedbalostní porušení a jaké kroky správce údajů podniknul k předejití narušení ochrany a úroveň spolupráce s Úřadem pro ochranu osobních údajů atd.