První udělené pokuty ve výši sta tisíců EUR za porušení GDPR v Řecku a Nizozemí
Nařízení Evropského parlamentu a Rady č. 2016/679 ze dne 27. 4. 2016, účinnost: 25. 5. 2018
GDPR sjednocuje ochranu osobních údajů na území EU. Největší obavu až téměř senzaci vzbuzovaly sankce za nedodržení povinností správce, resp. zpracovatele, které mohou dosáhnout až 20 mil. EUR, resp. 4 % z celkového ročního obratu.
Po roce od nabytí účinnosti nařízení byly uděleny první pokuty. V Řecku místní úřad pro ochranu osobních údajů udělil pokutu ve výši 150 000 EUR společnosti PwC. PwC neposkytlo vnitřní dokumentaci v souladu s povinností správce prokázat splnění zásad zpracování osobních údajů dle čl. 5 GDPR. A dále jejich zaměstnanci udělovaný souhlas pro zpracování osobních údajů nebyl dle úřadu svobodný, protože strany byly ve zjevně nerovném postavení (zaměstnavatel byl ve výhodnější pozici nad zaměstnancem).
K dalšímu udělení pokuty došlo v Nizozemí. Pokuta ve výši 460 000 EUR byla udělena haagské nemocnici, která nedostatečně zajistila bezpečnost záznamů svých pacientů. K těmto záznamům měla neoprávněně přístup velká část zaměstnanců nemocnice (cca. 200 zaměstnanců). Podnětem k vyšetřování bylo odhalení úniku lékařských záznamů slavných osobností do tisku. Tento případ je velkým varování pro nemocnice v Nizozemí a v ostatních členských státech EU.
Nizozemský úřad vypracoval seznam hledisek k určení výše konkrétní pokuty (povaha, závažnost a doba trvání porušení, počet dotčených osob, rozsah škod, úmysl nebo hrubá nedbalost, opatření provedená správcem nebo zpracovatelem k omezení škod dotčených osob nebo míra spolupráce s úřadem (vč. oznámení porušení) apod.). Zvyšujícími nebo snižujícími faktory výše pokuty mohou být také případné finanční zisky pocházející z porušení.
V současné době hrozí společnosti British Airways pokuta ve výši 204 000 000 EUR. K porušení pravidel GDPR došlo následkem kyberútoku, při kterém útočníci získali osobní údaje přibližně 500 000 zákazníků těchto aerolinek. Úřad shledal, že příčinou porušení bylo nedostatečné zajištění bezpečnostních prvků ze strany British Airways.
Partner AK-PS Pavel Strnad dodává: „Toto evropské nařízení zavádí sankce v odstrašující výši. V mnohdy až panickém strachu před nimi pak spousta podnikatelů hledala drahá a mnohdy ukvapená řešení a stanoviska. Neočekávali jsme, že by se udělovaly tyto odstrašující pokuty, navíc ještě běžným podnikatelům (nikoliv tak nadnárodním dominantním gigantům). To ostatně dokládají první pokuty směřující proti velkým hráčům na trhu anebo za flagrantní porušení stanovených pravidel ochrany osobních údajů. Věříme, že tento trend v udělování pokut bude sledován i českým Úřadem pro ochranu osobních údajů, který prozatím neuložil pokutu přesahující desítky tisíc korun.“