Analýza: Pokuty za porušení GDPR se postupně zvyšují. Sankce přesahují i miliardu korun

Petr Šabatka, Jan Metelka

20. 04. 2020 • 08:30

ANALÝZA PETRA ŠABATKY A JANA METELKY | Obecné nařízení o ochraně osobních údajů, GDPR, platí už skoro dva roky, a tak je možné pozorovat určité trendy a vyvozovat první závěry. Regulátoři napříč Evropou začínají v poslední době zvyšovat ukládané pokuty a rovněž vypracovávají metodiky pro transparentnější mechanismy jejich ukládání.

Ve Francii a Velké Británii určitě z poslední doby zaujmou pokuty 50 milionů euro proti Google LLC, 218 milionů euro proti British Airways, či přibližně 117 milionů euro v řízení proti řetězci hotelů Marriott. Důvodem bylo tvrzené porušení informačních povinností, zpracovávání bez právního titulu či nedostatečná technická a organizační opatření k předejití únikům osobních údajů.

Ani Rakousko není pozadu s pokutou ve výši 18 milionů EUR udělenou Rakouské poště za tvrzené vytváření datových profilů více než dvou milionů Rakušanů, či Itálie s pokutou 27,8 milionu euro telekomunikačnímu operátorovi TIM za tvrzené reklamní telefonáty bez souhlasu uživatelů, nesprávné informace o zpracovávání osobních údajů a údajné používání jediného souhlasu pro několik různých účelů. Osobní údaje byly zřejmě rovněž zpracovávány déle než bylo nutné.

V Německu byly pokuty o něco nižší, nejvýraznější bylo 14,5 milionu euro vůči Deutsche Wohnen za uchovávání osobních údajů o nájemnících, které nebylo možné vymazat. Pokutu rovněž dostala od německého regulátora společnost 1&1 Telecom GmbH, za poskytování rozsáhlých osobních údajů volajícímu, který sám uvedl pouze jméno a datum narození – v tomto spatřoval regulátor potenciální riziko pro všechny zákazníky.

Obecně lze při pohledu na výše zmíněné případy, ale i na mnoho těch méně výrazných, říci, že regulátoři začínají zvyšovat ukládané pokuty a rovněž vypracovávají metodiky pro transparentnější mechanismy ukládání těchto pokut. Koncepty těchto metodik byly již zveřejněny v Německu a Rakousku. Vychází se přitom z článku 83 GDPR, který stanoví:

„Každý dozorový úřad zajistí, aby ukládání správních pokut v souladu s tímto článkem ohledně porušení tohoto nařízení podle odstavců 4, 5 a 6 bylo v každém jednotlivém případě účinné, přiměřené a odrazující."

GDPR dále obsahuje katalog okolností, které by měly být v procesu ukládání pokuty zohledněny, např. povaha, závažnost a délka trvání porušení, zda došlo k porušení úmyslně či z nedbalosti či zda následně došlo ke spolupráci s dozorovým úřadem v oblasti odstraňování škod.

To vše zohledňuje nová německá metodika, která postupuje v následujících pěti krocích:

1) rozdělení společnosti dle velikosti:

mikro společnost – s celosvětovým obratem za předcházející finanční rok pod 2 miliony euro;

malá společnost - s celosvětovým obratem za předcházející finanční rok mezi 2-10 miliony euro;

střední společnost - s celosvětovým obratem za předcházející finanční rok mezi 10-50 miliony euro;

a velká společnost - s celosvětovým obratem za předcházející finanční rok přesahujícím 50 milionů euro.

2) následně se posuzuje průměrný roční obrat (relevantní pouze pro společnosti, které mají nižší průměrný roční obrat pod 500 milionů euro), a to za použití kalkulace odkazem na příslušnou kategorii velikosti;

3) třetím krokem je výpočet tzv. základní hodnoty, kde se dělí průměrný roční obrat číslem 360 (nejde o chybu, skutečně používá toto číslo), aby se došlo k dennímu obratu;

4) základní hodnota denního obratu se pak dále násobí faktorem mezi 1-7.2 (pro provinění dle článku 83(4) GDPR), nebo faktorem mezi 1-14.4 (pro provinění dle článku 83 (5, (6) GDPR), konkrétní výše pak závisí dle závaznosti porušení (nepatrné/ střední/ vážné/ velmi vážné);

5) a v posledním kroku se aplikuje procentní úprava, která zakomponuje další faktory:

Stupeň zavinění (-25% až + 50%);

Stupeň odpovědnosti (-25% až +50%);

Relevantní předchozí prohřešky (0%  až +300%);

Spolupráce s regulátorem (-25% až 25%);

Nahlášení sebe sama (- 25% až +10%);

Dodržování opatření nařízených regulátorem (0% až 50%);

Je zjevné, že na podobnou metodiku se dlouho čekalo a konečně jsou lépe vyjasněny doposud poměrně volné mantinely v ukládání pokut. Bude zajímavé sledovat, zda budou ostatní regulátoři následovat německý (či v mnohem podobný nizozemský) model či zda dojde k zavedení něčeho, co bude schopné přesněji reflektovat individuální rozměr každého případu.

Autoři působí v advokátní kanceláři DLA Piper. Petr Šabatka jako partner a Jan Metelka jako advokát.

SDÍLET