Koniec mája 2018 prinesie okrem prechodu na ochranu osobných údajov známu ako General Data Protection Regulation – GDPR zmenu aj v sankciách pri porušení zákonných povinností pri spracovávaní a ukladaní osobných údajov. Legislatíva Slovenskej republiky umožní Úradu na ochranu osobných údajov Slovenskej republiky (ďalej len „úrad“) ukladať pokuty a poriadkové pokuty v závislosti od okolností každého jednotlivého prípadu. Pri rozhodovaní o uložení pokuty a určení jej výšky, do 10 000 000 eur, alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia. Pokuty a poriadkové pokuty sú príjmom štátneho rozpočtu.
Úrad bude pri ukladaní pokút zohľadňovať najmä:
- povahu, závažnosť a trvanie porušenia, povahu, rozsah alebo účel spracúvania osobných údajov, ako aj počet dotknutých osôb, na ktoré malo vplyv, a rozsah škody, ak vznikla,
- prípadné zavinenie porušenia ochrany osobných údajov,
- opatrenia, ktoré prevádzkovateľ alebo sprostredkovateľ prijal na zmiernenie škody, ktorú dotknuté osoby utrpeli,
- mieru zodpovednosti prevádzkovateľa alebo sprostredkovateľa so zreteľom na technické a organizačné opatrenia, ktoré prijal,
- predchádzajúce porušenia ochrany osobných údajov zo strany prevádzkovateľa alebo sprostredkovateľa,
- mieru spolupráce s úradom pri náprave porušenia ochrany osobných údajov a zmiernení možných nepriaznivých dôsledkov porušenia ochrany osobných údajov,
- kategóriu osobných údajov, ktorých sa porušenie ochrany osobných údajov týka,
- spôsob, akým sa úrad o porušení ochrany osobných údajov dozvedel, a najmä to, či prevádzkovateľ alebo sprostredkovateľ porušenie ochrany osobných údajov oznámili, a ak áno, v akom rozsahu,
- splnenie opatrení prevádzkovateľom alebo sprostredkovateľom, ak boli skoršie v konaní o ochrane osobných údajov uložené také opatrenia (napr. odňať certifikát, nariadiť certifikačnému subjektu odňatie certifikátu),
- dodržiavanie schválených kódexov správania alebo vydaných certifikátov,
- priťažujúce okolnosti alebo poľahčujúce okolnosti, najmä finančné výhody alebo straty, ktorým sa zabránilo, priamo alebo nepriamo v súvislosti s porušením ochrany osobných údajov.
Pokutu po určení jej výšky do 10 000 000 eur, alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia. možno uložiť do dvoch rokov odo dňa, keď úrad porušenie povinnosti zistil, najneskôr však do piatich rokov odo dňa, keď k porušeniu povinnosti došlo.
Ak vznikne situácia, pri ktorej prevádzkovateľ alebo sprostredkovateľ úmyselne alebo z nedbanlivosti tými istými spracovateľskými operáciami alebo súvisiacimi spracovateľskými operáciami poruší viacero ustanovení zákona č. 18/2018 Z. z. o ochrane osobných údajov, v znení neskorších právnych predpisov alebo osobitného predpisu[1], celková suma pokuty nesmie presiahnuť výšku ustanovenú za najzávažnejšie porušenie ochrany osobných údajov, t.j. 10 000 000 eur, alebo ak ide o podnik do 2 % celkového svetového ročného obratu za predchádzajúci účtovný rok, podľa toho, ktorá suma je vyššia.
Poriadková pokuta
Úrad môže uložiť aj poriadkovú pokutu a to do výšky 2 000 eur osobe, ktorá nie je prevádzkovateľom alebo sprostredkovateľom. Túto poriadkovú pokutu môže uložiť osobe za neposkytnutie požadovanej súčinnosti úradu pri výkone dozoru.
Úrad môže taktiež uložiť poriadkovú pokutu prevádzkovateľovi alebo sprostredkovateľovi, prípadne zástupcovi prevádzkovateľa alebo sprostredkovateľa a to do výšky do 2 000 eur, ak nezabezpečí primerané podmienky na výkon kontroly a to, že strpí výkon kontroly a vytvorí kontrolnému orgánu primerané podmienky na výkon kontroly a spracovanie kontrolných zistení. Poriadkovú pokutu úrad uloží opakovane, ak povinnosť nebola splnená v určenej lehote. Poriadkovú pokutu možno uložiť do 6 mesiacov odo dňa, keď k porušeniu povinnosti došlo.
Do výšky 10 000 eur môže úrad uložiť poriadkovú pokutu v prípade, ak prevádzkovateľ alebo sprostredkovateľ, prípadne zástupca prevádzkovateľa alebo sprostredkovateľa marí výkon kontroly a to spôsobom ak:
- neposkytne kontrolnému orgánu súčinnosť nevyhnutnú na riadny výkon kontroly, najmä pri dokumentovaní primeranej úrovne bezpečnosti s ohľadom na riziká, ktoré predstavuje spracúvanie osobných údajov v podmienkach prevádzkovateľa a sprostredkovateľa,
- v čase výkonu kontroly nezabezpečí kontrolnému orgánu dostupný a bezpečný prístup k zariadeniam, prostriedkom a k informačným systémom,
- neposkytne kontrolnému orgánu požadovanú súčinnosť v súlade s jeho oprávneniami a nezdrží sa konania, ktoré by mohlo mariť výkon kontroly,
- nedostaví sa na predvolanie kontrolného orgánu s cieľom podať vysvetlenia k predmetu kontroly,
- v určenej lehote neposkytne kontrolnému orgánu originál alebo kópiu dokladov, iných písomností, vyjadrenia a informácie, osobné údaje spracúvané na pamäťových médiách vrátane technických nosičov osobných údajov, výpisy a zdrojové kódy programov, ak ich vlastní alebo má k dispozícii, a ďalšie materiály alebo podklady potrebné na výkon kontroly a v odôvodnených prípadoch neumožní odoberať originály alebo kópie aj mimo priestorov kontrolovanej osoby,
- neposkytne kontrolnému orgánu úplné a pravdivé ústne a písomné informácie, vyjadrenia a vysvetlenia ku kontrolovaným a s kontrolou súvisiacim skutočnostiam,
- na požiadanie kontrolného orgánu sa nedostaví na prerokovanie protokolu.
[1] Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. v. EÚ L 119, 4. 5. 2016).