Zoznam pokút uložených podľa GDPR v EÚ

Pi, 05/17/2019 - 10:19
pokuty gdpr

Aké pokuty priniesol prvý rok uplatňovania GDPR? Zlikvidovalo GDPR už nejakú spoločnosť ako predvídali politici? 

Nie. Žiadna doteraz uložená pokuta v EÚ (resp. EHP) nebola likvidačná a vo všeobecnosti ani nemôže byť. Každá pokuta totiž musí byť podľa čl. 83 GDPR účinná, primeraná a odrádzajúca. To by samozrejme nemohla spĺňať pokuta, ktorá podnik zlikviduje. Potvrdzuje to aj samotný Úrad na ochranu osobných údajov vo svojej tlačovej správe:

„Nie je cieľom uloženia pokuty úradom v súčasnosti a ani nebude pri jej ukladaní podľa navrhovaného zákona o ochrane osobných údajov, aby bola likvidačná, mala by však mať preventívny a odstrašujúci charakter.“

Na druhej strane – laicky povedané – pokuty podľa GDPR nesmú byť ani symbolické a musia byť pre adresátov citeľné. 

Pokúsili sme sa preto zosumarizovať známe prípady uloženia pokút podľa GDPR v EÚ, avšak samozrejme tento zoznam nie je úplný. Existujú na túto tému rôzne zdroje a informácie o tom, že napr. len v Nemecku malo byť uložených 71 pokút (v celkovej výške 450 tisíc eur), na Malte malo byť uložených 18 pokút, celkovo v EÚ malo byť uložených už viac ak 100 pokút a viaceré pokuty mali byť uložené aj v Českej republike. Je však potrebné dodať, že väčšina pokút nižšie nemusí byť ešte právoplatná a môžu o nich ešte rozhodovať správne súdy. Budeme sa snažiť tento zoznam postupne dopĺňať.

Rebríček nami identifikovaných najvyšších pokút podľa GDPR vyzerá zatiaľ takto: 

  1. 183 miliónov libier – Veľká Británia (British Airways)
  2. 99 miliónov eur  – Veľká Británia (Marriot International);
  3. 50 miliónov eur – Francúzsko (Google); 
  4. 460 tisíc eur – Holandsko (Haga Hospital); 
  5. 400 tisíc eur – Francúzsko (Sergic);  
  6. 400 tisíc eur – Portugalsko (dve nemocnice 300 + 100); 
  7. 250 tisíc eur – Španielsko (LaLiga); 
  8. 220 tisíc eur – Poľsko (Biznode); 
  9.  200 tisíc eur - Dánsko (ID Design); 
  10. 180 tisíc eur – Francúzsko (Active Assurances); 
  11. 170 tisíc eur – Nórsko (mesto Bergen); 
  12. 160 tisíc eur – Dánsko (taxi spoločnosť); 
  13. 150 tisíc eur – (Grécko, PwC). 

Absolútnym stropom je však len zámer britského regulátora uložiť dané pokuty, ktoré ešte nie sú finálne. Podrobný zoznam pokút je možné nájsť tu. Samozrejme vo všetkých prípadoch môžu prebiehať nasledujúce súdne konania, ide len o indikatívny zoznam rozhodnutí alebo zámerov dozorných orgánov, ktoré nemusia byť konečné. 

Netreba však zabúdať na to, že už aj pred GDPR boli v niektorých členských štátoch udeľované podobné pokuty. Takisto dodnes môžu prebiehať konania, v ktorých sú ukladané pokuty ešte podľa predchádzajúcej legislatívy.

Pokuty uložené v režme Smernice 95/46/ES vyzerajú približne takto: 

  1. Spolu takmer 11 miliónov eur piatim finančným inštitúciám – Taliansko (jednotlivo 5,8 milióna eur; 1,6 milióna eur; 1,4 milióna eur; 1,2 milióna eur a 850 tisíc eur)
  2. 1,1 milióna eur – Nemecko (Deutsche Bahn); 
  3. 500 tisíc £ – Spojené Kráľovstvo (Facebook – Cambridge Analytica); 
  4. 500 tisíc £ – Spojené Kráľovstvo (Equifax); 
  5. 400 tisíc £ – Spojené Kráľovstvo (Bounty UK); 
  6. 400 tisíc £ – Spojené Kráľovstvo (TalkTalk); 
  7. 400 tisíc £ – Spojené Kráľovstvo (Keurboom Communications); 
  8. 400 tisíc eur – Francúzsko (Uber); 
  9. 160 tisíc eur – Francúzsko (Facebook); 
  10. 120 tisíc £ – Spojené Kráľovstvo (Heathrow Airport); 
  11. 140 tisíc eur – Česká republika (T-Mobile); 
  12. 60 tisíc eur – Česká republika (Mall.cz). 

"Dalo by sa teda povedať, že niekoľko desaťtisícové až státisícové pokuty sú v rámci EÚ bežné ak ide o závažné porušenie predpisov na ochranu osobných údajov a dostatočne etablované spoločnosti. To neplatí len o Nemecku, ale aj o susedných krajinách Slovenska vrátane Českej republiky. Ak ide o drobných alebo bežných podnikateľov, pokuty zriedkakedy presahujú úroveň jednotiek tisíc eur. Miliónových pokút bolo príliš málo na to, aby sa dali paušalizovať."

Akákoľvek pokuta je veľmi nepríjemná pretože predstavuje zlú reklamu, ovplyvňuje správanie zákazníkov a nadväzuje na ňu množstvo ďalších nákladov, zodpovednosti a strát, o ktorých sa verejne nehovorí. V žiadnom prípade pokuty však nie sú likvidačné pre spoločnosti, ktorým sú udelené. Len pre ilustráciu, pokuta vo výške 50 miliónov eur predstavovala približne jednu dve-tisícinu z ročného obratu Googlu. Do hornej hranice pokuty podľa GDPR chýbalo Googlu ešte približne 4 miliardy eur. 

Sú už na Slovensku pokuty podľa GDPR?

Odpoveď sme zisťovali k 10. máju 2019. Na základe našej žiadosti nám Úrad na ochranu osobných údajov SR sprístupnil aktuálny prehľad právoplatných pokút podľa GDPR na Slovensku:

  1. 3 500 EUR (súkromná spoločnosť – poriadková pokuta); 
  2. 1 000 EUR (krajské mesto); 
  3. 500 EUR (súkromná spoločnosť – poriadková pokuta); 
  4. 500 EUR (občianske združenie – poriadková pokuta); 
  5. 500 EUR (súkromná spoločnosť – poriadková pokuta). 

Z vyššie uvedeného stavu právoplatne uložených pokút na Slovensku je zrejmé, že približne po roku od začatia vymáhania dodržiavania GDPR sú k dispozícii úplne minimálne výsledky dozornej činnosti, keďže máme v podstate iba jedinú právoplatne uloženú symbolickú pokutu vo veci samej. Zvyšok právoplatných pokút je za porušovanie procesných a nie hmotnoprávnych povinností kontrolovaných osôb alebo účastníkov konania. 

Avšak, medzi časom sa objavili aj na Slovensku nové informácie o ďalších dvoch pokutách vo výške 5,000 EUR a 10,000 EUR. Naša kancelária zastupuje klienta v prípade vyššej pokuty, pričom ide o kamerový systém. V danom prípade Úrad namieta porušenie informačnej povinnosti podľa čl. 13 GDPR. 

Aké sme mali na Slovensku pokuty v minulosti? 

Podľa výročnej správy Úradu na ochranu osobných údajov za roky 2017 a 2018 (do uplatňovania GDPR) bola priemerná výška pokút v roku 2017 približne 1 390 eur a v roku 2018 približne 2 427 eur. Najvyššia uložená pokuta Úradu na ochranu osobných údajov bola vo výške 40 tisíc eur. 

Chystajú sa sadzobníky pokút? 

Článok 70 ods. 1 písm. k) GDPR zveruje Európskemu výboru pre ochranu osobných údajov úlohu vypracovať pre dozorné orgány usmernenie o uplatňovaní nápravných opatrení a ukladaní správnych pokút podľa článku 83 GDPR. Dané usmernenie ešte nebolo vypracované, ale existuje jeho predchodca v podobe Usmernenia Pracovnej skupiny čl. 29 z októbra 2017. Cieľom sú podobné pokuty za podobné porušenia ochrany osobných údajov bez ohľadu na to o aký členský štát ide. 

Možno sa to môže zdať nefér voči menším členským štátom ale už dlhšie je možné sledovať tendencie a snahu vydávať akési sadzobníky pre pokuty aj na národnej úrovni. Priekopníkom je v tomto smere holandský Autoriteit Persoonsgegevens, ktorý vydal národné pravidlá pre stanovenie výšky pokút podľa čl. 83 GDPR. Tieto pravidlá kategorizujú pokuty do štyroch základných skupín. Napríklad, ak je maximálna pokuta spoločnosti 10 miliónov eur, pokuta kategórie 1 by sa pohybovala od 0 do 200 tisíc eur; kategória 2 by predstavovala 120 tisíc eur až 500 tisíc eur; kategória 3 by predstavovala 300 tisíc eur až 750 tisíc eur a kategória 4 by predstavovala 450 tisíc eur až 1 milión eur. Pokuta vyššia ako kategória 4 by bola vydaná len vtedy, ak by maximum určenej hodnoty nebolo postačujúce. Medzi faktory podľa ktorých sa majú pokuty kategorizovať patrí počet dotknutých osôb, dĺžka trvania porušenia, kategória kompromitovaných údajov, či ako rýchlo bude prevádzkovateľ reagovať na problém.  Tieto faktory kopírujú úpravu podľa čl. 83 ods. 2 GDPR a súhlasia aj s Usmernením. 

Musí byť pokuta uložená vždy ak je porušené GDPR?

Nie. Na Slovensku sme boli zvyknutí, že v prípade niektorých konkrétnych porušení zákona o ochrane osobných údajov mal Úrad na ochranu osobných údajov zákonnú povinnosť uložiť pokutu v určitej minimálnej výške. Podľa GDPR to neplatí a pokuta nemusí byť uložená vždy. Uvedené podporuje dikcia čl. 83 GDPR, § 102 ods. 1 písm. f) Zákona o ochrane osobných údajov a zároveň úvodné ustanovenie č. 148 GDPR podľa ktorého: „V prípade menej závažného porušenia, alebo ak by pravdepodobne uložená pokuta predstavovala pre fyzickú osobu neprimeranú záťaž, možno namiesto uloženia pokuty udeliť napomenutie.“ Zároveň, GDPR nestanovuje žiadnu minimálnu výšku pokút ale len ich hornú hranicu.

Znamená to, že netreba podliehať panike o likvidačných pokutách. Tiež to však znamená, že kvalitná príprava na GDPR začína byť lacnejšia ako jeho porušovanie už aj na Slovensku. A tak by to malo byť. 

 

JUDr. Ondrej Zimen a Jakub Berthoty, LL.M

Dagital Legal, s.r.o.