GDPR: Obavy z obrovských pokut jsou nesmysl, budeme pokutovat pořád stejně, říká český úřad

© Shutterstock

GDPR umožňuje ukládat vysoké pokuty. Úřad na ochranu osobních údajů ale připomíná, že i teď může ukládat pokuty do výše až 10 milionů korun, a žádná z finančních sankcí nepřevýšila ani polovinu této sumy. Obce prý pokutuje v řádech desetitisíců korun.

V souvislosti s evropským nařízením o ochraně osobních údajů (GDPR) se mluví především o výši pokut, které firmám, organizacím nebo úřadům veřejné správy v případě porušení pravidel hrozí.

Samotné nařízení skutečně umožňuje udělit finanční sankce až do výše 20 milionů eur nebo 4 % globálního obratu společnosti. Český Úřad pro ochranu osobních údajů (ÚOOÚ) však obavy z obrovských sankcí mírní a připomíná, že dosud „provinilce“ pokutoval přiměřeně a nehodlá na tom nic měnit.

Strašení mnohamilionovými sankcemi je podle úřadu přehnané. Udělená pokuta totiž nesmí být likvidační.

„Případné sankce za porušení povinností obecného nařízení budou jako dosud přiměřené a v žádném případě nemohou být likvidační,“ uvedl ÚOOÚ. Pokuty mají být podle něj v každém jednotlivém případě účinné, přiměřené a odrazující, což mimochodem stojí i v samotném nařízení.

„Strašit takovými sankcemi menší firmu nebo školu je nesmysl,“ uvádí úřad.

Největší pokutu zatím dostal T-Mobile

Správní úřady v celé EU tak budou mít jasně stanoveny mantinely, které nemohou překročit. V jejich rámci budou při posuzování jednotlivých případů moci využívat tzv. správní uvážení, což znamená, že o konečné výši finanční sankce rozhodnou v závislosti na okolnostech konkrétního případu.

Horní hranice tak od porušení sice odrazuje, udělená pokuta však musí být účinná, ale zároveň přiměřená, což mimo jiné znamená, že nesmí být likvidační. Stejně tak musí správní uvážení respektovat obecnou zásadu rovnosti před zákonem.

Vysokých sankcí se přesto obává například starosta Kolína a zároveň poslanec Vít Rakušan (Změna pro Kolín/STAN). „Rakousko si schválilo, že nebude v prvních letech pokutovat, jen že bude úřad upozorňovat na chyby. Ne jako tady, že úředníci budou kontrolovat webové stránky měst a vypalovat pokuty,“ řekl ČTK Rakušan.

ÚOOÚ připomíná, že podle platné úpravy z roku 2000 činí maximální pokuta 10 milionů korun. Doposud ale neudělil žádnou sankci, která by převyšovala alespoň polovinu z této částky. Jednu z nejvyšších pokut udělil úřad společnosti T-Mobile za rozsáhlý únik osobních údajů zákazníků. Její výše činila 3,6 milionů korun.

GDPR míří podle ÚOOÚ primárně na nadnárodní správce osobních údajů. Jako příklad uvedl zneužití dat sociální sítě Facebook firmou Cambridge Analytica.

Ze strachu z přemrštěných pokut chtěla KDU-ČSL dokonce docílit toho, aby se případné finanční postihy netýkaly obcí, úřadů a neziskových organizací. V případě obcí přitom za porušení pravidel uděloval ÚOOÚ dosud pokuty běžně v řádech desetitisíců korun.

Obavy mírní i česká eurokomisařka Věra Jourová (ANO). „Představa, že by se na malou obec uplatňovala astronomická sankce, je jako z apokalyptického filmu,“ uvedla před nedávnem v rozhovoru pro EURACTIV.cz.