Jaké hrozí sankce za neoprávněné nakládání s osobními údaji?

12.04.2017

Organizaci může být za porušení GDPR uložena pokuta až do výše 4% ročního celosvětového obratu nebo 20 milionů € ... 

Toto je maximální pokuta, která může být uložena za nejzávažnější porušení, například nemá dostatečný souhlas od zákazníka zpracovávat jeho data nebo se jedná o porušení podstaty konceptů ochrany osobních údajů dle GDPR. 

Pokuty se budou udělovat stupňovitě, např. společnosti může být udělena pokuta ve výši 2% z ročního obratu za to, že její záznamy nejsou v pořádku, neoznámí dohlížejícímu orgánu a subjektu údajů porušení nebo nevykonává posouzení dopadů. Je důležité si rovněž uvědomit, že tato pravidla platí jak pro správce, tak i pro zpracovatele. Pojem "cloud" nebude osvobozen od vymáhání GDPR.

Za zmínku rovněž stojí i to, že dne 1. prosince 2016 nabyl účinnosti zákon č. 183/2016 Sb., kterým se mění zákon č. 418/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim. Tato úprava má dopad do ochrany osobních údajů.

V § 7 zákona o trestní odpovědnosti právnických osob mění výčet trestných činů, jichž se může dopustit právnická osoba, tj. pozitivní výčet, na výčet trestných činů, jichž se právnická osoba dopustit nemůže, tj. negativní výčet. Týká se to i § 180 nového trestního zákoníku, neoprávněné nakládání s osobními údaji, který doposud trestným činem, jehož se právnická osoba mohla dopustit, nebyl.

§ 180

Neoprávněné nakládání s osobními údaji

(1) Kdo, byť i z nedbalosti, neoprávněně zveřejní, sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje, které byly o jiném shromážděné v souvislosti s výkonem veřejné moci, a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají, bude potrestán odnětím svobody až na tři léta nebo zákazem činnosti.

(2) Stejně bude potrestán, kdo, byť i z nedbalosti, poruší státem uloženou nebo uznanou povinnost mlčenlivosti tím, že neoprávněně zveřejní, sdělí nebo zpřístupní třetí osobě osobní údaje získané v souvislosti s výkonem svého povolání, zaměstnání nebo funkce, a způsobí tím vážnou újmu na právech nebo oprávněných zájmech osoby, jíž se osobní údaje týkají.

(3) Odnětím svobody na jeden rok až pět let, peněžitým trestem nebo zákazem činnosti bude pachatel potrestán,

a) spáchá-li čin uvedený v odstavci 1 nebo 2 jako člen organizované skupiny,

b) spáchá-li takový čin tiskem, filmem, rozhlasem, televizí, veřejně přístupnou počítačovou sítí nebo jiným obdobně účinným způsobem,

c) způsobí-li takovým činem značnou škodu, nebo

d) spáchá-li takový čin v úmyslu získat pro sebe nebo pro jiného značný prospěch.

(4) Odnětím svobody na tři léta až osm let bude pachatel potrestán,

a) způsobí-li činem uvedeným v odstavci 1 nebo 2 škodu velkého rozsahu, nebo

b) spáchá-li takový čin v úmyslu získat pro sebe nebo pro jiného prospěch velkého rozsahu.


Zdroje: 

1. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=en

2. https://www.uoou.cz/k-novele-zakona-o-trestni-odpovednosti-pravnickych-osob/d-21536/p1=1099