• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referencie
  • EN
Konzultácia zdarma

FAQ: Aké sankcie alebo pokuty nám hrozia pri porušení nariadenia o GDPR?

Porušenie nariadenia GDPR (General Data Protection Regulation) môže mať vážne následky pre firmy aj jednotlivcov. Tieto následky sa prejavujú najmä formou finančných sankcií, reputačných škôd a v niektorých prípadoch aj obmedzením činnosti spracovateľa osobných údajov. GDPR stanovuje prísne pravidlá na ochranu osobných údajov občanov Európskej únie a jeho cieľom je zabezpečiť transparentnosť, zodpovednosť a bezpečnosť pri spracúvaní osobných údajov.

V prípade, že organizácia alebo jednotlivec poruší pravidlá GDPR, môže čeliť pokutám vo výške až 4 % z celosvetového ročného obratu alebo do výšky 20 miliónov eur – podľa toho, ktorá suma je vyššia. Tieto pokuty môžu mať zásadný dopad najmä pre malé a stredné podniky. Pre porozumenie tomu, aké konkrétne sankcie hrozia pri konkrétnych porušeniach, a aký právny a procesný postup podľa GDPR platí, sa pozrime bližšie na jednotlivé aspekty tejto témy.

Čo je GDPR a koho sa týka?

GDPR je nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679, ktoré vstúpilo do platnosti 25. mája 2018. Je určené na ochranu základných práv a slobôd fyzických osôb, najmä práva na ochranu osobných údajov.

GDPR sa vzťahuje na:

  • všetky organizácie (súkromné aj verejné), ktoré spracúvajú osobné údaje občanov EÚ;
  • subjekty mimo EÚ, pokiaľ ponúkajú tovar alebo služby občanom EÚ alebo monitorujú ich správanie v rámci Únie;
  • fyzické osoby, ak spracovanie osobných údajov nie je výhradne osobného charakteru (napr. blogy s marketingovým účelom).

Dôsledné dodržiavanie GDPR je teda povinnosťou prakticky každého podnikateľa, ktorý pracuje s osobnými údajmi.

Aké porušenia GDPR sú najčastejšie?

Nie všetky porušenia GDPR vedú automaticky k pokute. Ukladanie sankcie závisí od viacerých faktorov, vrátane úmyslu, rozsahu porušenia, prijatia nápravných opatrení a dopadu na dotknuté osoby. Medzi najčastejšie prípady porušení patria:

  • Nedostatočné informovanie dotknutých osôb – chýbajúce alebo neúplné informácie o spracovaní údajov.
  • Neoprávnené spracúvanie údajov – spracovanie bez právneho základu či bez súhlasu subjektu údajov.
  • Nedostatočné zabezpečenie údajov – zlyhanie v ochrane pred únikom alebo zneužitím údajov.
  • Zanedbanie oznámenia porušenia ochrany údajov – neohlásenie bezpečnostného incidentu do 72 hodín od jeho zistenia.
  • Nedodržanie práv subjektov údajov – nerešpektovanie práva na výmaz, prístup alebo prenosnosť údajov.

Tieto porušenia sú pre dozorný orgán signálom nedostatočnej zodpovednosti a môžu viesť k vysokým finančným postihom.

Aké typy pokút môže Úrad na ochranu osobných údajov uložiť?

GDPR rozlišuje dve hlavné kategórie pokút:

1. Nižšia kategória pokút – do výšky 10 miliónov EUR alebo 2 % z obratu

Ukladajú sa za menej závažné porušenia, ako sú napríklad:

  • nesprávne vedená dokumentácia o spracovaní údajov;
  • nedodržanie povinností prevádzkovateľa alebo sprostredkovateľa;
  • neoznámenie určenia zodpovednej osoby;
  • porušenie pravidiel týkajúcich sa spracovateľských zmlúv.

2. Vyššia kategória pokút – do výšky 20 miliónov EUR alebo 4 % z obratu

Ide o závažnejšie porušenia, ako napríklad:

  • nezákonné spracovanie osobných údajov;
  • porušenie základných práv subjektov údajov;
  • spracovanie údajov bez súhlasu alebo právneho základu;
  • zlyhanie v implementácii zásad ochrany údajov (napr. „privacy by design“).

Aký proces predchádza uloženiu pokuty?

Uloženie sankcie nie je automatické a vždy predchádza kontrolný proces zo strany dozorného orgánu, ktorým je v Slovenskej republike Úrad na ochranu osobných údajov SR. Proces typicky prebieha nasledovne:

  1. Podnet alebo oznámenie – kontrola môže vzniknúť na základe podnetu od dotknutej osoby alebo iného orgánu.
  2. Vyžiadanie súčinnosti – úrad môže žiadať dokumentáciu a vysvetlenia o spracovaní údajov.
  3. Zistenie porušenia – ak sa zistí porušenie, môže nasledovať upozornenie, nápravné opatrenia alebo pokuta.
  4. Uloženie sankcie – výška pokuty je určená podľa závažnosti, úmyslu, opakovaného porušenia a miery spolupráce.

GDPR zdôrazňuje princíp proporcionality, preto sa sankcie ukladajú primerane podľa okolností konkrétneho prípadu.

Aký vplyv má porušenie GDPR na reputáciu firmy?

Okrem finančnej pokuty môže viesť porušenie GDPR k vážnemu poškodeniu reputácie:

  • Strata dôvery zákazníkov – spotrebitelia očakávajú bezpečné zaobchádzanie s ich údajmi.
  • Negatívny mediálny ohlas – úniky dát a pokuty bývajú verejne známe.
  • Zníženie obchodnej hodnoty – najmä pre firmy operujúce v oblasti technológií alebo eCommerce.

Dôsledky môžu mať dlhodobý charakter a ovplyvniť aj vzťahy s partnermi, bankami či investormi.

Príklady reálnych pokút zo Slovenska a zahraničia

V praxi boli uložené viaceré medializované pokuty:

Na Slovensku:

  • Banka – pokuta za nedostatočné technické zabezpečenie údajov klientov; výška pokuty niekoľko desiatok tisíc EUR.
  • Obecný úrad – pokuta za nezabezpečené zverejňovanie údajov na úradnej výveske.

V zahraničí:

  • Meta (Facebook) – pokuta vo výške 1,2 miliardy EUR za nezákonný prenos údajov do USA.
  • British Airways – pokuta za únik údajov 400 000 zákazníkov, výška pokuty 22 miliónov GBP.

Tieto prípady ukazujú, že GDPR má reálne a relevantné dôsledky pre každý subjekt, bez ohľadu na veľkosť alebo oblasť činnosti.

Ako sa vyhnúť pokutám? Preventívne opatrenia

Najlepšou obranou proti pokutám je riadne plnenie povinností podľa GDPR. Preventívne kroky zahŕňajú:

  • Interný audit a analýza rizík – identifikujte, ako a prečo spracúvate osobné údaje.
  • Vypracovanie dokumentácie – zásady ochrany údajov, záznamy o spracúvaní, procesy vybavovania žiadostí subjektov údajov.
  • Zaškolenie zamestnancov – pravidelné školenia a testovanie znalostí zamestnancov.
  • Bezpečnostné opatrenia – technické a organizačné opatrenia ako šifrovanie, zálohovanie, autentifikácia.
  • Externý konzultant alebo DPO – najmä pre stredné a väčšie podniky je vhodné mať odborného zodpovedného pracovníka na GDPR.

Záver: Zodpovedný prístup ako základ ochrany

GDPR nie je len o hrozbe pokút – ide o systematický prístup k ochrane osobných údajov, ktorý posilňuje dôveryhodnosť a transparentnosť subjektu. Firmy, ktoré vnímajú ochranu súkromia ako prioritu, majú konkurenčnú výhodu a menej čelia právnym rizikám.

Ak sa teda chcete vyhnúť sankciám, venovať sa ochrane osobných údajov nestačí len „pro forma“. Je potrebné ju začleniť do každodenných procesov a firemnej kultúry. V konečnom dôsledku to nie je len o zákone, ale aj o dopade na ľudí, ktorých údaje spracúvate.