Sankce a rizika

V případě, že se na GDPR nepřipravíte nebo porušíte zásady a pravidla zpracování osobních údajů dle tohoto Nařízení, budete pravděpodobně čelit kontrole z Úřadu pro ochranu osobních údajů a následným sankcím.

Nesprávné či nezákonné zpracování osobních údajů představuje výrazné riziko zejména pro osobní údaje samotných subjektů údajů. Může totiž dojít k omezení zákonných práv a svobod těchto osob. Např. únik citlivých či finančních osobních údajů může znamenat značnou újmu pro tyto osoby, a to jak újmu hmotnou, tak i nehmotnou. Kdokoli, kdo v důsledku porušení GDPR utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu takové újmy.

Dle čl. 82 je správce údajů odpovědný za újmu, kterou způsobí zpracováním v rozporu s GDPR. Zpracovatel je odpovědný pouze v případech, kdy nesplní své povinnosti, které pro něj jako pro zpracovatele GDPR přímo stanovuje nebo pokud jednal v rozporu s pokyny správce.

Největší riziko hrozí při stížnostech ze stran subjektů údajů. Nejčastější stížnosti subjektů údajů jsou ze strany bývalých zaměstnanců, kteří znají veškeré nedostatky v zabezpečení dat zaměstnavatele. Dalšími častými  stěžovateli jsou fyzické osoby, které jsou oslovovány z callcenter a opakovanými nevyžádanými obchodními sděleními. Nově nařízení GDPR rozšiřuje práva subjektů údajů, kteří mohou žádat o přístup k osobním údajům, o aktualizaci, omezení zpracování, vymazání, přenos ve strojově čitelném formátu, právo vznést námitku nebo odvolat souhlas. Pokud nebudete tyto práva plnit v lhůtách stanovených dle GDPR, můžete očekávat kontrolu a případnou sankci. Bohužel opakované žádosti na některé z těchto práv, a to včetně stížností na ÚOOÚ, budou zneužívány v rámci konkurenčního boje podobně jako EET nebo insolvenční návrhy. Následná kontrola a případná sankce je velmi pravděpodobná spolu se poškozením dobrého jména společnosti.

 

Možné pokuty dle GDPR

GDPR v čl. 83 upravuje ukládání správních pokut, přičemž maximální výše pokuty, kterou lze uložit, rozděluje do dvou kategorií v závislosti na tom, která ustanovení Nařízení byla porušena. Za méně závažná porušení (např. neumožnění uplatňování práv subjektů, nedostatečné zabezpečení osobních údajů) lze uložit dle GDPR správní pokutu až ve výši 10 000 000 EUR nebo 2 % celkového ročního celosvětového obratu, dle toho, co je vyšší. Pokud ale správce nebo zpracovatel závažně poruší GDPR (např. porušení zásad zpracování, neplněním podmínek získávání souhlasů či porušování povinností při zpracování citlivých osobních údajů), hrozí mu uložení vyšší správní pokuty a to až ve výši 20 000 000 EUR nebo 4 % celkového ročního celosvětového obratu, dle toho, co je vyšší.

Občansko právní a reputační rizika

Je nutné mít na paměti, že v případě porušování ochrany osobních údajů dle GDPR je možné očekávat i občansko-právní vymáhání nehmotných škod přímo ze strany subjektů osobních údajů. Zde je otázkou, jaké intenzity dosáhne sporná agenda v českém soudnictví ve vztahu k GDPR.

Reputační rizika mohou dále vést i k závažnému poškození dobrého jména organizace, příp. odlivu zákazníků, členů apod, přičemž naopak dodržování zásad zpracování tuto reputaci vylepšuje.

 

Pracovně právní spory

Rovněž v rámci pracovního práva musí organizace počítat s určitou mírou rizika sporů se svými pracovníky či jejich organizacemi (odbory apod.). Dle vyjádření ÚOOÚ tvoří zaměstnanecké spory značnou část činnosti Úřadu při posuzování porušení podmínek zpracování osobních údajů. Zaměstnance je také nutné považovat za skupinu osob citlivou na zákonné zpracování svých osobních údajů.

Rizika interní a externí

Organizace musí také posuzovat svá interní rizika, zejména bezpečnost svých organizačních procesů, a to při ohledu například  na využívaný hardware, vlastní software nebo přístupová práva jednotlivých osob zapojených do zpracování. Interní pracovníci mají vždy snazší přístup k osobním údajům než externí osoby, a zároveň často manipulují se zařízeními organizace. Stejně pečlivě by měla být posuzována ale i rizika plynoucí ze zpracování osobních údajů externími osobami, například poskytovateli cloudových služeb, jiných datových úložišť apod. Časté jsou i tzv. phishingové útoky cílené na vyzrazení citlivých, zejména finančních osobních údajů. Rozhodně se vyplatí aplikovat opatření kybernetické obrany a zavést vnitřní směrnice pro tyto případy.