Odstrašujúce pokuty za porušenie GDPR sa pomaly dostávajú aj do našich končín.
Príkladom je aprílové potvrdenie rozhodnutia českého dozorného orgánu o udelení pokuty vo výške 351 mil. CZK (cca 13,9 mil. eur) pre českého softvérového giganta. Ten predal počas roka 2019 pseudonymizované údaje užívateľov antivírusového programu Avast tretej spoločnosti, poskytujúcej údaje na účely marketingu. Užívateľov pritom informoval o anonymizácii a využívaní získaných údajov len na analytické účely.
„V prípade Avastu úrad konštatoval porušenie zásady zákonnosti, spravodlivosti a transparentnosti, absenciu testu zlučiteľnosti, nesplnenie riadnej informačnej povinnosti, nevykonanie testu nevyhnutnosti a problematická bola aj anonymizácia údajov, ktorá nebola v súlade s tvrdeniami firmy. Na výšku pokuty však mal vplyv predovšetkým status značky Avast, ktorej produkty sú vyvíjané na ochranu spotrebiteľa a to aj pred zneužitím osobných údajov,“ približuje odborník na ochranu osobných údajov Jakub Berthoty z advokátskej kancelárie Dagital Legal.
Dobrá prax zo západnej Európy
V západnej Európe nie sú vysoké pokuty výnimkou. Francúzsky CNIL vybral v roku 2021 iba 18 pokút, avšak v celkovej výške 214 miliónov euro. Priemerná výška pokút vo Francúzsku tak bola na úrovni 12 miliónov eur. „Malý počet udelených pokút nie je dôsledkom nedostatku sťažností, ale politiky francúzskeho regulátora. CNIL totiž udelil pokutu len v každom tisícom prípade. No ak pokutu udelil, bola obrovská,“ vysvetľuje advokát Berthoty.
Na Slovensku na rekordnú pokutu stále čakáme
Napriek zahraničným trendom na Slovensku stále rastie počet rozhodnutí a súčasne klesá výška pokút. Priemerná výška pokút v roku 2023 predstavovala 1390 eur, pričom najvyššia udelená pokuta bola vo výške 7000 eur. Dôvodom takejto politiky Úradu na ochranu osobných údajov SR je nedostatok personálnych zdrojov. Na poddimenzovanosť úradu upozorňuje advokátska kancelária Dagital Legal vo svojich pravidelných Správach o ochrane osobných údajov už 3 roky. „Veľké množstvo konaní a nedostatok zamestnancov spôsobuje, že sa úrad snaží prebiehajúce konania ukončovať rýchlo, s nízkou pokutou. Nízka pokuta totiž motivuje účastníkov nepodať rozklad a nezačať II. stupňové správne konanie,“ približuje spoluautor správ Jakub Berthoty.
Úrad len minulý týždeň avizoval personálny audit, ktorého cieľom má byť posilnenie personálneho zázemia Úradu tak, aby mohla byť zabezpečená účinná ochrana základných práv fyzických osôb pri spracúvaní osobných údajov na Slovensku.
Berthoty v tejto súvislosti upozorňuje, že nízke pokuty nenapĺňajú svoj celospoločenský a odstrašujúci význam, ktorý majú mať podľa čl. 83 GDPR. „Úrad nepotrebuje vydávať desiatky rozhodnutí a bezvýznamných pokút ročne. Potrebuje sa strategicky zamerať na veľkých hráčov a služby, ktoré najviac porušujú pravidlá ochrany osobných údajov, s dopadom na širokú verejnosť. Tak ako máme možnosť vidieť v Českej republike v prípade Avastu,“ uzatvára odborník na ochranu osobných údajov.
