Odstrašujúce pokuty za porušenie všeobecného nariadenia EÚ na ochranu osobných údajov (GDPR) sa pomaly dostávajú aj do našich končín. Príkladom je aprílové potvrdenie rozhodnutia českého dozorného orgánu o udelení pokuty vo výške 351 miliónov korún (cca 13,9 mil. eur) pre českého softvérového giganta.
Ten počas roka 2019 predal pseudonymizované údaje používateľov antivírusového programu Avast tretej spoločnosti, poskytujúcej údaje na účely marketingu. Používateľom pritom tvrdil, že ich údaje anonymizoval a budú sa využívať len na analytické účely.
„V prípade Avastu úrad konštatoval porušenie zásady zákonnosti, spravodlivosti a transparentnosti, absenciu testu zlučiteľnosti, nesplnenie riadnej informačnej povinnosti, nevykonanie testu nevyhnutnosti a problematická bola aj anonymizácia údajov, ktorá nebola v súlade s tvrdeniami firmy,“ priblížil odborník na ochranu osobných údajov Jakub Berthoty z advokátskej kancelárie Dagital Legal.
„Na výšku pokuty však mal vplyv predovšetkým status značky Avast, ktorej produkty sú vyvíjané na ochranu spotrebiteľa a to aj pred zneužitím osobných údajov,“ zdôraznil.
Dobrá prax zo západnej Európy
V západnej Európe nie sú vysoké pokuty výnimkou. Francúzsky CNIL (Commission Nationale de l’Informatique et des Libertés) vybral v roku 2021 iba 18 pokút, avšak v celkovej výške 214 miliónov eur. Priemerná výška pokút vo Francúzsku tak bola na úrovni 12 miliónov eur.
„Malý počet udelených pokút nie je dôsledkom nedostatku sťažností, ale politiky francúzskeho regulátora. CNIL totiž udelil pokutu len v každom tisícom prípade. No ak pokutu udelil, bola obrovská,“ vysvetľuje advokát Berthoty.
Na Slovensku na veľkú pokutu stále čakáme
V protiklade k zahraničným trendom, na Slovensku stále rastie počet rozhodnutí a súčasne klesá výška pokút. Priemerná výška pokút v roku 2023 predstavovala 1 390 eur, pričom najvyššia udelená pokuta bola vo výške 7 000 eur.
Dôvodom takejto politiky Úradu na ochranu osobných údajov SR je nedostatok personálnych zdrojov. Na poddimenzovanosť úradu upozorňuje advokátska kancelária Dagital Legal vo svojich pravidelných Správach o ochrane osobných údajov už 3 roky.
„Veľké množstvo konaní a nedostatok zamestnancov spôsobuje, že sa úrad snaží prebiehajúce konania ukončovať rýchlo, s nízkou pokutou. Nízka pokuta totiž motivuje účastníkov nepodať rozklad a nezačať druhostupňové správne konanie,“ približuje spoluautor správ Jakub Berthoty.
ÚOOÚ v máji avizoval personálny audit, ktorého cieľom má byť posilnenie jeho personálneho zázemia. Cieľom je zabezpečiť účinnejšiu ochranu základných práv fyzických osôb pri spracúvaní osobných údajov na Slovensku.
J. Berthoty v tejto súvislosti upozorňuje, že nízke pokuty nenapĺňajú svoj celospoločenský a odstrašujúci význam, ktorý majú mať podľa článku 83 smernice GDPR.
„Úrad nepotrebuje vydávať desiatky rozhodnutí a bezvýznamných pokút ročne. Potrebuje sa strategicky zamerať na veľkých hráčov a služby, ktoré najviac porušujú pravidlá ochrany osobných údajov, s dopadom na širokú verejnosť. Tak, ako máme možnosť vidieť v Českej republike v prípade Avastu,“ uzatvára odborník na ochranu osobných údajov.
Juraj Vedej, Chapter 4 Slovakia
