Vynucování povinností Obecného nařízení o ochraně osobních údajů

Dosah GDPR je však mnohem širší než je území EU: jakákoli organizace kdekoli na světě poskytující služby občanům EU spočívající ve zpracování jejich osobních informací se bude muset pravidlům tohoto nařízení podřídit.

Nařízení účinné od května 2018 a ideově vycházející jak z teď už obsoletní směrnice 95/46/ES, tak i z amerického Health Insurance Portability and Accountability Act požaduje po všech správcích osobních údajů (data controllers) a zpracovatelů osobních údajů (data processors) implementaci vhodných technických a organizačních opatření k zabezpečení důvěrnosti, integrity a dostupnosti zpracovatelských systémů a služeb pod hrozbou sankcí do výše 20 miliónů EUR anebo 4 % ročního obratu, v závislosti na tom, která hodnota je vyšší.

GDPR odkazuje na velké množství entit s různými stupni pravomocí ve vztahu k vynucování povinností. Pochopení, jak tyto odlišné entity mohou ovlivnit, jak ta která organizace implementuje povinnosti stanovené nařízením, je kritické pro všechny organizace, které chtějí zůstat na správné straně práva.

GDPR umožňuje každému členskému státu zřízení jediného dozorového úřadu zodpovědného za zabezpečování koherence regulatorních aktivit. Členským státům se nabízí určitá vůle ve způsobu implementace nařízení. Každý stát má možnost ovlivnit, jakým způsobem bude nařízení aplikované, anebo kontext, v jakém se bude nařízení uplatňovat.

Celoevropský dozorový orgán s názvem Evropský sbor pro ochranu osobních údajů (European Data Protection Board) je zřízený článkem 68 nařízení jako centrální orgán složený ze zástupců dozorových orgánů z každého členského státu. Jeho úkolem je zabezpečit, aby nařízení bylo aplikováno konzistentně v celé EU, sloužit jako poradní orgán Evropské komisi v otázkách souvisejících s aplikací a vymáháním GDPR, a zároveň koordinovat vydávání tzv. „kodexů chování“ a doporučení. Nejvyšší autoritou je však Evropská komise samotná. Komise vydává exekutivní rozhodnutí v různých oblastech fungování EU.

Mechanismus jediného kontaktního místa (one-stop-shop mechanism)

Tzv. mechanismus jediného kontaktního místa aneb one-stop-shop mechanism je zárukou toho, že organizace, u které probíhá vyšetřování, bude vyšetřována pouze jednou. Limitováním vyšetřování na jediné dozorové místo nařízení sleduje následující cíle:

1. organizace nemusejí podléhat několikanásobným vyšetřováním v té samé věci,
2. pokud organizace působí ve vícero jurisdikcích, eliminují se tím potenciální problémy, které by vznikly, kdyby byla vyšetřována v každém členském státu samostatně.

Tento mechanizmus se neuplatní v případě zpracovávaní dat veřejnoprávními institucemi anebo soukromými organizacemi ve veřejném zájmu. V takových případech bude vyšetřování vedeno vždy tím dozorovým orgánem členského státu, ve kterém tyto entity sídlí.

Úkoly dozorových orgánů

Dozorové orgány mají širokou škálu jim svěřených úkolů, které jsou podporované různými pravomocemi. Kromě monitorování a efektivního vymáhání pravidel GDPR od dozorových orgánů vyžaduje, aby přebraly roli „veřejného učitele.“ Konkrétně, GDPR jim ukládá povinnost podporovat obecné povědomí a pochopení rizik, pravidel, ochrany a práv ve vztahu ke zpracovávání osobních údajů jednotlivců. Povinností dozorových orgánů je, mimo výše uvedeného, také poskytovat konzultace povinným organizacím během procesu vytváření závazných vnitropodnikových pravidel, smluvních doložek, kodexů chování, asistovat jim u výběru certifikovaných orgánů a podobně.

Pravomoci dozorových orgánů

Pravomoci dozorových orgánů se rozdělují do třech kategorií: investigativní, korektivní, autorizační a poradní.

1. investigativní pravomoci umožňují dozorovému orgánu sesbírat vhodné informace a důkazy, k čemuž může využít rozsáhlé právo k přístupu k osobním informacím a k získání přístupu do prostor správce či zpracovatele dat,
2. korektivní pravomoc umožňuje dozorovému orgánu sjednat nápravu v případě porušení povinností. Korektivní pravomoc zahrnuje vydávání upozornění na možné porušení pravidel ochrany dat směrem do budoucna, jakož i ukládání pokut a zákazů k další manipulaci s daty,
3. autorizační a poradní pravomoc umožňuje dozorovému orgánu rozvinout a podpořit rozšiřování standardů, kodexů chování, certifikačních mechanismů, a podobně.

Evropský sbor pro ochranu osobních údajů (European Data Protection Board)

Evropský sbor pro ochranu osobních údajů je zodpovědný za dohlížení nad tím, aby se nařízení aplikovalo konzistentně na území celé EU. Sbor se sestává z jednoho člena z každého členského státu EU, jakož i ze zástupce jmenovaného Evropskou komisí.

Sbor je odpovědný přímo Evropské komisi a jeho rozhodnutí jsou založena na zkušenostech z celé EU. Pravidelné sledování rozhodnutí sboru může dopomoci předvídat budoucí požadavky a změny. Sbor taktéž vydává pravidelný roční report, který je dobrým zdrojem hodnotných informací z oblasti regulace ochrany dat.

Práva subjektů údajů na soudní odškodnění

Práva subjektů údajů mají souhrn práv souvisejících specificky se soudní ochranou svých práv. Tím je například:

• právo podat stížnost dozorovému orgánu v případě, že se domnívají, že s jejich daty není zacházeno správně;
• právo požadovat soudní přezkum všech rozhodnutí dozorových orgánů dotýkajících se subjektu údajů;
• právo požadovat odškodnění po správci či zpracovateli dat v případě porušení jejich povinností, poškozená osoba nemusí nutně být subjektem dat;
• právo nechat se zastupovat neziskovou organizací při soudním uplatňovaní svých práv.

Správní pokuty

Dle dikce nařízení všechny pokuty za jeho nedodržování musejí být „efektivní, proporcionální a odrazující“. Pokuty by však měly být využívány jen jako doplňkový nástroj vymáhání GDPR. Pro stanovení správné výše pokuty je nutno zohlednit následující faktory:

• počet dotčených subjektů dat a úroveň poškození, kterou utrpěly;
• povahu a délku trvání porušování;       
• jestli bylo porušení následkem zanedbání zákonných povinností;
• zhodnocení všech předchozích porušení způsobených správcem či zpracovatelem;
• způsob, jakým stíhaná entita spolupracuje s dozorovým orgánem;
• jestli má kontrolovaná entita vypracovaný kodex chování nebo certifikační mechanismus;
• jestli kontrolovaná entita už byla někdy v minulosti stíhána pro stejné porušení;
• kategorie dat, kterých se porušení týká;
• způsob, jakým se dozorový orgán o porušení dověděl;
• případně jiné přitěžující či polehčující okolnosti.

Pokud organizace sama odhalí výrazné porušení GDPR, snížit pokutu na minimum může tím, že:

• učiní okamžité opatření k co největšímu zmírnění škod;
• co nejdříve notifikuje porušení dozorovému orgánu;
• začne plně spolupracovat s dozorovým orgánem na minimalizaci škod pro datové subjekty a certifikační mechanismy.

GDPR rozeznává dvě úrovně správních pokut uplatnitelných proti organizaci porušující nařízení. A sice pokuty nižší úrovně do maximální výše 10 mil. EUR anebo 2 ­% celosvětového obratu za předchozí fiskální rok, dle toho, která částka je vyšší, a vyšší úroveň spočívající ve 4 % procentech celosvětového obratu organizace za předchozí fiskální rok nebo v uložení pokuty do výše 20 mil. EUR.

Samotná výše pokuty je založena na specifických článcích GDPR, jejichž porušení se zpracovatel nebo správce dopustil. Porušení povinností správce či zpracovatele údajů bude podléhat pokutám nižší úrovně, zatímco porušení práv a svobod datových subjektů, spolu s porušením povinnosti vyžádat si souhlas se zpracováním dat anebo pravidel jejich mezinárodního přenosu, bude podléhat vyšší úrovni pokut.