GDPR: Zmatky v pokutách

GDPR pokuty

Výše pokut, které mají být udělovány dle GDPR, zpočátku vyvolávala (a stále vyvolává) mnohé zmatky a otázky, neboť výklady příslušných jednotlivých národních regulátorů nebyly příliš unifikované a současná situace stále není zcela vyjasněná. Díky tomu, že již nicméně od 25. května 2018 nějaký čas uplynul, tak je možné pozorovat určité trendy a vyvozovat první závěry.

Co se týče mediálně sledovaných případů ve Francii a Velké Británii, určitě zaujme pokuta 50 milionů EUR proti Google LLC, 218 milionů EUR proti British Airways, či přibližně 117 milionů EUR v řízení proti řetězci hotelů Marriott. Důvodem bylo tvrzené porušení infomačních povinností, zpracovávání bez právního titulu či nedostatečná technická a organizační opatření k předejití únikům osobních údajů.

Ani Rakousko není pozadu s pokutou ve výši 18 milionů EUR udělenou Rakouské poště za tvrzené vytváření datových profilů 2.2 milionů Rakušanů, či Itálie s pokutou 27.8 milionu EUR telekomunikačnímu operátorovi TIM za tvrzené reklamní telefonáty bez souhlasu uživatelů, nesprávné informace o zpracovávání osobních údajů a údajné používání jediného souhlasu pro několik různých účelů. Osobní údaje byly zřejmě rovněž zpracovávány déle než bylo nutné.

V Německu byly pokuty o něco nižší, nejvýraznější bylo 14.5 milionů EUR vůči Deutsche Wohnen za uchovávání osobních údajů o nájemnících, které nebylo možné vymazat. Pokutu rovněž dostala od německého regulátora společnost 1&1 Telecom GmbH, za poskytování rozsáhlých osobních údajů volajícímu, který sám uvedl pouze jméno a datum narození – v tomto spatřoval regulátor potenciální riziko pro všechny zákazníky.

Obecně lze při pohledu na výše zmíněné případy, ale i na mnoho těch méně výrazných, říci, že regulátoři začínají zvyšovat ukládané pokuty a rovněž vypracovávají metodiky pro transparentnější mechanismy ukládání těchto pokut. Koncepty těchto metodik byly již zveřejněny v Německu a Rakousku. Vychází se přitom z článku 83 GDPR, který říká:

„Každý dozorový úřad zajistí, aby ukládání správních pokut v souladu s tímto článkem ohledně porušení tohoto nařízení podle odstavců 4, 5 a 6 bylo v každém jednotlivém případě účinné, přiměřené a odrazující.„

GDPR dále obsahuje katalog okolností, které by měly být v procesu ukládání pokuty zohledněny, např. povaha, závažnost a délka trvání porušení, zda došlo k porušení úmyslně či z nedbalosti či zda následně došlo ke spolupráci s dozorovým úřadem v oblasti odstraňování škod.

To vše zohledňuje nová německá metodika, která postupuje v následujících pěti krocích:

1) rozdělení společnosti dle velikosti

a. mikro společnost – s celosvětovým obratem za předcházející finanční rok pod 2 miliony EUR;
b. malá společnost – s celosvětovým obratem za předcházející finanční rok mezi 2-10 miliony EUR;
c. střední společnost – s celosvětovým obratem za předcházející finanční rok mezi 10-50 miliony EUR; a
d. velká společnost – s celosvětovým obratem za předcházející finanční rok přesahujícím 50 milionů EUR.

2) následně se posuzuje průměrný roční obrat (relevantní pouze pro společnosti, které mají nižší průměrný roční obrat pod 500 milionů EUR), a to za použití kalkulace odkazem na příslušnou kategorii velikosti;

3) třetím krokem je výpočet tzv. základní hodnoty, kde se dělí průměrný roční obrat číslem 3601, aby se došlo k dennímu obratu;

4) základní hodnota denního obratu se pak dále násobí faktorem mezi 1-7.2 (pro provinění dle článku 83(4) GDPR2), nebo faktorem mezi 1-14.4 (pro provinění dle článku 83 (5, (6) GDPR), konkrétní výše pak závisí dle závaznosti porušení (nepatrné/střední/vážné/velmi vážné); a

5) v posledním kroku se aplikuje procentní úprava, která zakomponuje další faktory:

a. Stupeň zavinění (-25% až + 50%);
b. Stupeň odpovědnosti (-25% až +50%);
c. Relevantní předchozí prohřešky (0% až +300%);
d. Spolupráce s regulátorem (-25% až 25%);
e. Nahlášení sebe sama (- 25% až +10%);
f. Dodržování opatření nařízených regulátorem (0% až 50%);

Je zjevné, že na podobnou metodiku se dlouho čekalo a konečně jsou lépe vyjasněny doposud poměrně volné mantinely v ukládání pokut. Bude zajímavé sledovat, zda budou ostatní regulátoři následovat německý (či v mnohem podobný nizozemský) model či zda dojde k zavedení něčeho, co bude schopné přesněji reflektovat individuální rozměr každého případu.

Autory článku jsou: Petr Šabatka, partner v DLA Piper, a Jan Metelka, advokát v DLA Piper.