Za porušení některých povinností stanovených
nařízením (EU) 2016/679 (obecné nařízení o ochraně osobních údajů) je povinný subjekt možno potrestat i velmi citelnou pokutou. Porušení jsou projednávána Úřadem podle zákona
č. 250/2016 Sb., o odpovědnosti za přestupky a řízení o nich, zákona
č. 110/2019 Sb., o zpracování osobních údajů, a dále podle zákona
č. 500/2004 Sb., správní řád.
1. Povinnosti podle nařízení (EU) 2016/679
Povinnosti stanovené v nařízení (EU) 2016/679 dopadají především na správce osobních údajů, obdobně pak také na zpracovatele.
Správce a zpracovatel jsou v první řadě jako subjekty provádějící zpracování osobních údajů povinni postupovat v souladu se základními zásadami upravenými v čl. 5 nařízení (EU) 2016/679. Jejich porušení je sankcionováno vyšší sazbou (viz níže), což vypovídá o jejich významu v kontextu povinností při zpracování osobních údajů jako celku. Jsou jimi:
- zásada zákonnosti (souhlas nebo jiný právní důvod pro zpracování), korektnosti a transparentnosti,
- zásada účelového omezení zpracování,
- zásada minimalizace údajů,
- zásada přesnosti,
- zásada omezení uložení,
- zásada integrity a důvěrnosti a
- zásada odpovědnosti, tedy odpovědnosti za prokázání souladu zpracování se všemi pravidly stanovenými v nařízení.
2. Výše a splatnost sankce
Pravidla pro stanovení výše sankce za porušení nařízení upravuje podrobně čl. 83 nařízení (EU) 2016/679. Úřad je povinen při ukládání pokuty přihlédnout především k povaze, závažnosti a délce trvání porušení, krokům podniknutým ke zmírnění škod, k tomu, zda k porušení došlo úmyslně či z nedbalosti a dalším v nařízení vyjmenovaným kritériím.
Sankce jsou ukládány tak, aby byly účinné, přiměřené a odrazující, nikoliv však likvidační. Současně musí být v obdobných případech srovnatelné a nediskriminující.
Za porušení povinností správce a zpracovatele podle čl. 8, 11, 25 až 39, 42 a 43 a za porušení povinností subjektu pro vydávání osvědčení podle čl. 41 odst. 4 a čl. 42 a 43 nařízení (EU) 2016/679 může Úřad uložit pokutu až do výše 10 000 000 eur nebo až do výše 2 % celkového celosvětového ročního obratu za předchozí finanční rok.
Za porušení základních zásad pro zpracování, včetně podmínek týkajících se souhlasu [čl. 5, 6, 7 a 9 nařízení (EU) 2016/679], dále za porušení práv subjektů údajů [čl. 12 až 22 nařízení (EU) 2016/679], za porušení při předání osobních údajů do třetích zemí nebo mezinárodní organizaci podle čl. 44 až 49 nařízení (EU) 2016/679, může Úřad uložit pokutu až do výše 20 000 000 eur nebo až do výše 4 % celkového celosvětového ročního obratu za předchozí finanční rok. Stejnou sankci může Úřad uložit za nesplnění příkazu nebo omezení uloženého již dříve Úřadem.
Uvedená porušení nařízení (EU) 2016/679 jsou prostřednictvím § 62 odst. 1 až 3 zákona č. 110/2019 Sb. označena za přestupky.
Pokud spáchá přestupek podle § 62 zákona č. 110/2019 Sb. orgán veřejné moci nebo veřejný subjekt, Úřad podle § 62 odst. 5 tohoto zákona od uložení správního trestu upustí.
Uložené pokuty nejsou příjmem Úřadu (ačkoli ten je pověřen jejich vybíráním), ale příjmem státního rozpočtu. V případě, že není pravomocně uložená pokuta uhrazena dobrovolně, předává Úřad pokutu k vymáhání celnímu úřadu.
