„Případné sankce za porušení povinností obecného nařízení budou jako dosud přiměřené a v žádném případě nemohou být likvidační,“ uvedl ÚOOÚ. Pokuty mají být podle něj v každém jednotlivém případě účinné, přiměřené a odrazující.
Úřad připomenul, že nyní maximální pokuta činí deset milionů korun a jím dosud uložená nejvyšší pokuta nedosáhla ani poloviny této sazby. Například společnosti T-Mobile úřad udělil pokutu 3,6 miliónu korun za únik osobních údajů jejích zákazníků. Obcím za provinění naopak uděloval pokutu v řádech desetitisíců korun.
Maximální částka se podle unijního nařízení, které nabude účinnosti 25. května, může vyšplhat až na 20 miliónů eur (zhruba 500 miliónů korun). Podle ÚOOÚ by byla nejspíš udělena za „flagrantní porušení“ nařízením stanovených povinností zpravidla velkými nadnárodními společnosti.
Možnost souhlasit se zpracováním svých osobních údajů
„Strašit takovými sankcemi menší firmu nebo školu je nesmysl, stejně jako vydávání horentních částek, podstatně převyšujících výši pokut Úřadem pro ochranu osobních údajů ukládaných, za externí audity soulad s nařízením nezaručujícími,“ uvádí úřad.
GDPR míří podle ÚOOÚ primárně na nadnárodní správce osobních údajů, jako příklad uvedl zneužití dat sociální sítě Facebook. Společnosti typu Amazon, Google, Facebook nebo Twitter budou podle úřadu i plátci chystané ‚digitální‘ daně, která činí tři procenta z obratu, neboť mají roční celosvětové příjmy nad 20 miliard korun.
Úřad také uvedl, že podle nových pravidel bude mít každý možnost souhlasit se zpracováním svých osobních údajů. Neplatný by byl souhlas podmíněný získáním služby nebo výrobku. Například provozovatelé e-shopů, kteří by jej potřebovali a získali jej dříve rámci obchodních podmínek, by o něj museli požádat znovu.
Pro běžný provoz e-shopů není nutné mít pověřence pro ochranu osobních údajů. Nebudou ho muset mít ani krajské kulturní a příspěvkové organizace, tedy muzea či divadla, neziskové organizace provozující domov pro seniory nebo společenství vlastníků bytových jednotek.
