Kalkulačka pokuty GDPR podľa § 104 zákona č. 18/2018 Z.z. o ochrane osobných údajov. Vypočítajte maximálnu výšku pokuty podľa závažnosti porušenia a celosvetového obratu podnikateľského subjektu.
Právny základ
- § 104 Zákon o ochrane osobných údajov (18/2018 Z.z.) ↗
Pokuty za porušenie GDPR — tri kategórie podľa závažnosti
Účinné od: 25. 5. 2018
Stručne k téme: Pokuta GDPR na Slovensku (SK)
Nariadenie GDPR (General Data Protection Regulation) a jeho slovenská implementácia zákonom č. 18/2018 Z.z. stanovujú jedny z najprísnejších pokút na svete za porušenie ochrany osobných údajov. Úrad na ochranu osobných údajov Slovenskej republiky má právomoc uložiť pokutu až do výšky 20 miliónov eur alebo 4 % z celosvetového ročného obratu podnikateľského subjektu, podľa toho, čo je vyššie.
Systém pokút GDPR je navrhnutý tak, aby bol účinný pre spoločnosti všetkých veľkostí. Pri veľkých nadnárodných korporáciách sa percentuálna hranica (4 % obratu) môže ukázať ako oveľa prísnejšia ako fixná suma 20 miliónov eur. Pre malé a stredné podniky zasa môže byť limitujúca práve fixná suma, pretože 4 % ich obratu môže byť nižšie.
Pri ukladaní pokuty úrad zohľadňuje nielen typ a závažnosť porušenia, ale aj celkový kontext vrátane toho, či došlo k porušeniu úmyselne alebo z nedbanlivosti, aké množstvo osôb bolo dotknutých, aké boli následky, a či subjekt s úradom aktívne spolupracoval. Tieto faktory môžu viesť k výraznému zníženiu pokuty oproti maximálnej hranici.
Naša kalkulačka slúži na ilustráciu maximálnych pokút podľa § 104. Skutočná výška pokuty závisí od individuálneho posúdenia úradom a môže byť výrazne nižšia ako maximálna hranica. Prevencia a súlad s GDPR sú vždy ekonomicky výhodnejšie ako riskovanie pokuty.
Časté otázky k pokutám GDPR
Aké sú maximálne pokuty GDPR na Slovensku?
Podľa § 104 zákona č. 18/2018 Z.z. (implementácia GDPR) existujú tri kategórie pokút. Pri ľahších porušeniach (§ 104 ods. 1) je maximálna pokuta 10 000 000 € alebo 2 % celkového ročného svetového obratu podnikateľského subjektu. Pri závažných porušeniach (§ 104 ods. 2) a nedodržaní opatrení úradu (§ 104 ods. 3) je maximálna pokuta 20 000 000 € alebo 4 % celkového ročného svetového obratu.
Ako sa vypočítava pokuta GDPR pre veľké spoločnosti?
Pre podnikateľské subjekty (právnické osoby) sa pokuta GDPR vypočítava ako maximum z fixnej sumy (10 M € alebo 20 M €) a určitého percenta z celosvetového obratu (2 % alebo 4 %). To znamená, že veľké nadnárodné spoločnosti môžu dostať pokutu presahujúcu fixné maximum, pretože 4 % z obratu môže byť oveľa vyššie ako 20 M €.
Kto ukladá pokuty GDPR na Slovensku?
Pokutu GDPR na Slovensku ukladá Úrad na ochranu osobných údajov (UOOU). Úrad má právomoc viesť správne konanie o pokute, prerušiť alebo zakázať spracúvanie osobných údajov, a uložiť pokutu až do maximálnej výšky stanovenej zákonom. Rozhodnutie úradu možno napadnúť súdnou cestou.
Aký je rozdiel medzi ľahším a závažným porušením GDPR?
Zákon č. 18/2018 Z.z. rozlišuje tri kategórie. Ľahšie porušenia (ods. 1) zahŕňajú napríklad porušenie informačnej povinnosti, neposkytnutie súčinnosti úradu alebo nesplnenie oznamovacej povinnosti. Závažné porušenia (ods. 2) zahŕňajú závažné porušenie základných princípov spracúvania, porušenie práv dotknutej osoby alebo neoprávnený prenos osobných údajov.
Môžu pokutu GDPR dostať aj fyzické osoby?
Áno. Zákon č. 18/2018 Z.z. sa vzťahuje na všetkých prevádzkovateľov a sprostredkovateľov bez ohľadu na to, či sú podnikateľmi. Pre fyzické osoby (nepodnikateľov) však platí len fixná suma pokuty (10 M € alebo 20 M €) — neaplikuje sa percento z obratu.
Ako sa určuje skutočná výška pokuty?
Pri určovaní konečnej výšky pokuty sa prihliada na všetky relevantné okolnosti: závažnosť porušenia, počet dotknutých osôb, úroveň zodpovednosti, predchádzajúcu históriu porušení, finančnú situáciu subjektu a mieru spolupráce s úradom. Úrad môže pokutu znížiť alebo upustiť od jej uloženia pri menej závažných porušeniach.
Platí GDPR aj pre malé firmy?
Áno. GDPR sa vzťahuje na všetky organizácie, ktoré spracúvajú osobné údaje obyvateľov EÚ, bez ohľadu na ich veľkosť. Malé firmy majú síce zjednodušené povinnosti (napríklad niektoré výnimky z povinností), ale stále musia dodržiavať základné princípy GDPR. Pokuty sa vzťahujú na všetky subjekty rovnako.