Odpověď
Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR) poskytuje úřadům pro ochranu osobních údajů různé možnosti pro případ rozporu s pravidly pro ochranu osobních údajů:
- pravděpodobné porušení – může být vydáno varování,
- porušení: mezi možnosti patří napomenutí, dočasný nebo trvalý zákaz zpracování a pokuta až 20 milionů EUR nebo 4 % z celkového ročního obratu celosvětově.
Stojí za zmínku, že v případě porušení může úřad pro ochranu osobních údajů udělit finanční pokutu místo nebo kromě napomenutí a/nebo zákazu zpracování.
Úřad musí zajistit, aby pokuty udělené v každém jednotlivém případě byly účinné, přiměřené a odrazující. Bude brát v úvahu řadu faktorů, například povahu, závažnost a dobu trvání porušení, zda k porušení došlo úmyslně nebo z nedbalosti, kroky, které byly učiněny s cílem zmírnit škodu způsobenou fyzickým osobám, míra spolupráce organizace atd.
Příklad
Společnost prodává věci do domácnosti. Prostřednictvím jejího webu mohou zákazníci zakoupit kuchyňské spotřebiče, stoly, židle a další domácí zboží tak, že zadají své bankovní údaje. Web se stal obětí kybernetického útoku, který vedl k tomu, že se osobní údaje dostaly do rukou útočníka. V tomto případě se zdá, že příčinou ztráty osobních údajů byla nedostatečná technická opatření ze strany společnosti.
V tomto případě bude dozorový úřad posuzovat různé faktory, než rozhodne o nápravném nástroji. Například tyto faktory: jak závažný byl nedostatek v IT systému? Jak dlouho byla IT infrastruktura vystavena takovému riziku? Byly v minulosti provedeny testy, aby bylo možné takovému útoku předejít? Kolika zákazníkům byly odcizeny/prozrazeny osobní údaje? O jaký typ osobních údajů se jednalo – patřily sem citlivé osobní údaje? Všechny tyto ohledy a další hlediska bude dozorový úřad brát v potaz.
Odkazy
Example
A company sells online household material. Through its website, consumers can buy kitchen appliances, tables, chairs and other domestic goods by entering their bank details. The website suffered a cyber-attack leading to personal details being rendered available to the attacker. In this case, the lack of appropriate technical measures by the company seems to have been the cause of the data loss.
In this instance, various factors will be considered by the supervisory authority before deciding what corrective tool to use. Factors such as: how serious was the deficiency in the IT system? How long had the IT infrastructure been exposed to such a risk? Were tests carried out in the past to prevent such an attack? How many customers had their data stolen/disclosed? What type of personal data was affected – did it include sensitive data? All these and other considerations will be taken into account by the supervisory authority.