Odpoveď
Všeobecné nariadenie o ochrane údajov (GDPR) poskytuje úradom na ochranu údajov rozličné možnosti v prípade nedodržiavania pravidiel ochrany údajov:
- pravdepodobné porušenie – môže byť vydané varovanie;
- porušenie – možnosti zahŕňajú napomenutie, dočasný alebo trvalý zákaz spracúvania a pokutu až do 20 miliónov EUR alebo 4 % celkového svetového ročného obratu podniku.
Je dobré poznamenať, že v prípade porušenia môže úrad na ochranu údajov uvaliť peňažnú pokutu namiesto alebo navyše k napomenutiu a/alebo zákazu spracúvania.
Úrad musí zabezpečiť, aby pokuty uvalené v každom jednotlivom prípade boli účinné, primerané a odrádzajúce. Zohľadní niekoľko faktorov, ako sú povaha, závažnosť a trvanie porušenia, úmyselný alebo nedbanlivostný charakter, akékoľvek kroky podniknuté s cieľom zmierniť škodu, ktorú utrpeli jednotlivci, miera spolupráce organizácie atď.
Príklad
Spoločnosť predáva na internete domáce potreby. Na jej webovej lokalite si zákazníci môžu kúpiť kuchynské spotrebiče, stoly, stoličky a ďalšie domáce potreby prostredníctvom zadania bankových údajov. Webová lokalita bola zasiahnutá kybernetickým útokom, ktorý spôsobil, že útočník sa dostal k poskytnutým osobným údajom. V tomto prípade stratu údajov pravdepodobne spôsobil nedostatok primeraných technických opatrení zo strany spoločnosti.
V tejto situácii orgán dohľadu prihliadne na rôzne faktory, a potom rozhodne, aký nápravný nástroj použije. Napríklad tieto faktory: Aký závažný nedostatok mal systém IT? Ako dlho bola infraštruktúra IT vystavená tomuto riziku? Boli v minulosti vykonané testy, aby sa predišlo takémuto útoku? Koľkých zákazníkov sa týka krádež/zverejnenie údajov? Aký druh osobných údajov bol zasiahnutý – išlo aj o citlivé údaje? Orgán dohľadu bude prihliadať na všetky tieto a ďalšie úvahy.
Odkazy
Example
A company sells online household material. Through its website, consumers can buy kitchen appliances, tables, chairs and other domestic goods by entering their bank details. The website suffered a cyber-attack leading to personal details being rendered available to the attacker. In this case, the lack of appropriate technical measures by the company seems to have been the cause of the data loss.
In this instance, various factors will be considered by the supervisory authority before deciding what corrective tool to use. Factors such as: how serious was the deficiency in the IT system? How long had the IT infrastructure been exposed to such a risk? Were tests carried out in the past to prevent such an attack? How many customers had their data stolen/disclosed? What type of personal data was affected – did it include sensitive data? All these and other considerations will be taken into account by the supervisory authority.