Aktualitu připravili: Mgr. Michal Nulíček, LL.M., CIPP/E, Mgr. Bohuslav Lichnovský, LL.M., CIPP/E, Mgr. Filip Beneš
Maximální výše pokut ukládaných za porušení GDPR se v zemích EU významně liší. GDPR totiž poskytuje dozorovým úřadům velmi široký prostor, v jehož rámci mohou pokuty ukládat. Řešením nejednotného přístupu v rámci EU může být německými dozorovými úřady prosazovaný model pokutování, tzv. DSK model. Ten patrně povede k ukládání sankcí při horní hranici sazby uvedené v GDPR.
DSK model již byl v některých případech v Německu použit, přičemž došlo k jeho představení i na unijní úrovni v rámci Evropského sboru pro ochranu osobních údajů (EDPB). V budoucnu by tak ze strany EDPB mohlo dojít k zavedení harmonizované metodiky pro ukládání pokut napříč členskými státy, která by mohla vycházet právě z tohoto modelu.
Určení výše pokuty je velice komplexní, o čemž svědčí i fakt, že výpočet a odůvodnění pokuty v nedávném německém rozhodnutí zabírá 24 stran textu. Velmi zjednodušeně pokuta vychází z celkového globálního ročního obratu společnosti, z něhož se určí tzv. „denní sazba“. Model počítá s rozdělením prohřešků na čtyři kategorie – „menší“, „průměrné“, „závažné“ a „velmi závažné“. Každá kategorie má vlastní koeficienty určující rozmezí pokuty, kterými se denní sazba násobí. Při zohlednění trvání incidentu, dopadů na subjekty údajů nebo třeba účelu nezákonného zpracování může dojít k uložení pokuty nad rámec určeného rozmezí. Takto určenou výši pokuty mohou dozorové úřadu korigovat vzhledem ke konkrétním okolnostem případu.
Zásadní změnou je pak přístup ke koncernovým uskupením, kde model předpokládá výpočet pokuty z obratu celého koncernu, nikoliv pouze dílčích dceřiných společnosti. Aplikace tohoto přístupu by pro koncernové uskupení znamenala zásadní zvýšení rizik spojených s případným porušením GDPR.