• Naše služby na mieru

      Vyberte si oblasť, s ktorou vám vieme pomôcť – rýchlo, spoľahlivo a odborne.

      Ochrana osobných údajov

      Kybernetická bezpečnosť

      Bezpečnosť práce

      Online poradca

      Šikana a kyberšikana

      Ochrana oznamovateľa

      Anonymizér dokumentov

      Segregácia

      Prehľad služieb

    • Riešenia prispôsobené pre váš segment

      Vyberte typ organizácie alebo podnikania a pozrite si riešenia šité na mieru.

      Obec

      Mesto

      Škola

      Školské zariadenie

      Zdravotníctvo

      Štátna správa

      E-shop

      Malý podnik

      Veľký podnik

      Iný subjekt

  • Referenciák
  • EN
Konzultácia zdarma

FAQ: Aké sankcie hrozia za únik osobných údajov?

Únik osobných údajov môže mať vážne právne a finančné dôsledky. V dnešnej digitálnej dobe, keď sa osobné údaje spracúvajú a prenášajú rôznymi spôsobmi, je pre organizácie nevyhnutné pochopiť, aké sankcie im hrozia pri ich nedostatočnej ochrane. Právna úprava ochrany osobných údajov sa na Slovensku riadi primárne nariadením GDPR a zákonom č. 18/2018 Z.z. o ochrane osobných údajov. Obe právne normy presne definujú, ako sa má s údajmi zaobchádzať a čo sa má stať v prípade ich úniku.

Sankcie za únik osobných údajov môžu byť veľmi prísne – od pokút v tisícoch až po milióny eur, a to nielen pre veľké korporácie, ale aj pre menších podnikateľov či samosprávy. Okrem finančných sankcií môže dôjsť aj k poškodeniu reputácie, dôvery zákazníkov a následnej strate obchodných príležitostí. Dôležité je vedieť, čo všetko predstavuje porušenie, ako sa únik definuje, ako sa nahlasuje a ako sa mu dá predísť. Tento článok prehľadne odpovie na časté otázky týkajúce sa tejto problematiky, a zároveň vám ponúkne užitočné rady na zmiernenie rizika spojeného s ochranou osobných údajov.

Čo znamená únik osobných údajov?

Únik osobných údajov je akákoľvek situácia, keď dôjde k neoprávnenému prístupu, sprístupneniu, poškodeniu alebo strate osobných údajov, ktoré spracúva určitý subjekt. Môže ísť napríklad o:

  • zverejnenie osobných údajov na internete bez súhlasu dotknutých osôb,
  • stratu alebo krádež fyzických dokumentov, obsahujúcich osobné údaje,
  • kybernetický útok na databázy obsahujúce citlivé údaje,
  • zaslanie e-mailu obsahujúceho osobné údaje na nesprávnu adresu,
  • neoprávnené spracovanie údajov zamestnancami bez právneho základu.

Dôležitú úlohu pri hodnotení, či išlo o únik, zohráva miera dopadu na práva a slobody dotknutých osôb.

Ako zákon definuje osobné údaje?

Podľa GDPR a slovenského zákona o ochrane osobných údajov ide o akékoľvek informácie, ktoré umožňujú identifikáciu fyzickej osoby, napríklad:

  • meno a priezvisko,
  • adresa trvalého pobytu,
  • e-mailová adresa,
  • IP adresa,
  • rodné číslo,
  • fotografia,
  • údaje o zdravotnom stave či politických názoroch.

Zvláštnou kategóriou sú citlivé údaje (napr. údaje o zdravotnom stave, genetické či biometrické údaje), pri ktorých sú požiadavky na spracovanie ešte prísnejšie. Únik takýchto údajov predstavuje závažnejší zásah do súkromia osoby a prináša so sebou aj prísnejšie sankcie.

Kedy a komu musí byť únik oznámený?

V prípade úniku osobných údajov existuje zodpovednosť za nahlásenie incidentu príslušnému orgánu dozoru, ktorým je Úrad na ochranu osobných údajov SR, a to:

  • do 72 hodín od zistenia porušenia,
  • ak únik môže viesť k riziku pre práva a slobody fyzických osôb.

Ak je pravdepodobné, že únik predstavuje vysoké riziko pre jednotlivca (napr. možnosť zneužitia identity), musí byť o tom informovaný aj samotný dotknutý subjekt (napr. zákazník, zamestnanec).

Nahlásenie musí obsahovať:

  • povahu porušenia ochrany údajov,
  • kategórie a približný počet dotknutých osôb a údajov,
  • pravdepodobné následky úniku,
  • opatrenia prijaté na nápravu alebo zmiernenie škôd.

Aké sankcie za únik osobných údajov môže organizácia dostať?

Sankcie podľa nariadenia GDPR a slovenského zákona o ochrane osobných údajov sa delia na:

1. Finančné pokuty

Úrad môže ukladať pokuty až do výšky 20 miliónov eur, alebo 4 % z celosvetového ročného obratu firmy – podľa toho, ktorá suma je vyššia. Výška pokuty závisí od:

  • závažnosti porušenia,
  • rozsahu a počtu dotknutých údajov/osôb,
  • povahy a dĺžky trvania porušenia,
  • miery spolupráce s úradom,
  • predchádzajúcich porušení.

2. Nepeňažné opatrenia

Okrem pokút môže Úrad nariadiť ďalšie opatrenia:

  • zastavenie spracovania údajov,
  • vymazanie osobných údajov,
  • obmedzenie prístupu ku konkrétnym systémom,
  • povinnosť zaviesť nové bezpečnostné mechanizmy.

3. Trestnoprávna zodpovednosť

V extrémnych prípadoch môže dôjsť aj k podozreniu z trestného činu – napríklad nedbanlivého alebo úmyselného obnaženia údajov, čo môže viesť k trestnému stíhaniu najmä fyzických osôb (napr. štatutárny zástupca, zamestnanci).

Kto všetko môže byť sankcionovaný?

Podľa zákona zodpovednosť nesie každý, kto spracúva osobné údaje – teda:

  • Prevádzkovatelia – spoločnosti, úrady, školy, nemocnice, atď.,
  • Sprostredkovatelia – externé firmy alebo subjekty zabezpečujúce spracovanie údajov (napr. IT firmy, účtovníci),
  • Fyzické osoby – napríklad ak zamestnanec úmyselne sprístupní údaje neoprávnenej osobe.

Každý z týchto subjektov má zákonné povinnosti a ich porušenie môže viesť k zodpovednosti osobitne alebo spoločne.

Reálne prípady a výška uložených pokút

Z praxe Úradu na ochranu osobných údajov v SR aj zo zahraničia vieme, že sankcie nie sú len teoretické. Medzi typické prípady patria:

  • pokuty za zverejnenie citlivých dokumentov s osobnými údajmi na webe,
  • pokuty za slabé IT zabezpečenie a kybernetický útok,
  • pokuty za neoprávnené monitorovanie zamestnancov,
  • zverejňovanie mien pacientov v zdravotníckych zariadeniach.

Výška pokút na Slovensku sa najčastejšie pohybuje v rozmedzí 1 000 – 20 000 EUR, ale v závažnejších prípadoch môže ísť aj o státisíce eur (napr. pre veľké banky alebo obchodné reťazce).

Prevencia: Ako predísť úniku osobných údajov?

Prevencia je najefektívnejším spôsobom, ako sa vyhnúť sankciám. Zahŕňa:

1. Vnútorné smernice a školenia

  • vypracovanie bezpečnostnej politiky spracovania údajov,
  • pravidelné školenie zamestnancov o bezpečnosti a GDPR,
  • jasne definovanie rolí a zodpovedností v oblasti spracovania údajov.

2. Technické opatrenia

  • šifrovanie dátových nosičov,
  • firewall, antivírus, kontrola prístupov,
  • logovanie prístupov k údajom a monitorovanie systémov.

3. Pravidelné audity

  • interný alebo externý audit zameraný na kontrolu bezpečnostných opatrení,
  • revízia používaných IT systémov a ich súlad s GDPR.

Čo robiť po zistení úniku údajov?

V okamihu zistenia porušenia platí princíp rýchlej reakcie:

  • okamžite izolujte postihnutý systém alebo databázu,
  • zhromaždite dôkazy o incidente,
  • analyzujte rozsah narušenia a potenciálne riziká,
  • informujte Úrad na ochranu osobných údajov do 72 hodín,
  • ak treba, informujte aj dotknuté osoby.

Uplatnením tzv. plánu reakcie na incident môžete efektívne zmierniť následky a preveriť, či možno danému úniku v budúcnosti predísť.

Záver: Prečo sa oplatí ochranu údajov nebrať na ľahkú váhu?

Ochrana osobných údajov je dnes jednou z najdôležitejších povinností každej organizácie. Nielen preto, že porušenie GDPR môže znamenať vysoké pokuty, ale aj kvôli dôvere klientov, reputácii značky a fungovaniu firmy ako takej.

Investícia do bezpečnosti údajov sa vždy oplatí, či už ide o technické opatrenia, kvalitné školenia alebo efektívne riadenie interných procesov. Únik osobných údajov totiž nezasahuje len do sféry legislatívy – ide o dôsledky, ktoré môžu ohroziť budúcnosť celej firmy.