Na čí hlavu padne odpovědnost za dodržení GDPR?

Už čtyři měsíce uplynuly od doby, co nařízení GDPR nabylo účinnosti. Podařilo se vám ve firmě úspěšně zavést, nebo jste implementaci zatím ještě úplně nedotáhli do konce? A víte, na čí hlavu vlastně padá veškerá odpovědnost?


Je neuvěřitelné, jak rychle a neúprosně čas letí. Pomalu na nás začínají vyskakovat odpočítávače času, který zbývá do Vánoc. Zároveň to jsou už čtyři měsíce od doby, co nařízení GDPR nabylo účinnosti. Podařilo se vám ve firmě úspěšně zavést, nebo jste implementaci zatím ještě úplně nedotáhli do konce? A víte, na čí hlavu vlastně padá veškerá odpovědnost?

Pravdou je to, že konkrétní odpověď na tuto otázku v samotném textu GDPR nenaleznete. Budete se muset ponořit do českých právních předpisů, ze kterých v závěru zjistíte, že za zavedení GDPR je odpovědný statutární orgán v rámci svých zákonných povinností.

Zpovídat se bude statutární orgán

Pokud ovšem není statutární orgán odborníkem na oblast ochrany a regulace osobních údajů, pak je nutné tuto osobu, která bude mít příslušnou odbornost a znalost, pečlivě vybrat. Jestliže tento krok podceníte, vystavíte se zbytečnému riziku, že společnosti v důsledku nesprávné implementace GDPR vznikne škoda (např. udělení pokuty), nebo může dojít k vymáhání trestní odpovědnosti dané společnosti.

Když jakožto statutární orgán vyberete odborníka z okruhu uznávaných a ceněných specialistů, nemusíte mít přehnané obavy z toho, že byste porušili svou povinnost, pokud jste jednali v dobré víře, informovaně a v obhajitelném zájmu společnosti. V případě, že máte svého GDPR odborníka vybraného, pak pamatujte na to, že neuposlechnutí pokynu nebo doporučení může mít za následek daleko přísnější sankce.

Jak je to s trestní odpovědností?

Trestní zákoník postihuje neoprávněné nakládání s osobními údaji už od roku 2016 - není to tedy u nás žádnou novinkou. Obecně platí, že společnosti mohou být za spáchání trestného činu uloženy různé tresty od zákazu činnosti, peněžitého postihu, uveřejnění rozsudku až po zrušení společnosti.

Kdy se jedná o trestný čin právnické osoby?

Když už by problém skutečně nastal, je dobré vědět, že aby mohla být společnost za trestný čin postižena, musí skutkovou podstatu naplnit buď člen statutárního orgánu, nebo další osoba ve vedoucím postavení. Někdy se můžeme setkat i s tím, že je společnost postižena i za činnost řadového zaměstnance. Většinou jde o případy, kdy je skutková podstata naplněna v rámci jeho pracovních povinností, kdy nadřízené osoby neprovedly dostatečná opatření, aby k problému nedošlo.

V dalším posuzování trestného činu také záleží na závažnosti samotného prohřešku. Jinak se bude nahlížet na situaci, kdy budou osobní údaje jedné osoby neoprávněně zpřístupněny jednomu příjemci, a jinak situace, kdy dojde ke zveřejnění osobních údajů více osob například na internetu.

Rozhodně je lepší věnovat nařízení GDPR a jeho implementaci dostatek pozornosti, protože si tak ušetříte možné pozdější nepříjemnosti. Pokud si s GDPR nevíte rady, obraťte se na náš tým odborníků. V závěru totiž zjistíte, že náklady na správnou implementaci a dodržování jsou to nejmenší s porovnáním výše trestů a pokut.