Pokuty na Slovensku za porušenie GDPR sú oproti európskemu priemeru výrazne nižšie.  Napríklad  v susednom Česku potvrdili rozhodnutie českého dozorného orgánu o udelení pokuty vo výške 351 mil. CZK (cca 13,9 mil. eur) pre českého softvérového giganta Avast Software s.r.o. Ten predal počas roka 2019 pseudonymizované údaje užívateľov antivírusového programu Avast tretej spoločnosti, poskytujúcej údaje na účely marketingu. Užívateľov pritom informoval o anonymizácii a využívaní získaných údajov len na analytické účely.

„V prípade Avastu úrad konštatoval porušenie zásady zákonnosti, spravodlivosti a transparentnosti, absenciu testu zlučiteľnosti, nesplnenie riadnej informačnej povinnosti, nevykonanie testu nevyhnutnosti a problematická bola aj anonymizácia údajov, ktorá nebola v súlade s tvrdeniami firmy. Na výšku pokuty však mal vplyv predovšetkým status značky Avast, ktorej produkty sú vyvíjané na ochranu spotrebiteľa a to aj pred zneužitím osobných údajov,“ približuje odborník na ochranu osobných údajov Jakub Berthoty z advokátskej kancelárie Dagital Legal.

V západnej Európe nie sú vysoké pokuty výnimkou. Francúzsky CNIL vybral v roku 2021 iba 18 pokút, avšak v celkovej výške 214 miliónov euro. Priemerná výška pokút vo Francúzsku tak bola na úrovni 12 miliónov eur. „Malý počet udelených pokút nie je dôsledkom nedostatku sťažností, ale politiky francúzskeho regulátora. CNIL totiž udelil pokutu len v každom tisícom prípade. No ak pokutu udelil, bola obrovská,“ vysvetľuje advokát Berthoty.

Na Slovensku na rekordnú pokutu stále čakáme. Prejavuje sa totiž zaujímavý trend  – rastie počet rozhodnutí a súčasne klesá výška pokút. Vo väčšine krajín EÚ je to skôr naopak.  Priemerná výška pokút v roku 2023 predstavovala 1 390 eur, pričom najvyššia udelená pokuta bola vo výške 7 000 eur. Dôvodom takejto politiky Úradu na ochranu osobných údajov SR je nedostatok personálnych zdrojov. Na poddimenzovanosť úradu upozorňuje advokátska kancelária Dagital Legal vo svojich pravidelných Správach o ochrane osobných údajov už 3 roky. „Veľké množstvo konaní a nedostatok zamestnancov spôsobuje, že sa úrad snaží prebiehajúce konania ukončovať rýchlo, s nízkou pokutou. Nízka pokuta totiž motivuje účastníkov nepodať rozklad a nezačať II. stupňové správne konanie,“ približuje spoluautor správ Jakub Berthoty. Úrad len pred niekoľkými dňami avizoval personálny audit, ktorého cieľom má byť posilnenie personálneho zázemia Úradu tak, aby mohla byť zabezpečená účinná ochrana základných práv fyzických osôb pri spracúvaní osobných údajov na Slovensku.

Berthoty v tejto súvislosti upozorňuje, že nízke pokuty nenapĺňajú svoj celospoločenský a odstrašujúci význam, ktorý majú mať podľa čl. 83 GDPR. „Úrad nepotrebuje vydávať desiatky rozhodnutí a bezvýznamných pokút ročne. Potrebuje sa strategicky zamerať na veľkých hráčov a služby, ktoré najviac porušujú pravidlá ochrany osobných údajov, s dopadom na širokú verejnosť. Tak ako máme možnosť vidieť v Českej republike v prípade Avastu,“ uzatvára odborník na ochranu osobných údajov.