Unia Europejska, za pomocą ogólnego rozporządzenia o ochronie danych (zwanego dalej „RODO”, „Rozporządzenie”) zakończyła ważny etap kompleksowej reformy regulacji ochrony danych w Europie. Rozporządzenie opiera się na kilku kluczowych elementach, a jednym z nich są silniejsze uprawnienia organów nadzorczych w zakresie egzekwowania przepisów. Rozporządzenie nakłada znacznie podwyższony poziom kar pieniężnych za naruszenie przepisów ochrony danych osobowych – znany już także polskim przedsiębiorcom.
Rozporządzenie przewiduje także harmonizację wysokości kar w poszczególnych państwach członkowskich – jednak czy faktycznie do tego doprowadziło?
5 kroków dla organów nadzorczych
W związku z przewidzianym w Rozporządzeniu obowiązkiem harmonizacji, Europejska Rada Ochrony Danych (dalej: „EROD”) opracowała wytyczne, które mają zapewnić jasną i przejrzystą podstawę dla organów nadzorczych do ustalania wysokości kar administracyjnych. Biorąc pod uwagę ogólne warunki nakładania kar administracyjnych zawarte w art. 83 RODO, EROD określiła 5 etapową metodologię obliczania wysokości kar.
- W pierwszej kolejności, organ ochrony danych musi ustalić, czy dana sprawa dotyczy jednego czy większej liczby przypadków zachowania podlegającego sankcjonowaniu i czy doprowadziły one do jednego czy wielu naruszeń.
Organ ochrony danych powinien rozważyć, jakie zachowania i naruszenia miałyby być podstawą nałożenia kary administracyjnej. Artykuł 83 ust. 3 RODO stanowi, że jeżeli administrator lub podmiot przetwarzający narusza kilka przepisów Rozporządzenia w ramach tych samych lub powiązanych operacji przetwarzania, to całkowita kwota kary administracyjnej nie może przekroczyć maksymalnej kwoty mającej zastosowanie do najpoważniejszego z tych naruszeń.
- Po drugie, przy decyzji o nałożeniu kary administracyjnej organ ochrony danych musi opierać się na punkcie wyjścia do obliczenia kary pieniężnej, dla którego EROD zapewnia zharmonizowaną metodę.
Organ ochrony danych powinien przede wszystkim dokonać klasyfikacji naruszenia zgodnie z art. 83 ust. 4-6 RODO, który wskazuje dwa przedziały maksymalnych kar administracyjnych w zależności od przepisu Rozporządzenia, którego dotyczyło naruszenie. W dalszej kolejności organ powinien zwrócić uwagę na charakter, wagę i czas trwania naruszenia, liczbę poszkodowanych osób, których dane dotyczą oraz rozmiar poniesionej przez nie szkody, kategorie danych osobowych których dotyczyło naruszenie oraz umyślność lub nieumyślność naruszenia (art. 83 ust. 2 lit. a), b), g) RODO). W celu nałożenia skutecznej, odstraszającej i proporcjonalnej kary pieniężnej organ bierze również pod uwagę obroty przedsiębiorstwa, którego miałaby dotyczyć sankcja.
- Po trzecie, organ ochrony danych powinien wziąć pod uwagę okoliczności obciążające lub łagodzące, które mogą zwiększyć lub zmniejszyć kwotę kary pieniężnej.
Po określeniu punktu wyjścia przez organ, bierze on pod uwagę okoliczności wskazane w art. 83 ust. 2 RODO takie jak: działania podjęte przez administratora (lub podmiot przetwarzający) w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, wcześniejsze naruszenia czy stopień współpracy z organem nadzorczym.
- Czwartym krokiem ma być określenie maksymalnych pułapów kar pieniężnych określonych w art. 83 ust. 4–6 RODO oraz zapewnienie, że kwoty te nie zostaną przekroczone.
Maksymalna wysokość grzywny będzie zależeć od tego, czy naruszenie wchodzi w zakres art. 83 ust. 4 RODO, czy też art. 83 ust. 5 i 6 RODO. Mimo że EROD stara się odnieść w tym punkcie pomocniczo do pojęć z zakresu prawa konkurencji oraz dorobku orzeczniczego Trybunału Sprawiedliwości Unii Europejskiej, nie wprowadza żadnych jasnych i nowych interpretacji, ponad te z którymi zaznajomieni są praktycy prawa europejskiego.
- W piątym i ostatnim etapie organ ochrony danych musi przeanalizować, czy obliczona kwota końcowa spełnia wymogi dotyczące skuteczności, odstraszającego charakteru i proporcjonalności, czy też konieczne są dalsze korekty kwoty.
