EROD wydaje wytyczne dotyczące harmonizacji kar – czy administratorzy danych otrzymają taryfikator przewinień?
23.06.2022
Unia Europejska, za pomocą ogólnego rozporządzenia o ochronie danych (zwanego dalej „RODO”, „Rozporządzenie”) zakończyła ważny etap kompleksowej reformy regulacji ochrony danych w Europie. Rozporządzenie opiera się na kilku kluczowych elementach, a jednym z nich są silniejsze uprawnienia organów nadzorczych w zakresie egzekwowania przepisów. Rozporządzenie nakłada znacznie podwyższony poziom kar pieniężnych za naruszenie przepisów ochrony danych osobowych – znany już także polskim przedsiębiorcom.
Rozporządzenie przewiduje także harmonizację wysokości kar w poszczególnych państwach członkowskich – jednak czy faktycznie do tego doprowadziło?
5 kroków dla organów nadzorczych
W związku z przewidzianym w Rozporządzeniu obowiązkiem harmonizacji, Europejska Rada Ochrony Danych (dalej: „EROD”) opracowała wytyczne, które mają zapewnić jasną i przejrzystą podstawę dla organów nadzorczych do ustalania wysokości kar administracyjnych. Biorąc pod uwagę ogólne warunki nakładania kar administracyjnych zawarte w art. 83 RODO, EROD określiła 5 etapową metodologię obliczania wysokości kar.
- W pierwszej kolejności, organ ochrony danych musi ustalić, czy dana sprawa dotyczy jednego czy większej liczby przypadków zachowania podlegającego sankcjonowaniu i czy doprowadziły one do jednego czy wielu naruszeń.
Organ ochrony danych powinien rozważyć, jakie zachowania i naruszenia miałyby być podstawą nałożenia kary administracyjnej. Artykuł 83 ust. 3 RODO stanowi, że jeżeli administrator lub podmiot przetwarzający narusza kilka przepisów Rozporządzenia w ramach tych samych lub powiązanych operacji przetwarzania, to całkowita kwota kary administracyjnej nie może przekroczyć maksymalnej kwoty mającej zastosowanie do najpoważniejszego z tych naruszeń.
- Po drugie, przy decyzji o nałożeniu kary administracyjnej organ ochrony danych musi opierać się na punkcie wyjścia do obliczenia kary pieniężnej, dla którego EROD zapewnia zharmonizowaną metodę.
Organ ochrony danych powinien przede wszystkim dokonać klasyfikacji naruszenia zgodnie z art. 83 ust. 4-6 RODO, który wskazuje dwa przedziały maksymalnych kar administracyjnych w zależności od przepisu Rozporządzenia, którego dotyczyło naruszenie. W dalszej kolejności organ powinien zwrócić uwagę na charakter, wagę i czas trwania naruszenia, liczbę poszkodowanych osób, których dane dotyczą oraz rozmiar poniesionej przez nie szkody, kategorie danych osobowych których dotyczyło naruszenie oraz umyślność lub nieumyślność naruszenia (art. 83 ust. 2 lit. a), b), g) RODO). W celu nałożenia skutecznej, odstraszającej i proporcjonalnej kary pieniężnej organ bierze również pod uwagę obroty przedsiębiorstwa, którego miałaby dotyczyć sankcja.
- Po trzecie, organ ochrony danych powinien wziąć pod uwagę okoliczności obciążające lub łagodzące, które mogą zwiększyć lub zmniejszyć kwotę kary pieniężnej.
Po określeniu punktu wyjścia przez organ, bierze on pod uwagę okoliczności wskazane w art. 83 ust. 2 RODO takie jak: działania podjęte przez administratora (lub podmiot przetwarzający) w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą, wcześniejsze naruszenia czy stopień współpracy z organem nadzorczym.
- Czwartym krokiem ma być określenie maksymalnych pułapów kar pieniężnych określonych w art. 83 ust. 4–6 RODO oraz zapewnienie, że kwoty te nie zostaną przekroczone.
Maksymalna wysokość grzywny będzie zależeć od tego, czy naruszenie wchodzi w zakres art. 83 ust. 4 RODO, czy też art. 83 ust. 5 i 6 RODO. Mimo że EROD stara się odnieść w tym punkcie pomocniczo do pojęć z zakresu prawa konkurencji oraz dorobku orzeczniczego Trybunału Sprawiedliwości Unii Europejskiej, nie wprowadza żadnych jasnych i nowych interpretacji, ponad te z którymi zaznajomieni są praktycy prawa europejskiego.
- W piątym i ostatnim etapie organ ochrony danych musi przeanalizować, czy obliczona kwota końcowa spełnia wymogi dotyczące skuteczności, odstraszającego charakteru i proporcjonalności, czy też konieczne są dalsze korekty kwoty.
Ostatnim krokiem w proponowanej przez EROD metodologii jest ocena, czy obliczona ostateczna kwota spełnia wspomniane wymogi skuteczności, odstraszania i proporcjonalności. Jeżeli jest to konieczne do spełnienia wymogu skuteczności, odstraszania i proporcjonalności kary, organ nadzorczy może nadal korygować jej wysokość – nie przekraczając jednak odpowiedniego maksimum prawnego.
Praktyczne skutki wytycznych dla administratorów danych
EROD wskazuje, że w wytycznych przedstawia jedynie ogólną metodę obliczania kar administracyjnych, która ma ułatwiać dalszą harmonizację i przejrzystość praktyki organów nadzorczych w zakresie ich nakładania. Podkreśla przy tym, że nałożenie kary administracyjnej musi zawsze opierać się na ocenie wszystkich istotnych okoliczności sprawy oraz musi być skuteczne, proporcjonalne i odstraszające w odniesieniu do konkretnego przypadku. Metodologia w żadnym razie nie powinna być rozumiana jako forma automatycznego lub arytmetycznego obliczania.
Jakkolwiek cel wydania wytycznych był szczytny, trudno uznać że EROD spełnił wymagania co do ich jasności i przejrzystości, które przed sobą postawił. Administratorzy danych nadal nie uzyskali odpowiedzi na pytania, które nurtują ich najbardziej – czyli jaka potencjalna kara może zostać na nich nałożona za konkretne naruszenie w obszarze ochrony danych osobowych. Wytyczne nie wprowadzają rewolucji w podejściu organów do kwestii nakładania kar, powtarzając i jedynie rozwijając przesłanki zawarte już w Rozporządzeniu.
Wytyczne zostały skierowane do konsultacji publicznych, po których zostanie przyjęta ich ostateczna wersja.
Źródła:
https://eur-lex.europa.eu/legal-content
https://uodo.gov.pl/pl/138/2383
https://edpb.europa.eu/our-work-tools
https://edpb.europa.eu/system.pdf
Z tej samej kategorii
Kategorie
