Od czterech lat stosujemy RODO w Unii Europejskiej. W tym okresie unijne organy nadzorcze ds. ochrony danych osobowych nałożyły szereg kar finansowych, za przeróżnego typu naruszenia. Na tym polu dłużny nie pozostał również polski regulator (Prezes Urzędu Ochrony Danych Osobowych).
Dotychczas, organy nadzorcze indywidualnie oceniały, w jaki sposób wyliczyć wysokość nałożonej kary. Obecnie ma się to zmienić. 12 maja br. Europejska Rada Ochrony Danych (EROD) przyjęła projekt Wytycznych w sprawie obliczania kar administracyjnych na mocy RODO (Guidelines 04/2022 on the calculation of administrative fines under the GDPR).
Co do zasady, ustalenie wysokości kary jest indywidualną sprawą każdego regulatora, oczywiście w limitach określonych przez RODO. Nowe wytyczne przyczynić się mają jednak – jak podkreśla EROD – do ujednolicenia metodologii stosowanej przez organy nadzorcze w tym zakresie oraz zapewnienia spójnego stosowania i egzekwowania przepisów ogólnego rozporządzenia o ochronie danych osobowych. Warto na marginesie wspomnieć, że w 2017 r. przyjęte już były (jeszcze przez tzw. Grupę Roboczą art. 29 – poprzednika EROD) wytyczne dotyczące administracyjnych kar pieniężnych. Dokument ten nie dotyczy jednak stricte kwestii kalkulacji wysokości nakładanej kary i nie jest sprzeczny z nowym projektem.
Opinie EROD w sprawie przekazywania danych do Wielkiej Brytanii
EROD zaleca kilkuetapową ocenę
W wytycznych wskazano, że organ nadzorczy – przed ustaleniem konkretnej kwoty kary – powinien dokonać kilkuetapowej oceny. W pierwszej kolejności powinien on ustalić, czy konkretne zdarzenie należy zakwalifikować jako jedno, czy też kilka odrębnych naruszeń. Jednoczesne naruszenie kilku przepisów RODO musi być – jak podkreśla EROD – brane pod uwagę, przy szacowaniu ostatecznej kary.
Następnie powinien dokonać kwalifikacji naruszenia w świetle art. 83 ust. 4-6 RODO, tj. określić górną granicę kary, w zależności od stwierdzonego naruszenia. Co ciekawe, EROD zaleciła, aby organ nadzorczy określił na tym etapie wagę naruszenia, biorąc pod uwagę m.in. jego charakter, zakres, cel przetwarzania danych osobowych oraz liczbę osób dotkniętych konkretnym zdarzeniem. W jej ocenie, regulator może określić wagę naruszenia na trzech poziomach – niskim, średnim i wysokim, co w praktyce ma oznaczać procentowe ograniczenie wysokości możliwej kary (np. ustalając wagę naruszenia na poziomie średnim, organ nadzorczy nałoży karę w wysokości od 10% do 20% maksymalnej możliwej kary).
Na dalszym etapie organ nadzorczy powinien wziąć pod uwagę przede wszystkim obrót konkretnego przedsiębiorstwa, okoliczności obciążające i łagodzące (art. 83 ust. 2 RODO) oraz kwestię określenia możliwej kary maksymalnej. Regulator, musi również ustalić, czy finalnie przyjęta wysokość kary pieniężnej spełnia wymogi skuteczności, odstraszania i proporcjonalności. Pomocne dla organów nadzorczych mogą być w tym zakresie przykłady wskazane przez EROD w projekcie Wytycznych.
Czas na konsultacje
EROD poinformowała, że przyjęty projekt wytycznych zostanie skierowany do szerokich konsultacji, które potrwają 6 tygodni. Ostateczna wersja dokumentu powinna zostać przyjęta i przekazana do stosowania do końca bieżącego roku.
Bez wątpienia wytyczne mogą przyczynić się do bardziej spójnego podejścia unijnych regulatorów do kwestii wyliczania administracyjnych kar pieniężnych, co również przełoży się na pewność stosowania prawa przez administratorów. Aktualnie, istnieją duże różnice w tym zakresie, w tym np. w odniesieniu do przypisywania określonej wagi różnym czynnikom mających wpływ na ostateczną wysokość nałożonej kary. Administratorzy do samego końca nie mają więc świadomości, z jakim wymiarem kary muszą się liczyć.
Źródło:
Link do projektu Wytycznych:
Link do poprzednich Wytycznych:
