Koniec rozbieżności w kryteriach wymiaru kar za naruszenia RODO coraz bliżej

Europejska Rada Ochrony Danych przyjęła projekt wytycznych dotyczących obliczania administracyjnych kar pieniężnych przez europejskie organy ochrony danych. Zalecenia EROD mają wpłynąć na ujednolicenie kar stosowanych przez regulatorów oraz zapewnić spójność i przejrzystość procesu ich wymierzania.

Przez cztery lata obowiązywania RODO[1] wysokość wymierzanych kar nieraz zaskakiwała. Dlatego wielu administratorów danych osobowych liczyło na przyjęcie sztywnych widełek lub nawet „cennika”, który obowiązywałaby organy przy nakładaniu kar za poszczególne „przewinienia”. Wytyczne nie pozostawiają jednak wątpliwości – indywidualne okoliczności sprawy nadal będą istotnym czynnikiem wpływającym na wymiar kary.

 

5-etapowa metodologia obliczania kar

Sposób obliczania kar przez organy nadzoru został podzielony na 5 etapów.

Etap pierwszy: ustalenie, czy w obrębie danej sprawy jest jedno, czy więcej zdarzeń, które podlegają sankcjonowaniu oraz, czy doprowadziły one do jednego lub wielu naruszeń.

Ma to pomóc w określeniu, które ze zdarzeń będą podlegać karze administracyjnej. Nie każde naruszenie musi automatycznie kończyć się karą. Organy nadzorcze dysponują również innymi narzędziami, jak np. upomnienie czy wezwanie administratora do dostosowania operacji przetwarzania danych osobowych do przepisów rozporządzenia.

Etap drugi: organy ochrony danych osobowych wezmą pod uwagę charakter oraz wagę naruszeń, w tym:

  • liczbę osób, których dotyczy naruszenie w sposób konkretny, a także potencjalny,
  • poziom poniesionej przez podmioty danych szkody,
  • zakres w jakim dane naruszenie wpłynęło na podstawowe prawa i wolności jednostki (np. czy naruszenie ochrony danych mogło skutkować dyskryminacją lub kradzieżą tożsamości danej osoby),
  • czas trwania naruszenia i jego powtarzalność – duża liczba mniej znaczących naruszeń u danego administratora może ostatecznie wpłynąć na wymierzenie wyższej kary niż za jedno naruszenie,
  • kategorie danych osobowych podlegających naruszeniu – im więcej danych podlegających szczególnej ochronie (jak np. dane dotyczące zdrowia czy dane finansowe) obejmuje naruszenie, tym większą wagę organ przyzna naruszeniu, a w konsekwencji wymierzy wyższą karę finansową.

Nie bez znaczenia jest również poziom całkowitego rocznego światowego obrotu przedsiębiorcy, którego dotyczy naruszenie. Do jego wielkości odnosi się maksymalny wymiar kar (wynosi on 4%), jednak EROD zaleca organom nadzorczym odniesienie się do wielkości i poziomu obrotów przedsiębiorstwa również przy ustalaniu punktu wyjścia dla określenia administracyjnej kary pieniężnej.

Etap trzeci: określenie wszelkich okoliczności obciążających oraz łagodzących. To w szczególności działania podejmowane przez administratora w celu ograniczenia skutków szkody, ewentualne wcześniejsze naruszenia oraz stopień odpowiedzialności – zarówno administratora, jak i procesora, za wystąpienie incydentu. Istotnym czynnikiem, często podnoszonym przez PUODO w uzasadnieniach wymierzanych kar, jest też współpraca administratora z organem lub jej brak.

Etap czwarty: ustalenie maksymalnego pułapu kar pieniężnych na podstawie RODO (do 20 mln EUR lub do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego – zastosowanie ma kwota wyższa), a także przestrzeganie ich nieprzekroczenia.

Etap piąty: ocena, czy ustalona sankcja pieniężna spełnia wymogi dotyczące skuteczności, odstraszającego charakteru oraz proporcjonalności, a w przypadku oceny negatywnej – odpowiednia korekta kary.

 

Wytyczne EROD nie tylko dla organów nadzorczych

Projekt wytycznych trafi do konsultacji społecznych, a jego ostateczna wersja zostanie uzupełniona o – użyteczną również dla administratorów danych osobowych – tabelę zawierającą szereg punktów wyjścia przy obliczaniu wysokości nakładanej kary. Waga naruszenia będzie w niej przedstawiona w relacji do obrotu przedsiębiorstwa, które dopuściło się naruszenia ochrony danych osobowych.

Pomimo tego, że adresatami wytycznych są organy ochrony danych osobowych, mogą one stanowić cenną wskazówkę dla administratorów przy ocenie skutków naruszenia. Będą przydatne również przy tworzeniu wewnętrznych procedur służących tej ocenie. Oczywiście w tych działaniach mogą Państwo skorzystać ze wsparcia doradców OW – zapraszamy do kontaktu w przypadku pytań.

 

Zuzanna Prandecka-Walek
Senior Associate | Adwokat
zuzanna.prandecka-walek@olesinski.com

Żaneta Zniszczoł
Junior Associate | Dział prawny
zaneta.zniszczol@olesinski.com

 

[1] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) z dnia 27 kwietnia 2016 r. (Dz.Urz.UE.L Nr 119, str. 1)