CEDPO je pripravila Povzetek osnutka smernic o izračunu upravnih glob v skladu z GDPR

CEDPO je pripravila Povzetek osnutka smernic o izračunu upravnih glob v skladu z GDPR
02. 08. 2022 objavil/a Administrator
83. člen GDPR
GDPR
globe
nadzorni organ
smernice

Smernice EDPB 04/2022 o izračunu upravnih glob so namenjene oblikovanju enotne usklajene metodologije, ki jo bodo uporabljali nadzorni organi pri izračunu zneska globe GDPR

Novica je bila objavljena 13.7.2022

EDPB je osnutek smernic izdal maja 2022, o čemer smo pisali tukajSmernice dokumentirajo tudi praktične primere, ki organizacijam olajšajo razumevanje, kako je mogoče dosledno uporabljati metodo izračuna. Smernice opredeljujejo petstopenjsko metodologijo za podporo izračuna upravnih glob.EDPB tudi navaja, da te metodologije ne bi smeli napačno razumeti kot obliko samodejnega izračuna. Izračuni kazni bodo ostali v presoji nadzornih organov in v skladu s pravili, določenimi v GDPR.

1.  korak: Identifikacija postopkov obdelave v primeru in ocena uporabe člena 83(3) GDPR

V skladu s členom 83(3) GDPR »Če upravljavec ali obdelovalec namerno ali iz malomarnosti za iste ali povezane postopke obdelave krši več določb te uredbe, skupni znesek upravne globe ne sme preseči zneska, določenega za najhujšo kršitev."

V tej zadevi bodo morali nadzorni organi pretehtati, na kakšno ravnanje se nanašajo globe in ali je prišlo do sočasnih kršitev. Sodna praksa Sodišča EU je opredelila 3 kategorije, v katere lahko spada zadeva:

  • sočasnost kaznivih dejanj,

  • enotnost delovanja,

  • pluralnost dejanj.

Kategorizacija zadevnega primera bo vplivala na način izračuna globe.

Primer : V primeru »Enotnosti dejanj« je globa omejena na najvišjo dovoljeno vrednost za najhujšo kršitev, medtem ko lahko primer »Množičnih dejanj« povzroči naložitev ločenih glob za vsako dejanje, odvisno od posameznih najvišjih zneskov. 

2.  korak: Iskanje izhodišča za nadaljnji izračun zneska globe

V skladu z GDPR lahko kot izhodišče za nadaljnji izračun globe služita dve kategoriji kršitev:

  • Kršitve, ki se kaznujejo v skladu s členom 83(4) GDPR (z globo v višini 10 milijonov EUR ali 2 % letnega prometa podjetja, kar je višje);

  • Kršitve, ki se kaznujejo v skladu s členom 83 (5)-(6) GDPR (z najvišjo globo 20 milijonov EUR ali 4 % letnega prometa podjetja, kar je višje).

Pri ocenjevanju resnosti kršitve je treba upoštevati dejstva in okoliščine, vključno z:

  • vrsto, obsegom ali namenom obdelave;

  • število prizadetih posameznikov, na katere se nanašajo osebni podatki, in raven škode, ki so jo utrpeli;

  • vrsta, teža in trajanje kršitve;

  • kategorije osebnih podatkov, zajetih v kršitev;

  • možna neposredna identifikacija zadevnih posameznikov, na katere se nanašajo osebni podatki;

  • narava kršitve (malomarnost ali naklep).

Z oceno teh dejavnikov bo nadzorni organ določil resnost kršitve kot celote.

Upravne globe bodo določene med:

  • 0 in 10 % zakonskega maksimuma za kršitve „nizke” stopnje;

  • 10 % in 20 % zakonskega maksimuma za kršitve „srednje” stopnje;

  • 20 % in 100 % za "visoke" kršitve.

Na splošno velja, da hujša kot je kršitev v vsaki od teh kategorij, višji je začetni znesek globe. Nadzorni organi lahko uporabijo tudi stopenjski pristop za določitev začetnega zneska z upoštevanjem velikosti podjetja in določitvijo pragov na podlagi letnega prometa.

3.  korak: Obteževalne in olajševalne okoliščine v zvezi s preteklim ali sedanjim ravnanjem upravljavca/obdelovalca in ustrezno zvišanje ali znižanje globe

EDPB svetuje, da morajo nadzorni organi upoštevati prisotnost oteževalnih in olajševalnih dejavnikov, kot so navedeni v členu 83(2) GDPR.

Ti lahko vključujejo:

  • tehnične in organizacijske ukrepe, ki jih sprejme upravljavec podatkov ali obdelovalec za zmanjšanje škode, ki jo utrpijo posamezniki, na katere se nanašajo osebni podatki;

  • morebitna predhodna kršitev s strani upravljavca/obdelovalca podatkov ter njen časovni okvir in predmet;

  • stopnjo odgovornosti upravljavca/obdelovalca za kršitev;

  • način, na katerega je nadzorni organ izvedel za kršitev (pritožba/preiskava SA/obveščen s strani upravljavca ali obdelovalca);

  • obseg, v katerem je upravljavec/obdelovalec podatkov sodeloval s SA, da bi odpravil kršitev in ublažil morebitne škodljive učinke;

  • skladnost s predhodno odrejenimi ukrepi za isto zadevo;

  • spoštovanje kodeksov ravnanja ali mehanizmov certificiranja;

  • morebitne druge oteževalne ali olajševalne okoliščine. 

4.  korak: Zakonski maksimumi za različne postopke obdelave in odgovornost podjetij

V nasprotju s fiksnimi globami za posebne kršitve GDPR določa splošne najvišje zneske: statični znesek je opredeljen v členih 83(4) in 83(5), (6) do 10 milijonov EUR oziroma 20 milijonov EUR.

V primeru podjetja se lahko razpon globe premakne proti višjemu najvišjemu znesku glede na njegov promet (do 2 % ali 4 % skupnega letnega prometa podjetja v prejšnjem poslovnem letu).

GDPR zahteva, da nadzorni organi upoštevajo statični ali dinamični najvišji znesek na podlagi prometa, kar je večje. Za določitev pravilnega prometa za dinamični zakonski maksimum EDPB svetuje, da je bistveno upoštevati koncept podjetja, kot ga opredeljuje Sodišče EU: „vsak subjekt, ki se ukvarja z gospodarsko dejavnostjo, ne glede na pravni status subjekta in način financiranja." V skladu s konkurenčnim pravom se lahko posamezni gospodarski subjekt šteje za podjetje, tudi če je sestavljena iz več pravnih subjektov. Za presojo, ali več pravnih subjektov tvori eno gospodarsko celoto, je treba oceniti, ali je posamezen subjekt svoboden pri odločanju ali pa ima vodilni subjekt odločilen vpliv na druge subjekte.

Nekatera merila, ki jih je treba upoštevati pri tej oceni, so:

  • višina udeležbe različnih subjektov;

  • kadrovske in organizacijske vezi med subjekti;

  • soodvisna navodila ;

  • obstoj podjemnih pogodb.

Pri izbiri dinamičnega zakonskega maksimuma morajo SA izračunati tudi letni promet podjetja, ki je neto vsota vsega prodanega blaga in storitev po odbitku prodajnih rabatov, DDV in drugih s prometom povezanih davkov.

5. korak : Ocena, ali globa izpolnjuje zahteve glede učinkovitosti, odvračilnosti in sorazmernosti, kot zahteva člen 83(1) GDPR

Nadzorni organi morajo opraviti končno oceno za vsak posamezen primer, da je naložena globa "učinkovita, sorazmerna in odvračilna" oziroma ali so potrebne prilagoditve.

Učinkovitost: Globa se na splošno šteje za učinkovito, če dosega cilje, zaradi katerih je bila izrečena (npr. ponovna vzpostavitev skladnosti s pravili, kaznovanje nezakonitega vedenja ali oboje).

Sorazmernost: Sprejeti ukrepi ne smejo presegati tistega, kar je primerno in potrebno za doseganje ciljev, ki jih zasleduje zakon. Kadar obstaja več ustreznih ukrepov, je treba uporabiti tiste, ki so najmanj obremenjujoči in imajo najmanj slabosti. V izjemnih primerih lahko nadzorni organi razmislijo o nadaljnjem znižanju globe na podlagi nezmožnosti plačila, pri čemer upoštevajo ekonomsko sposobnost preživetja zadevnega podjetja ter posebne družbene in gospodarske razmere.

Odvračilnost: Globa mora imeti „dvojni“ in splošni odvračilni učinek. Na eni strani odvračanje drugih od iste kršitve, na drugi strani pa konkretno odvračanje upravljavca prejemnika in/ali obdelovalca od ponovne storitve iste kršitve.

Pri vseh zgoraj omenjenih korakih je treba upoštevati, da izračun globe ni preprosta matematična vaja; zlasti okoliščine zadevnega primera bodo določile dejavnike, ki vodijo do končnega zneska.

Dostop do povzetka tukaj.

Vir: CEDPO

Naslovna fotografija: RawPixel