W przypadku naruszenia GDPR grożą kary pieniężne. Ze względu na brak jednolitych regulacji, były one dotychczas bardzo zróżnicowane. Wraz z nową wytyczną 04/2022 Europejski Komitet Ochrony Danych (EDSA) przedstawia możliwy ogólnoeuropejski model kar pieniężnych.

Wszystko, co trzeba wiedzieć o nowym modelu opłat za przejazd autobusem EDSA, można znaleźć tutaj.

Dotychczasowe grzywny

W przypadku naruszenia GDPR można nałożyć grzywny zgodnie z art. 83 GDPR. Istnieją już wytyczne dotyczące przypadków, w których należy nakładać grzywny ("czy"). Jeśli chodzi o wysokość grzywien W całej Europie panuje niezgodaWysokość grzywien w niektórych krajach europejskich jest więc na ogół wyższa niż w innych krajach. Te znaczące różnice w praktyce nakładania kar pieniężnych są niekiedy strategicznie wykorzystywane przez przedsiębiorstwa przy wyborze lokalizacji. Ponadto obecna praktyka nakładania grzywien charakteryzuje się brakiem przewidywalności i planowalności. Kryteria oceny, według których ustalane są kary pieniężne, są w większości przypadków mało widoczne.

Nowy model grzywny

Zgodnie z nowym modelem obliczania EDSA, w przyszłości mandaty będą obliczane w pięciu krokach.

Krok 1: Określenie i wyznaczenie granic przetwarzania właściwych danych

W pierwszej kolejności należy zbadać, jakie przetwarzanie danych konkretnie naruszyło GDPR. Należy przy tym wyjaśnić, czy chodzi o jedną, czy o kilka operacji przetwarzania i czy są one wobec siebie konkurencyjne (por. art. 83 III GDPR).

Krok 2: Określenie punktu wyjścia dla obliczeń grzywny

Drugim krokiem jest określenie kwoty wyjściowej kary. Najpierw rozważa się możliwy zakres (kwota minimalna i maksymalna zgodnie z GDPR). W tych granicach istnieją cztery kryteria służące do określenia dokładnej kwoty grzywny: rodzaj naruszenia (formalnie art. 83 IV GDPR lub materialnie art. 83 V i VI GDPR), waga naruszenia, element subiektywny (zamiar lub zaniedbanie) oraz kategoria danych, których dotyczy naruszenie. Zgodnie z tymi kryteriami po przeprowadzeniu ogólnego przeglądu i oceny należy określić punkt wyjścia. W zależności od obrotów danego przedsiębiorstwa należy również określić maksymalny limit procentowy grzywien.

Etap 3: Ocena okoliczności obciążających i łagodzących

W trzecim kroku bada się następnie czynniki zwiększające i zmniejszające. W tym celu wytyczna zawiera pomoce interpretacyjne dla kryteriów wymienionych w art. 83 II lit. c-k GDPR.

Krok 4: Określenie maksymalnych limitów

W czwartym kroku nowy model grzywny odwołuje się do maksymalnych limitów z art. 83 IV-VI GDPR oraz limitu określonych procentów obrotu.

Krok 5: Dokładna regulacja

Na ostatnim etapie należy dokonać dopracowania, aby zapewnić skuteczność, proporcjonalność i odstraszający charakter. Ogólny przepis uwzględnia zatem cele zgodnie z art. 83 I GDPR.

Znaczenie modelu szlachetnego dla praktyki

Celem nowego modelu grzywny EDSA jest ujednolicenie kar pieniężnych, a tym samym ułatwienie praktyki prawnej. Jednocześnie jednak ma zostać zachowany aspekt odstraszania. W związku z tym szczególnie firmy o dużych obrotach będą musiały płacić wyższe grzywny w ramach nowego modelu grzywny.

Zgodnie z Wytycznymi, przedsiębiorstwa ponoszą również bezpośrednią odpowiedzialność za niewłaściwe zachowania swoich pracowników w zakresie ochrony danych. Przedsiębiorstwa powinny zatem zawsze zapewnić, że ich Personel odpowiednio przeszkolony mają na celu zminimalizowanie ryzyka.

Obecnie wytyczna jest jeszcze w procesie konsultacji. Oznacza to, że nie ma jeszcze mocy prawnej, ale w najbliższym czasie zostanie przyjęta w prawie tej wersji.

Potrzebujesz wsparcia w zakresie ochrony danych osobowych w swojej firmie, aby uniknąć kar pieniężnych? Nasz zespół ekspertów z chęcią Ci pomoże!

DSB buchen
pl_PLPolski