W przypadku naruszenia GDPR grożą kary pieniężne. Ze względu na brak jednolitych regulacji, były one dotychczas bardzo zróżnicowane. Wraz z nową wytyczną 04/2022 Europejski Komitet Ochrony Danych (EDSA) przedstawia możliwy ogólnoeuropejski model kar pieniężnych.
Wszystko, co trzeba wiedzieć o nowym modelu opłat za przejazd autobusem EDSA, można znaleźć tutaj.
Dotychczasowe grzywny
W przypadku naruszenia GDPR można nałożyć grzywny zgodnie z art. 83 GDPR. Istnieją już wytyczne dotyczące przypadków, w których należy nakładać grzywny ("czy"). Jeśli chodzi o wysokość grzywien W całej Europie panuje niezgodaWysokość grzywien w niektórych krajach europejskich jest więc na ogół wyższa niż w innych krajach. Te znaczące różnice w praktyce nakładania kar pieniężnych są niekiedy strategicznie wykorzystywane przez przedsiębiorstwa przy wyborze lokalizacji. Ponadto obecna praktyka nakładania grzywien charakteryzuje się brakiem przewidywalności i planowalności. Kryteria oceny, według których ustalane są kary pieniężne, są w większości przypadków mało widoczne.
Nowy model grzywny
Zgodnie z nowym modelem obliczania EDSA, w przyszłości mandaty będą obliczane w pięciu krokach.
Krok 1: Określenie i wyznaczenie granic przetwarzania właściwych danych
W pierwszej kolejności należy zbadać, jakie przetwarzanie danych konkretnie naruszyło GDPR. Należy przy tym wyjaśnić, czy chodzi o jedną, czy o kilka operacji przetwarzania i czy są one wobec siebie konkurencyjne (por. art. 83 III GDPR).
Krok 2: Określenie punktu wyjścia dla obliczeń grzywny
Drugim krokiem jest określenie kwoty wyjściowej kary. Najpierw rozważa się możliwy zakres (kwota minimalna i maksymalna zgodnie z GDPR). W tych granicach istnieją cztery kryteria służące do określenia dokładnej kwoty grzywny: rodzaj naruszenia (formalnie art. 83 IV GDPR lub materialnie art. 83 V i VI GDPR), waga naruszenia, element subiektywny (zamiar lub zaniedbanie) oraz kategoria danych, których dotyczy naruszenie. Zgodnie z tymi kryteriami po przeprowadzeniu ogólnego przeglądu i oceny należy określić punkt wyjścia. W zależności od obrotów danego przedsiębiorstwa należy również określić maksymalny limit procentowy grzywien.
Etap 3: Ocena okoliczności obciążających i łagodzących
W trzecim kroku bada się następnie czynniki zwiększające i zmniejszające. W tym celu wytyczna zawiera pomoce interpretacyjne dla kryteriów wymienionych w art. 83 II lit. c-k GDPR.
Krok 4: Określenie maksymalnych limitów
W czwartym kroku nowy model grzywny odwołuje się do maksymalnych limitów z art. 83 IV-VI GDPR oraz limitu określonych procentów obrotu.
Krok 5: Dokładna regulacja
Na ostatnim etapie należy dokonać dopracowania, aby zapewnić skuteczność, proporcjonalność i odstraszający charakter. Ogólny przepis uwzględnia zatem cele zgodnie z art. 83 I GDPR.
Znaczenie modelu szlachetnego dla praktyki
Celem nowego modelu grzywny EDSA jest ujednolicenie kar pieniężnych, a tym samym ułatwienie praktyki prawnej. Jednocześnie jednak ma zostać zachowany aspekt odstraszania. W związku z tym szczególnie firmy o dużych obrotach będą musiały płacić wyższe grzywny w ramach nowego modelu grzywny.
Zgodnie z Wytycznymi, przedsiębiorstwa ponoszą również bezpośrednią odpowiedzialność za niewłaściwe zachowania swoich pracowników w zakresie ochrony danych. Przedsiębiorstwa powinny zatem zawsze zapewnić, że ich Personel odpowiednio przeszkolony mają na celu zminimalizowanie ryzyka.
Obecnie wytyczna jest jeszcze w procesie konsultacji. Oznacza to, że nie ma jeszcze mocy prawnej, ale w najbliższym czasie zostanie przyjęta w prawie tej wersji.
Potrzebujesz wsparcia w zakresie ochrony danych osobowych w swojej firmie, aby uniknąć kar pieniężnych? Nasz zespół ekspertów z chęcią Ci pomoże!
Polski 
Deutsch 
English 
Español 
Français