W przypadku naruszenia GDPR grożą kary pieniężne. Ze względu na brak jednolitych regulacji, były one dotychczas bardzo zróżnicowane. Wraz z nową wytyczną 04/2022 Europejski Komitet Ochrony Danych (EDSA) przedstawia możliwy ogólnoeuropejski model kar pieniężnych.
Wszystko, co trzeba wiedzieć o nowym modelu opłat za przejazd autobusem EDSA, można znaleźć tutaj.
Dotychczasowe grzywny
W przypadku naruszenia RODO może skutkować grzywnami zgodnie z art. 83 RODO. Istnieją już wytyczne dotyczące przypadków, w których należy nakładać grzywny ("czy"). W odniesieniu do wysokości grzywien W całej Europie panuje niezgodaWysokość grzywien w niektórych krajach europejskich jest więc na ogół wyższa niż w innych krajach. Te znaczące różnice w praktyce nakładania kar pieniężnych są niekiedy strategicznie wykorzystywane przez przedsiębiorstwa przy wyborze lokalizacji. Ponadto obecna praktyka nakładania grzywien charakteryzuje się brakiem przewidywalności i planowalności. Kryteria oceny, według których ustalane są kary pieniężne, są w większości przypadków mało widoczne.
Nowy model grzywny
Zgodnie z nowym modelem obliczania EDSA, w przyszłości mandaty będą obliczane w pięciu krokach.
Krok 1: Określenie i wyznaczenie granic przetwarzania właściwych danych
Pierwszym krokiem jest przeanalizowanie, które Przetwarzanie danych w szczególności zgodnie z RODO została naruszona. Należy wyjaśnić, czy w grę wchodzi jedna lub więcej operacji przetwarzania i czy są one ze sobą konkurencyjne (por. art. 83 III RODO).
Krok 2: Określenie punktu wyjścia dla obliczeń grzywny
Drugim krokiem jest określenie kwoty wyjściowej kary. Najpierw rozważa się możliwy zakres (kwota minimalna i maksymalna zgodnie z GDPR). W tych granicach istnieją cztery kryteria służące do określenia dokładnej kwoty grzywny: rodzaj naruszenia (formalnie art. 83 IV GDPR lub materialnie art. 83 V i VI GDPR), waga naruszenia, element subiektywny (zamiar lub zaniedbanie) oraz kategoria danych, których dotyczy naruszenie. Zgodnie z tymi kryteriami po przeprowadzeniu ogólnego przeglądu i oceny należy określić punkt wyjścia. W zależności od obrotów danego przedsiębiorstwa należy również określić maksymalny limit procentowy grzywien.
Etap 3: Ocena okoliczności obciążających i łagodzących
W trzecim kroku bada się następnie czynniki zwiększające i zmniejszające. W tym celu wytyczna zawiera pomoce interpretacyjne dla kryteriów wymienionych w art. 83 II lit. c-k GDPR.
Krok 4: Określenie maksymalnych limitów
W czwartym kroku nowy model grzywny odwołuje się do maksymalnych limitów z art. 83 IV-VI GDPR oraz limitu określonych procentów obrotu.
Krok 5: Dokładna regulacja
Na ostatnim etapie należy dokonać dopracowania, aby zapewnić skuteczność, proporcjonalność i odstraszający charakter. Ogólny przepis uwzględnia zatem cele zgodnie z art. 83 I GDPR.
Znaczenie modelu szlachetnego dla praktyki
Celem nowego modelu grzywny EDSA jest ujednolicenie kar pieniężnych, a tym samym ułatwienie praktyki prawnej. Jednocześnie jednak ma zostać zachowany aspekt odstraszania. W związku z tym szczególnie firmy o dużych obrotach będą musiały płacić wyższe grzywny w ramach nowego modelu grzywny.
Zgodnie z wytycznymi firmy są również bezpośrednio odpowiedzialne za ochronę danych niewłaściwe zachowanie swoich pracowników. Firmy powinny zatem zawsze upewniać się, że ich Personel odpowiednio przeszkolony mają na celu zminimalizowanie ryzyka.
Obecnie wytyczna jest jeszcze w procesie konsultacji. Oznacza to, że nie ma jeszcze mocy prawnej, ale w najbliższym czasie zostanie przyjęta w prawie tej wersji.
Potrzebujesz wsparcia w zakresie ochrony danych osobowych w swojej firmie, aby uniknąć kar pieniężnych? Nasz zespół ekspertów z chęcią Ci pomoże!
Deutsch 
English 
Español 
Français 
Polski