EROD przyjęła wytyczne w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO 04/2022
27/05/2022
Europejska Rada Ochrony Danych (EROD) przyjęła wytyczne w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO (Guidelines 04/2022 on the calculation of administrative fines under the GDPR), w celu ujednolicenia stosowanej przez organy nadzorcze metodologii obliczania wysokości kar.
Wytyczne te uzupełniają przyjęte wcześniej Wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych na potrzeby RODO (WP253), które skupia się na okolicznościach, w jakich należy nałożyć grzywnę.
Wymagania RODO dotyczące nakładania kar
Ustalenie wysokości kary należy do organu nadzorczego, z zastrzeżeniem przepisów przewidziane w RODO. W tym kontekście RODO wymaga, aby wysokość grzywny była w każdym indywidualnym przypadku: skuteczna, proporcjonalna i odstraszająca (art. 83 ust. 1 RODO). Co więcej, podczas ustawiania wysokości kary, organy nadzoru uwzględniają należycie wykaz okoliczności, które dotyczą cechy naruszenia: jego wagi, czasu i charakteru (art. 83 ust. 2 RODO). Wreszcie, kwota grzywny nie może przekroczyć maksymalnych kwot przewidzianych w art. 83 ust. 4 ust. 5 oraz ust. 6 RODO. Obliczenie kwoty grzywny opiera się zatem na szczegółowej ocenie przeprowadzonej w każdym przypadku w granicach przewidzianych przez RODO.
Wskazówki wynikające z wytycznych
W wytycznych określono 5-etapową metodologię obliczania wysokości kary.
1. Po pierwsze, organy ochrony danych muszą ustalić, czy dana sprawa dotyczy jednego lub większej liczby przypadków zachowania podlegającego sankcjonowaniu i czy doprowadziły one do jednego lub wielu naruszeń. Celem jest wyjaśnienie, czy wszystkie naruszenia lub tylko niektóre z nich mogą zostać ukarane karą pieniężną.
2. Po drugie, organy ochrony danych muszą opierać się na punkcie wyjścia do obliczenia kary pieniężnej, dla którego EROD zapewnia zharmonizowaną metodę.
3. Po trzecie, organy ochrony danych muszą wziąć pod uwagę czynniki obciążające lub łagodzące, które mogą zwiększyć lub zmniejszyć kwotę kary pieniężnej, w odniesieniu do których EROD zapewnia spójną interpretację.
4. Czwartym krokiem jest określenie maksymalnych pułapów kar pieniężnych określonych w art. 83 ust. 4–6 RODO oraz zapewnienie, że kwoty te nie zostaną przekroczone.
5. W piątym i ostatnim etapie organy ochrony danych muszą przeanalizować, czy obliczona kwota końcowa spełnia wymogi dotyczące skuteczności, odstraszającego charakteru
i proporcjonalności, czy też konieczne są dalsze korekty kwoty.
Po konsultacjach publicznych zostanie przyjęta ostateczna wersja wytycznych, z uwzględnieniem informacji zwrotnych od zainteresowanych stron, i będzie obejmowała tabelę odniesienia zawierającą szereg punktów wyjścia do obliczenia kary pieniężnej, która koreluje wagę naruszenia z obrotem przedsiębiorstwa.
Treść Wytycznych w sprawie obliczania administracyjnych kar pieniężnych na podstawie RODO (Guidelines 04/2022 on the calculation of administrative fines under the GDPR).