Już kiedyś pisałem o tym, „jak będą działały kary RODO”, jak będą naliczane, jakie aspekty techniczne można brać pod uwagę przy takiej kalkulacji. Ten opis wciąż się trzyma, ale tym razem wreszcie europejskie organy ochrony danych zgodziły się na wspólne podstawy, jakieś zasady. Ponieważ zgodnie z RODO zasady te powinny być spójne, w całej Europie. Czy można to w praktyce ujednolicić bez powodowania przewrotów regulacyjnych lub (wewnętrznych) politycznych?
Po co są kary RODO
Generalnie rola grzywny ma charakter naprawczy. Powinna być skalibrowana tak, aby była korektą, ale także odstraszaniem. Nie ma minimalnych kar. Istnieją maksymalne kary (20 mln/10 mln EUR lub „do” 2%/4% obrotu).
Zgodnie z art. 83 ust. 2 RODO bierze się pod uwagę:
e)wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
f) stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
g)kategorie danych osobowych, których dotyczyło naruszenie;
h) sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
i) jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
j) stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz
k) wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.
Proces analizy i ustalania kary
Aby zastosować to w praktyce, Europejska Rada Ochrony Danych sugeruje podzielenie sztuki nakładania kar na kilka etapów:
1) Identyfikacja operacji przetwarzania, 2) Znalezienie punktu wyjścia do dalszych obliczeń na podstawie oceny klasyfikacji, 3) Ocena warunków obciążających i okoliczności łagodzących 4) Identyfikacja odpowiednich prawnie wartości maksymalnych dla różnych operacji przetwarzania. 5) Analiza, czy ostateczna wysokość naliczonej kary spełnia wymogi skuteczności, odstraszania i proporcjonalności.
Jest to więc podejście wieloetapowe. Ogólnie, to ta opinia jest mocno legalistyczna i niezbyt przyjazna dla zwykłego odbiorcy.
Przy ocenie „poważności naruszenia” na szczególną uwagę należy zwrócić przy określaniu liczby osób, których dane dotyczą, co może obejmować również osoby potencjalnie dotknięte naruszeniem. Ogólnie rzecz biorąc, więcej osób/użytkowników, których dane dotyczą, powinno oznaczać wyższą grzywnę. Nie podano jednak, jak dokładnie wpływa to na wysokość. Na przykład, jaka jest różnica między 100, 50000 i 10 milionami osób? Można sobie wyobrazić, że w 2022 roku można by mniej więcej powiedzieć, jaki jest czynnik liczby użytkowników przy wyliczaniu wartości końcowej... Jednak wydaje się, że tak nie jest, tzn. nie zrobiono tego. Z jednej strony ja to rozumiem – organy ochrony danych nie chcą wiązać sobie rąk, a system musi być “elastyczny” i „adaptowalny”. Z drugiej strony – taki komunikat znacznie poprawiłby przejrzystość w UE procesu ochrony danych.
W podobny sposób mówi się również, że „organ nadzorczy może generalnie przypisać większą wagę naruszeniu o dłuższym czasie trwania”. Zatem, co to dokładnie, konkretnie, oznacza? Nie otrzymamy odpowiedzi.
Oczywiście wszystko jest „w zależności od okoliczności sprawy”. Konkretnej sprawy, konkretnego przypadku. Ale czasami mam wrażenie, że to podkreślanie potrzeby “indywidualnego podejścia” to trochę zamula wodę. Czy to jest naprawdę konieczne?
W dalszej części czytamy, że „RODO wyraźnie wskazuje rodzaje danych, które zasługują na szczególną ochronę, a zatem bardziej rygorystyczną reakcję w zakresie kar”. Pełna zgoda, np. informacje o religii, niepełnosprawności itp. są wrażliwe i chronione. Jak to wpływa na grzywnę? Czy to sprawia, że ten współczynnik grzywny jest 2x wyższy? 4x? Znowu – nie wiemy.
Ale są i pewne wyjaśnienia (wykraczające poza tekst samego RODO). Na przykład:
„Przy obliczaniu kary administracyjnej za naruszenia o niskim stopniu, organ nadzorczy określi kwotę wyjściową do dalszych obliczeń od 0 do 10% obowiązującego ustawowego maksimum”
„Przy obliczaniu naruszeń o średnim stopniu, organ nadzorczy określi kwotę początkową do dalszych obliczeń między 10 a 20% obowiązującego maksimum prawnego.”
„Przy obliczaniu grzywny administracyjnej za naruszenia o wysokim stopniu wagi, organ określi kwotę początkową do dalszych obliczeń między 20 a 100% obowiązującego maksimum prawnego”.
Są to więc przedziały, trzy regiony: [0,10], [10, 20], [10, 100]. W związku z tym niski poziom poważności może czasami oznaczać maksymalną pieniężną grzywnę ograniczoną do 2 mln EUR. Podobne obliczenia wykonujemy również w przypadku progu obrotu.
Podsumowanie
Ogólnie rzecz biorąc, ta opinia jest pouczająca i przydatna. Jednak przeszliśmy przez Covid-19, teraz jesteśmy w czasie wojny w Europie. Byłoby miło mieć opinie, które można podjąć w takich czasach kryzysu, które są actionable, konkretne. Nie jestem jednak pewien, czy ten przewodnik EROD dotyczący grzywien spełnia to…. Aczkolwiek ocywiście w pełni potwierdza, że „RODO nie wyznacza stałych kwot dla określonych naruszeń”.
Oczywiście można się zastanawiać, że ten przewodnik jest przeznaczony dla organów ochrony danych, a nie podmiotów przetwarzających/administratorów danych… Ale skoro opinia jest upubliczniana, jasne jest, że konsumentem końcowym powinni być również przetwarzający, administratorzy, przemysł prawniczy, konsultanci, itd..
Z drugiej strony muszę przyznać, że ta konkretna opinia nie jest nastawiona na kwestie techniczne – to raczej domena legalistyczna, nadzorcza i egzekucyjna.
Rozumiem, że niektóre organy ochrony danych chciały stworzyć pewnego rodzaju równania/wzory (nawet jeśli tylko „wskazujące”) obliczające wysokość kar na podstawie jakichś parametrów, ale wydaje się, że sprawa jest być może zbyt trudna do opisania w ten sposób?
Comments is loading...