Otázka: Existujú nejaké tabuľky pre výpočet prípadnej pokuty za porušenie pravidiel ochrany osobných údajov? Alebo nejaké vodítka? Na našu firmu totiž jedna dotknutá osoba podala sťažnosť na Úrad na ochranu osobných údajov a zaujímalo by nás, na čo sa pripraviť resp. čo očakávať, ak by nám mala byť udelená pokuta.
Odpoveď: Nie, nie sú zverejnené žiadne jednoznačné pravidlá alebo tabuľky, podľa ktorých by ste si vedeli predom vypočítať výšku hroziacej pokuty. Čo by vám však mohlo pomôcť je, že práve v týchto dňoch Európsky výbor pre ochranu údajov (EDPB) prijal nové usmernenia 04/2022 o výpočte správnych pokút za porušenie pravidiel všeobecného nariadenia o ochrane údajov. Dokument vstúpil na šesť týždňov do verejnej diskusie. Pripomienky tak môžu jednotlivé subjekty zasielať do 27. júna 2022. Dokument je pomerne rozsiahly (42 strán) a zajímavý z pohľadu rôznych faktorov, ktoré majú vplyv na výšku pokuty.
Usmernenia sa budú vzťahovať na všetkých prevádzkovateľov a sprostredkovateľov. Ich cieľom je zosúladiť metodiku, ktorú dozorné orgány členských krajín používajú pri výpočte výšky pokuty. Nové usmernenia dopĺňajú už predtým prijaté usmernenia (WP253), ktoré sa týkajú používania a stanovovania správnych pokút na účely nariadenia 2016/679.
Metodika výpočtu výšky pokuty pozostáva z piatich krokov, ktorých závery majú vplyv na jej záverečnú výšku.
Pozreli sme sa na ne podrobnejšie, veríme, že by vám mohli pomôcť, keďže, ako píšete, dotknutá osoba zatiaľ podala “len” sťažnosť.
1. V prvom kroku sa identifikujú spracovateľské operácie v posudzovanom prípade a zistí sa, či ide o jedno a to isté sankcionovateľné konanie alebo o viacero konaní, a to s ohľadom na článok 83 ods. 3 GDPR.
2. V druhom kroku sa určí tzv. východisko pre ďalší výpočet výšky pokuty. Toto sa bude vykonávať na základe:
a) kategorizácie porušenia v GDPR,
b) posúdenia závažnosti porušenia vzhľadom na okolnosti prípadu
c) a posúdením obratu prevádzkovateľa alebo sprostredkovateľa.
2.1 Aká je kategorizácia porušenia podľa povahy do čl. 83 ods. 4 až ods. 6?
Do kategorizácie porušenia vstupujú odpovede na otázky:
- Či ide o porušenie podľa čl. 83 ods. 4, ktoré sa trestajú pokutou max. do výšky 10.000.000 alebo 2% ročného obratu (podľa toho, ktorá suma je vyššia).
Napríklad porušenia povinností podľa čl. 8, 11, 25 až 39 a 42 a 43 GDPR. Sem patria napríklad nedostatky v spolupráci medzi prevádzkovateľom a sprostredkovateľom, prijatie nedostatočných bezpečnostných opatrení pre ochranu spracúvaných osobných údajov a pod. - Či ide o porušenie podľa čl. 83 ods. 5 a 6, ktoré je sankcionovateľné až do výšky 20.000.000 alebo 4% ročného obratu
Sem patria napríklad porušenia základných zásad spracúvania, vrátane podmienok súhlasu, nedostatočný výkon práv dotknutých osôb, prenos osobných údajov v rozpore s čl. 44 až 49 a pod. Tieto pochybenia majú z hľadiska určovania výšky pokuty vyššiu váhu, ako porušenia podľa čl. 83 ods. 4 GDPR, keď sa predpokladá uloženie vyššej pokuty.
2.2 Aké je hodnotenie závažnosti porušenia?
Hodnotenie závažnosti prebieha až v niekoľkých krokoch:
2.2.1 Hodnotenie povahy, závažnosti a trvania porušenia podľa čl. 83 ods. 2, ktoré pozostáva z týchto častí:
a) určenie povahy porušenia
b) určenie závažnosti porušenia
- povaha spracúvania,
- rozsah spracúvania (napríklad pôsobnosť prevádzkovateľa na celoštátnej úrovni zvyšuje váhu rozsahu spracúvania),
- účel spracúvania osobných údajov,
- počet dotknutých osôb, ktoré sú, alebo môžu byť poškodené (napríklad počet osôb, ktorých prevádzkovateľ osobné údaje nezákonne spracúval oproti celkovému počtu osôb v populácii). Pre účely posúdenia vplyvu je napríklad za kritickú úroveň považované 1 promile z celkovej populácie, preto môžeme očakávať podobné hranice pri určovaní závažnosti porušenia,
- výška spôsobenej škody a rozsah, akým môže konanie ovplyvniť práva a slobody jednotlivcov (napríklad nemajetková ujma spôsobená obťažovaním – nevyžiadané marketingové telefonáty)
c) určenie trvanie porušenia – čím dlhšie porušenie trvá, tým má porušenie väčšiu váhu a možno očakávať vyššiu pokutu (napríklad porušenie, resp. konanie prevádzkovateľa, ktorým porušuje pravidlá GDPR a trvá niekoľko rokov má významnejšiu váhu, ako to, ktoré trvá len pár dní – napríklad v dôsledku bezpečnostného incidentu)
2.2.2 Hodnotenie úmyselného alebo nedbanlivostného charakteru