Europski odbor za zaštitu podataka (European Data Protection Board), usvojio je Smjernice 04/22 kako bi uskladio metodologiju koju nadzorna tijela koriste pri izračunu iznosa kazne. Izračun iznosa novčane kazne spada u ovlasti nadzornog tijela koje tu zadaću mora obavljati u skladu s pravilima Uredbe (EU) 2016/679 Europskog Parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka). U skladu s time, Opća uredba propisuje da izricanje kazne mora biti u svakom pojedinačnom slučaju učinkovito, proporcionalno i odvraćajuće. Također, Opća uredba o zaštiti podataka osigurava usklađivanje novčanih kazni između država članica.
Voditelji obrade i izvršitelji obrade imaju povećane odgovornosti kako bi osigurali djelotvornu zaštitu ispitanika. S druge strane, nadzorna tijela imaju ovlast osigurati da se načela Opće uredbe o zaštiti podataka, kao i prava ispitanika, poštuju u skladu s duhom same Opće uredbe.
Prema Općoj uredbi o zaštiti podataka, svaka država članica može postaviti pravila o tome hoće li i u kojoj mjeri će izricati upravne novčane kazne tijelima javne vlasti i tijelima s poslovnim nastanom u određenoj državi članici.
Za ponašanje koje krši pravila Opće uredbe, ista ne predviđa minimalnu kaznu, već samo maksimalne iznose. Novčana kazna se može izračunati vaganjem svih elemenata, a u konačnici mora biti dovoljna uzevši u obzir sve parametre, ali ne smije prekoračiti zakonom propisan maksimum.
Europski odbor za zaštitu podataka, osmislio je metodologiju za izračun novčane kazne, kroz sljedeće korake:
- Identificiranje postupaka obrade u predmetu i ocjenjivanje primjene čl. 83. st. 3. Opće uredbe („Ako voditelj obrade ili izvršitelj obrade za istu ili povezane obrade namjerno ili iz nepažnje prekrši nekoliko odredbi ove Uredbe, ukupan iznos novčane kazne ne smije biti veći od administrativnog iznosa utvrđenog za najteže povrede“).
- Pronalaženje početne točke za daljnji izračun na temelju procjene
- Klasifikacije u članku 83. stavku 4.-6. Opće uredbe o zaštiti podataka
- Ozbiljnosti povrede u skladu s člankom 83. stavkom 2. točkama a, b i g Opće uredbe
- Prometa poduzeća kao jednog relevantnog elementa koji treba uzeti u obzir s ciljem izricanja učinkovite, odvraćajuće i razmjerne novčane kazne
- Procjena otegotnih i olakotnih okolnosti povezanih s prošlim ili sadašnjim ponašanjem voditelja ili izvršitelja obrade i u skladu s time se kazna povećava ili smanjuje
- Identificiranje relevantnih zakonskih maksimuma za različite aktivnosti obrade
Analiza ispunjava li konačan iznos novčane kazne zahtjeve učinkovitosti, odvraćanja i proporcionalnosti
Pod određenim okolnostima, nadzorno tijelo može donijeti odluku da se određeni prekršaji mogu kazniti novčanom kaznom u unaprijed određenom, fiksnom iznosu. Donošenje te odluke predstavlja ovlast nadzornog tijela da odluči koje se vrste kršenja kvalificiraju kao takve, uzevši u obzir njihovu prirodu, težinu i trajanje. Ako je donošenje takve odluke zabranjeno ili je na bilo koji drugi način u sukobu sa zakonima druge države članice, primjena takvih fiksnih iznosa ne oslobađa dužnosti primjene i dosljednosti Opće uredbe o zaštiti podataka.
Prije nego što dođe do izračunavanja novčane kazne na temelju metodologije predmetnih smjernica, važno je razmotriti koja su ponašanja (činjenične okolnosti u vezi s ponašanjem) i povrede (apstraktni pravni opisi onoga što je kažnjivo) doveli do toga. Naime, određeni slučaj može uključivati okolnosti koje bi se mogle smatrati jednim te istim ili zasebnim postupcima. Također, moguće je da bi jedno te isto ponašanje moglo dovesti do niza različitih povreda ako pripisivanje jedne povrede isključuje pripisivanje druge povrede ili se može pripisati međusobno. Drugim riječima, postoje slučajevi istodobnih povreda. Ovisno o pravilima ponašanja, to može dovesti do različitih izračuna novčane kazne.
Stoga, najprije je važno utvrditi:
- Trebaju li se okolnosti smatrati jednim ili višestrukim kažnjivim ponašanjem
- U slučaju jednog kažnjivog ponašanja, dovodi li to ponašanje do jednog ili više prekršaja
- U slučaju jednog ponašanja koje dovodi do višestrukih povreda, isključuje li pripisivanje jedne povrede pripisivanje druge povrede ili se oni trebaju pripisati jedno drugom
Nadalje, gotovo sve obveze voditelja obrade i izvršitelja obrade u skladu s Općom uredbom o zaštiti podataka kategoriziraju se sukladno njihovoj prirodi u odredbama članka 83. stavka 4. Opće uredbe o zaštiti podataka s jedne strane, i povreda kažnjivih u skladu s člankom 83. stavcima 5. i 6. Opće uredbe o zaštiti podataka. Prva kategorija povreda kažnjiva je novčanom kaznom od najviše 10 milijuna eura ili 2% godišnjeg prometa poduzetnika, ovisno o tome što je više, a druga kategorija je kažnjiva novčanom kaznom od 20 milijuna eura ili 4% godišnjeg prometa poduzetnika, ovisno o tome što je veće.
Ovim razlikovanjem, zakonodavac je pružio prvu naznaku ozbiljnosti povrede u apstraktnom smislu. Što je povreda teža, veća je vjerojatnost da će kazna biti veća.
Osim toga, u Općoj uredbi o zaštiti podataka predviđeno je da treba uzeti u obzir okolnosti koje ispunjavaju uvjete za ozbiljnost povrede u svakom pojedinom slučaju. Točnije, Općom uredbom o zaštiti podataka zahtijeva se da nadzorno tijelo poštuje prirodu, težinu i trajanje povrede, uzimajući u obzir prirodu, opseg ili svrhu dotične obrade, kao i broj oštećenih ispitanika, razinu štete koju su pretrpjeli i kategorije osobnih podataka na koje se povreda odnosi.
Ovisno o konkretnom slučaju, mogu postojati olakotne ili otegotne okolnosti, koje će utjecati na visinu same kazne. Prvi korak u utvrđivanju postoje li one zaista jest preispitivanje članka 83. stavka 2. točke c) koji se odnosi na „svaku radnju koju je voditelj obrade ili izvršitelj obrade poduzeo kako bi ublažio štetu koju su pretrpjeli ispitanici“. Kako je navedeno u Smjernicama W253, voditelji i izvršitelji obrade obvezni su „provesti tehničke i organizacijske mjere kako bi osigurali razinu sigurnosti primjerenu riziku, provođenje procjena učinka zaštite podataka i ublažavanje rizika koji proizlaze iz obrade osobnih podataka za prava i slobode pojedinaca. Međutim, u slučaju kršenja, voditelj ili izvršitelj obrade trebali bi činiti sve što mogu kako bi smanjili posljedice povrede za dotične osobe. U slučaju implementacije adekvatnih spomenutih mjera, kazna može biti smanjena. Isto tako, od utjecaja su i stupanj odgovornosti voditelja ili izvršitelja obrade, prethodne povrede voditelja ili izvršitelja, stupanj suradnje s nadležnim nadzornim tijelima u svrhu smanjenja štetnog utjecaja na ispitanike, usklađenost s prethodno određenim mjerama u vezi s istim predmetom…
Kao što je spomenuto na samom početku, potrebno je da administrativna kazna izrečena za povrede Opće uredbe o zaštiti podataka bude učinkovita, razmjerna i odvraćajuća. Drugim riječima, iznos izrečene novčane kazne prilagođen je povredi koja je počinjena u konkretnom slučaju. Europski odbor za zaštitu podataka smatra da je na nadzornim tijelima da provjeri jesu li iznosi novčane kazne u skladu s tim zahtjevima ili jesu li potrebne dodatne prilagodbe iznosa.
Općenito, novčana kazna može se smatrati učinkovitom ako služi za ostvarenje svrhe radi koje je izrečena. Načelom razmjernosti zahtijeva se da usvojene mjere ne prelaze granice onoga što je prikladno i nužno za ostvarenje ciljeva kojima se legitimno teži dotičnim zakonodavstvom. U konačnici, odvraćajuća kazna je ona koja ima zaista takav učinak. U tom pogledu, razlikuje se generalno odvraćanje (obeshrabrivanje drugih od počinjenja iste povrede u budućnosti) i posebno odvraćanje (odvraćanje adresata novčane kazne od počinjenja te iste povrede ponovno).
Ako želite saznati više, smjernice se nalaze na ovome linku.
