Comitetul European pentru Protecția Datelor (EDPB) propune un nou ghid pentru calcularea amenzilor aplicabile în cazul încălcărilor prevederilor GDPR, care ar putea conduce la creșterea nivelurilor acestora pe de o parte și la posibilitatea anticipării scenariului de amendă aplicabil pe de altă parte. Ghidul se află în dezbatere publică până la 27 iunie.
Deși intenția declarată a EDPB este de a asigura aplicarea unitară a prevederilor GDPR de către autoritățile de supraveghere europene, ghidul nu este obligatoriu și cuprinde principii și mecanisme orientative de individualizare a sancțiunilor. Autoritățile naționale de supraveghere au libertatea de a aplica acest ghid sau de a utiliza o metodologie similară. În plus, anumite prevederi ale ghidului nu sunt aplicabile în cazul în care legislația națională prevede un regim sancționator diferit pentru autoritățile publice (așa cum se întâmplă, de altfel, în România).
În ciuda acestor limitări, ghidul propus de EDPB prezintă detaliat principiile de analiză și sancționare a posibilelor încălcări ale GDPR și este de așteptat ca autoritățile de supraveghere naționale să aplice recomandările acestei autorități europene.
Este deja cunoscut faptul că GDPR se aplică oricărei entități care prelucrează date cu caracter personal, indiferent de mărime, obiect de activitate, volum de date cu caracter personal prelucrate sau orice alte criterii asemănătoare. Prin urmare, EDPB consideră că este echitabil ca diferențele de mărime și evident, putere financiară, dintre entitățile care trebuie să respecte și să aplice GDPR, să fie reflectate prin aplicarea unui punct comun de plecare în individualizarea amenzilor, respectiv cifra de afaceri.
Astfel, ghidul stabilește mai multe praguri ale cifrei de afaceri în funcție de care autorităților naționale de supraveghere le este recomandabil să procedeze la individualizarea și aplicarea amenzilor administrative în temeiul GDPR, respectiv:
- pentru entitățile cu o cifră de afaceri mai mică sau egală cu 2 milioane de euro, calculul amenzii ar trebui să pornească de la o sumă reprezentând 0.2% din cifra de afaceri;
- pentru entitățile cu o cifră de afaceri mai mică sau egală cu 10 milioane de euro, calculul amenzii ar trebui să pornească de la o sumă reprezentând 0.4% din cifra de afaceri;
- pentru entitățile cu o cifră de afaceri mai mică sau egală cu 50 milioane de euro, calculul amenzii ar trebui să pornească de la o sumă reprezentând 2% din cifra de afaceri;
- pentru entitățile cu o cifră de afaceri cuprinsă între 50 de milioane de euro și până la 100 milioane de euro, calculul amenzii ar trebui să pornească de la o sumă reprezentând 10% din cifra de afaceri;
- pentru entitățile cu o cifră de afaceri cuprinsă între 100 de milioane de euro și până la 250 milioane de euro, calculul amenzii ar trebui să pornească de la o sumă reprezentând 20% din cifra de afaceri;
- pentru entitățile cu o cifră de afaceri de peste 250 milioane de euro, calculul amenzii ar trebui să pornească de la o sumă reprezentând 50% din cifra de afaceri.
Ca regulă, principiul statuat de EDPB este că valoarea amenzii este mai mare în cazul entităților cu cifră de afaceri mai mare, motivat cel mai probabil de faptul că, în cazul acestor entități, prelucrările de date cu caracter personal afectează într-o măsură mai mare drepturile și libertățile persoanelor vizate.
Trebuie precizat că aceste niveluri de la care se poate pleca cu ocazia individualizării amenzii nu reprezintă sume fixe, mai ales că GDPR nu indică un cuantum minim al amenzilor care pot fi aplicate. În plus, autoritățile de supraveghere pot să stabilească cuantumul amenzii într-un interval cuprins între minimul posibil (care poate fi chiar zero, dacă nu sunt aplicate pragurile minime recomandate de EPDB, așa cum am arătat mai sus) și maximul admisibil.
Investigarea în cinci pași a încălcărilor GDPR
Ghidul este redactat pornind de la principiul că amenzile administrative aplicate în temeiul GDPR trebuie să fie eficace, proporționale și disuasive. Ca atare, abordarea EDPB indică cinci pași care ar trebui urmați de autoritățile de supraveghere atunci când investighează o posibilă încălcare a prevederilor legale aplicabile în materia protecției datelor cu caracter personal sancționabilă conform GDPR, respectiv:
- identificarea activităților de prelucrare incidente situației analizate și evaluarea aplicabilității prevederilor GDPR privind încălcările sancționabile, precum și stabilirea existenței intenției de încălcare, respectiv a neglijenței entității investigate;
- identificarea bazei legale de aplicare a amenzii prin raportare la încălcările prevăzute de GDPR, respectiv dacă fapta este sancționată cu amendă de 10 milioane de euro sau 2% din cifra de afaceri globală sau, dimpotrivă cu amendă de 20 milioane de euro sau 4% din cifra de afaceri globală, stabilirea gradului de pericol și raportarea la cifra de afaceri a entității investigate;
- evaluarea circumstanțelor agravante sau a celor atenuante, analizând comportamentul trecut sau prezent al entității investigate, cu consecința creșterii, respectiv a diminuării corespunzătoare a amenzii;
- stabilirea cuantumului maxim al amenzii, indiferent dacă încălcarea este rezultatul uneia sau a mai multor activități de prelucrare; și
- analizarea caracterului eficace, proporțional și disuasiv al amenzii finale, cu posibilitatea creșterii, respectiv a diminuării acesteia în mod corespunzător.
Așadar, înainte de stabilirea efectivă a cuantumului amenzii, autoritățile de supraveghere trebuie să analizeze circumstanțele de fapt ale încălcării și să procedeze la încadrarea într-una dintre situațiile sancționate de GDPR. În concret, circumstanțele de fapt pot reprezenta o singură încălcare sau mai multe, în această din urmă situație fiind posibilă aplicarea unei amenzi a cărei valoare nu poate depăși cuantumul maxim prevăzut de GDPR pentru cea mai gravă încălcare.
Urmare a evaluării naturii, gravității și duratei încălcării, dar și a caracterului său intenționat sau neglijent, GDPR impune autorităților de supraveghere să analizeze eventualele circumstanțe agravante sau atenuante aplicabile situației de fapt. Astfel de circumstanțe pot include:
- orice acțiuni întreprinse de entitatea investigată pentru a reduce prejudiciile cauzate persoanelor vizate;
- gradul de responsabilitate cu privire la măsurile tehnice și organizatorice implementate;
- eventualele încălcări anterioare;
- gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea și a atenua posibilele efecte negative ale acesteia;
- modul în care încălcarea a fost adusă la cunoștința autorității de supraveghere;
- modul în care entitatea a dus la îndeplinire măsurile dispuse de autoritatea de supraveghere cu privire la încălcarea investigată;
- aderarea la coduri de conduită adecvate sau la mecanisme de certificare aprobate;
- orice alte circumstanțe agravante sau atenuante.
Dacă în cazul stabilirii cuantumului minim de la care autoritățile de supraveghere ar trebui să pornească cu ocazia individualizării amenzii ghidul face propuneri concrete de procente aplicabile, în cazul circumstanțelor agravante sau atenuante nu sunt indicate nici modalități concrete de evaluare, dar nici procente clare care ar putea fi aplicate. Prin urmare, stabilirea cuantumului final al amenzii va ține seama de toate elementele analizate în cursul investigației, aprecierea finală aparținând autorității de supraveghere competente.
Fără îndoială, cele succint prezentate anterior sunt de natură să creeze o practică unitară la nivelul autorităților de supraveghere europene în contextul investigării și sancționării încălcărilor GDPR cel puțin din perspectiva nivelurilor minime de la care ar trebui să plece cu ocazia stabilirii amenzilor finale. Rămâne însă de văzut cum va evolua conținutul ghidului propus de EDPB în această etapă de consultare publică. Un lucru este însă cert, intenția de reglementare a modului în care sunt investigate și sancționate încălcările GDPR reprezintă o preocupare la nivel european, scopul urmărit fiind de a asigura finalitatea corespunzătoare a regulilor aplicabile domeniului protecției datelor cu caracter personal.