S-a incheiat era amenzilor “mici” in cazurile de incalcare a regulilor in materia protectiei datelor cu caracter personal?
Comitetul European pentru Protectia Datelor (EDPB) propune un nou ghid pentru calcularea amenzilor aplicabile in cazul incalcarilor prevederilor GDPR, care ar putea conduce la cresterea nivelurilor acestora pe de o parte si la posibilitatea anticiparii scenariului de amenda aplicabil pe de alta parte. Ghidul se afla in dezbatere publica pana la 27 iunie.
Desi intentia declarata a EDPB este de a asigura aplicarea unitara a prevederilor GDPR de catre autoritatile de supraveghere europene, ghidul nu este obligatoriu si cuprinde principii si mecanisme orientative de individualizare a sanctiunilor. Autoritatile nationale de supraveghere au libertatea de a aplica acest ghid sau de a utiliza o metodologie similara. In plus, anumite prevederi ale ghidului nu sunt aplicabile in cazul in care legislatia nationala prevede un regim sanctionator diferit pentru autoritatile publice (asa cum se intampla, de altfel, in Romania).
In ciuda acestor limitari, ghidul propus de EDPB prezinta detaliat principiile de analiza si sanctionare a posibilelor incalcari ale GDPR si este de asteptat ca autoritatile de supraveghere nationale sa aplice recomandarile acestei autoritati europene.
Este deja cunoscut faptul ca GDPR se aplica oricarei entitati care prelucreaza date cu caracter personal, indiferent de marime, obiect de activitate, volum de date cu caracter personal prelucrate sau orice alte criterii asemanatoare. Prin urmare, EDPB considera ca este echitabil ca diferentele de marime si evident, putere financiara, dintre entitatile care trebuie sa respecte si sa aplice GDPR, sa fie reflectate prin aplicarea unui punct comun de plecare in individualizarea amenzilor, respectiv cifra de afaceri.
Astfel, ghidul stabileste mai multe praguri ale cifrei de afaceri in functie de care autoritatilor nationale de supraveghere le este recomandabil sa procedeze la individualizarea si aplicarea amenzilor administrative in temeiul GDPR, respectiv:
- pentru entitatile cu o cifra de afaceri mai mica sau egala cu 2 milioane de euro, calculul amenzii ar trebui sa porneasca de la o suma reprezentand 0.2% din cifra de afaceri;
- pentru entitatile cu o cifra de afaceri mai mica sau egala cu 10 milioane de euro, calculul amenzii ar trebui sa porneasca de la o suma reprezentand 0.4% din cifra de afaceri;
- pentru entitatile cu o cifra de afaceri mai mica sau egala cu 50 milioane de euro, calculul amenzii ar trebui sa porneasca de la o suma reprezentand 2% din cifra de afaceri;
- pentru entitatile cu o cifra de afaceri cuprinsa intre 50 de milioane de euro si pana la 100 milioane de euro, calculul amenzii ar trebui sa porneasca de la o suma reprezentand 10% din cifra de afaceri;
- pentru entitatile cu o cifra de afaceri cuprinsa intre 100 de milioane de euro si pana la 250 milioane de euro, calculul amenzii ar trebui sa porneasca de la o suma reprezentand 20% din cifra de afaceri;
- pentru entitatile cu o cifra de afaceri de peste 250 milioane de euro, calculul amenzii ar trebui sa porneasca de la o suma reprezentand 50% din cifra de afaceri.
Ca regula, principiul statuat de EDPB este ca valoarea amenzii este mai mare in cazul entitatilor cu cifra de afaceri mai mare, motivat cel mai probabil de faptul ca, in cazul acestor entitati, prelucrarile de date cu caracter personal afecteaza intr-o masura mai mare drepturile si libertatile persoanelor vizate.
Trebuie precizat ca aceste niveluri de la care se poate pleca cu ocazia individualizarii amenzii nu reprezinta sume fixe, mai ales ca GDPR nu indica un cuantum minim al amenzilor care pot fi aplicate. In plus, autoritatile de supraveghere pot sa stabileasca cuantumul amenzii intr-un interval cuprins intre minimul posibil (care poate fi chiar zero, daca nu sunt aplicate pragurile minime recomandate de EPDB, asa cum am aratat mai sus) si maximul admisibil.
Investigarea in cinci pasi a incalcarilor GDPR
Ghidul este redactat pornind de la principiul ca amenzile administrative aplicate in temeiul GDPR trebuie sa fie eficace, proportionale si disuasive. Ca atare, abordarea EDPB indica cinci pasi care ar trebui urmati de autoritatile de supraveghere atunci cand investigheaza o posibila incalcare a prevederilor legale aplicabile in materia protectiei datelor cu caracter personal sanctionabila conform GDPR, respectiv:
- identificarea activitatilor de prelucrare incidente situatiei analizate si evaluarea aplicabilitatii prevederilor GDPR privind incalcarile sanctionabile, precum si stabilirea existentei intentiei de incalcare, respectiv a neglijentei entitatii investigate;
- identificarea bazei legale de aplicare a amenzii prin raportare la incalcarile prevazute de GDPR, respectiv daca fapta este sanctionata cu amenda de 10 milioane de euro sau 2% din cifra de afaceri globala sau, dimpotriva cu amenda de 20 milioane de euro sau 4% din cifra de afaceri globala, stabilirea gradului de pericol si raportarea la cifra de afaceri a entitatii investigate;
- evaluarea circumstantelor agravante sau a celor atenuante, analizand comportamentul trecut sau prezent al entitatii investigate, cu consecinta cresterii, respectiv a diminuarii corespunzatoare a amenzii;
- stabilirea cuantumului maxim al amenzii, indiferent daca incalcarea este rezultatul uneia sau a mai multor activitati de prelucrare; si
- analizarea caracterului eficace, proportional si disuasiv al amenzii finale, cu posibilitatea cresterii, respectiv a diminuarii acesteia in mod corespunzator.
Asadar, inainte de stabilirea efectiva a cuantumului amenzii, autoritatile de supraveghere trebuie sa analizeze circumstantele de fapt ale incalcarii si sa procedeze la incadrarea intr-una dintre situatiile sanctionate de GDPR. In concret, circumstantele de fapt pot reprezenta o singura incalcare sau mai multe, in aceasta din urma situatie fiind posibila aplicarea unei amenzi a carei valoare nu poate depasi cuantumul maxim prevazut de GDPR pentru cea mai grava incalcare.
Urmare a evaluarii naturii, gravitatii si duratei incalcarii, dar si a caracterului sau intentionat sau neglijent, GDPR impune autoritatilor de supraveghere sa analizeze eventualele circumstante agravante sau atenuante aplicabile situatiei de fapt. Astfel de circumstante pot include:
- orice actiuni intreprinse de entitatea investigata pentru a reduce prejudiciile cauzate persoanelor vizate;
- gradul de responsabilitate cu privire la masurile tehnice si organizatorice implementate;
- eventualele incalcari anterioare;
- gradul de cooperare cu autoritatea de supraveghere pentru a remedia incalcarea si a atenua posibilele efecte negative ale acesteia;
- modul in care incalcarea a fost adusa la cunostinta autoritatii de supraveghere;
- modul in care entitatea a dus la indeplinire masurile dispuse de autoritatea de supraveghere cu privire la incalcarea investigata;
- aderarea la coduri de conduita adecvate sau la mecanisme de certificare aprobate;
- orice alte circumstante agravante sau atenuante.
Daca in cazul stabilirii cuantumului minim de la care autoritatile de supraveghere ar trebui sa porneasca cu ocazia individualizarii amenzii ghidul face propuneri concrete de procente aplicabile, in cazul circumstantelor agravante sau atenuante nu sunt indicate nici modalitati concrete de evaluare, dar nici procente clare care ar putea fi aplicate. Prin urmare, stabilirea cuantumului final al amenzii va tine seama de toate elementele analizate in cursul investigatiei, aprecierea finala apartinand autoritatii de supraveghere competente.
Fara indoiala, cele succint prezentate anterior sunt de natura sa creeze o practica unitara la nivelul autoritatilor de supraveghere europene in contextul investigarii si sanctionarii incalcarilor GDPR cel putin din perspectiva nivelurilor minime de la care ar trebui sa plece cu ocazia stabilirii amenzilor finale. Ramane insa de vazut cum va evolua continutul ghidului propus de EDPB in aceasta etapa de consultare publica. Un lucru este insa cert, intentia de reglementare a modului in care sunt investigate si sanctionate incalcarile GDPR reprezinta o preocupare la nivel european, scopul urmarit fiind de a asigura finalitatea corespunzatoare a regulilor aplicabile domeniului protectiei datelor cu caracter personal.
Articol scris de Daniel Vinerean, Avocat Senior Coordonator D&B David si Baias si Andrei Niculescu, Avocat Colaborator.