Evropski odbor za zaštitu podataka o ličnosti usvojio smernice za odmeravanje visine novčanih kazni
14. jun 2023.Evropski odbor za zaštitu podataka o ličnosti („EDPB“) je nedavno usvojio konačnu verziju Smernica o utvrđivanju administrativnih novčanih kazni shodno GDPR-u („Smernice“), koje imaju za cilj da usaglase metodologiju koju organi za zaštitu podataka o ličnosti („DPA“) koriste za odmeravanje visine novčanih kazni zbog povrede odredaba GDPR-a.
Ove Smernice dopunjuju ranije usvojene Smernice o primeni i određivanju administrativnih kazni shodno GDPR-u, čiji je fokus na okolnostima u kojima se izriču novčane kazne.
Kao takve, Smernice predstavljaju važan dodatak uspostavljanju efikasnije saradnje između lokalnih DPA u slučajevima koji imaju prekogranični karakter, što je svakako jedan od strateških prioriteta za EDPB.
GDPR
Shodno odredbama GDPR, odmeravanje visine kazne je u diskrecionoj nadležnosti postupajućeg organa, a u skladu sa pravilima sadržanim u GDPR.
Tako, jedan od zahteva GDPR-a u tom pogledu je da iznos kazne u svakom pojedinačnom slučaju bude proporcionalan i efikasan, odnosno da ima tzv. „odvraćajući“ karakter, pri čemu se za potrebe utvrđivanja visine kazne u obzir uzima čitav niz okolnosti. Tako, naročito se sagledavaju priroda povrede, tj. njena težina i trajanje, karakteristike učinioca, tj. stepen odgovornosti i saradnje, broj lica na koja se podaci odnose i vrsta podataka o ličnosti, ali i sve druge olakšavajuće i otežavajuće okolnosti.
Pored navedenog, iznos kazne u svakom slučaju ne može preći maksimum utvrđen odredbama GDPR-a.
Drugim rečima, kvantifikacija iznosa kazne je zasnovana na proceni specifičnih okolnosti svakog konkretnog slučaja, a u okviru parametara propisanih GDPR-om.
Smernice
Smernice u tom pogledu uspostavljaju metodologiju od pet koraka:
- Kao prvo, potrebno je identifikovati radnje obrade preduzete u konkretnom slučaju, te ispitati postojanje uslova za primenu odredbe člana 83(3) GDPR-a (Ako rukovalac ili obrađivač namerno ili iz nemara prilikom iste obrade ili s njom povezanih obrada prekrši više odredaba ove uredbe, ukupan iznos administrativne novčane kazne ne sme biti veći od iznosa utvrđenog za najteže kršenje).
- Drugo, neophodno je identifikovati polaznu tačku za dalje odmeravanje iznosa novčane kazne, što se vrši klasifikacijom povrede u smislu GDPR-a (da li je reč o povredi iz odredbe člana 83(4) ili 83(5) i (6) GDPR-a), a potom i ocenjivanjem povrede u smislu njene prirode, ozbiljnosti i trajanja.
- Treći korak je ocena olakšavajućih i otežavajućih okolnosti u pogledu prošlog ili sadašnjeg ponašanja rukovaoca, odnosno obrađivača, te povećanje ili smanjenje kazne shodno tome.
- Sledeći, tj. četvrti korak je identifikovanje relevantnih zakonskih maksimuma kazne za različite povrede, s obzirom da, kako je to prethodno pomenuto, odmereni iznos kazne ne može biti veći od zakonom propisanog maksimalnog iznosa.
- Na kraju, potrebno je analizirati da li odmereni iznos kazne ispunjava zahteve proporcionalnosti i efikasnosti, tj. da li ima pomenuti „odvraćajući“ karakter, te se iznos kazne i dalje može prilagoditi u skladu sa tim (naravno, bez prekoračenja zakonskog maksimuma).
Prethodno navedeni koraci, dakle, predstavljaju uputstvo u pogledu toga na koji način i koje sve okolnosti svakog konkretnog slučaja je potrebno pažljivo sagledati kako bi odmerena kazna imala odgovarajući karakter, odnosno kako bi se njome postigao željeni cilj, a rezultati praktične primene Smernica će svakako biti aktivno i kontinuirano praćeni i analizirani od strane EDPB-a.
Ovaj članak je isključivo informativne prirode i ne predstavlja pravni savet. Ukoliko su Vam potrebne dodatne informacije, budite slobodni da nas kontaktirate.