„Ce amendă risc în cazul în care nu mă conformez regulilor impuse de GDPR?” este o întrebare des adresată de către operatorii de date care, uneori, aleg să nu respecte dispozițiile impuse de legislația în materia protecției datelor personale cu gândul că șansele ca aceștia să fie sancționați sunt minime. Cu toate acestea, principiul prevenției este pe deplin aplicabil și în materia protecției datelor cu caracter personal, iar operatorii de date nu trebuie să ignore faptul că orice persoană vizată ale cărei date fac obiectul prelucării de către aceștia se poate afla, la un moment dat, în postura de a depune o plângere la Autoritatea de supraveghere (ANSPDCP), care va derula o investigație amănunțită la nivelul acestor operatori de date.
Fiecare stat membru la nivelul căruia este aplicabil Regulamentul General privind Prelucrarea Datelor Personale are dreptul de a stabili propriile criterii pentru aprecierea cuantumului amenzilor aplicate operatorilor de date nediligenți, avându-se în vedere condițiile economice și juridice specifice fiecărui astfel de stat membru. Din acest motiv cuantumul sancțiunilor în materia GDPR diferă de la un stat la altul, autoritățile abilitate acționând într-un mod mai mult sau mai puțin discreționar.
Pentru a veni atât în sprijinul operatorilor de date, cât și al Autorităților de supraveghere de la nivelul statelor membre, Comitetul European pentru Protecția Datelor (European Data Protection Board) a adoptat în luna mai forma finală a Ghidului 04/2022 privind stabilirea cuantumului amenzilor în materia protecției datelor (în continuare ,,Ghidul’’).
Acest Ghid a fost conceput cu scopul de a ajuta autoritățile de supraveghere din statele membre să aplice într-un mod mai previzibil și, prin urmare, mai transparent contravenții operatorilor de date care nu respectă prevederile Regulamentului nr. 2016/679 privind protecţia persoanelor fizice în ceea ce priveşte prelucrarea datelor cu caracter personal şi privind libera circulaţie a acestor date (denumit în continuare ,,GDPR’’). De asemenea, această predictibilitate adusă de noul Ghid în discuție vine și în beneficiul operatorilor de date care pot anticipa acum maximele până la care pot ajunge amenzile de care sunt pasibili în cazul nerespectării GDPR.
Pentru a asigura o practică comunitară mai echilibrată în ce privește calculul amenzilor, European Data Protection Board, prin acest Ghid, pune la dispoziție autorităților din statele membre o metodologie specifica, însă cu titlu de recomandare, iar nu ca obligație. Această metodologie prezentată în Ghid cuprinde cinci etape care trebuie parcurse în procesul de stabilire a cuantumului unei amenzi GDPR:
- Identificarea operațiunilor de prelucrare și evaluarea aplicării art. 83 (3) din GDPR.
Art. 83 alin. (3) GDPR se referă la ,,cazul în care un operator sau o persoană împuternicită de operator încalcă în mod intenţionat sau din neglijenţă, pentru aceeaşi operaţiune de prelucrare sau pentru operaţiuni de prelucrare conexe, mai multe dispoziţii din prezentul regulament’’, prevăzând umrătoarele: ,,cuantumul total al amenzii administrative nu poate depăşi suma prevăzută pentru cea mai gravă încălcare’’.
- Identificarea limitei minime a sancțiunii contravenționale, pornind de la:
- clasificarea oferită prin art. 83 (4) – (6) din GDPR;
- gravitatea încălcării dispozițiilor GDPR, conform art. 82 (2) lit.a), b) și g) din GDPR;
- cifra de afaceri (globală totală) a operatorului sancționabil, element ce ar trebui luat în calcul dacă se dorește aplicarea unei amenzi care chiar să fie efectivă, proporționată și disuasivă.
- Evaluarea circumstanțelor agravante și atenuante privind conduita din trecut ori cea actuală a operatorului/ persoanei împuternicite de operator și, în consecință, majorarea sau reducerea amenzii. Așadar, se pune în discuție chiar noțiunea de așa-zise “antecedente” în materia GDPR ale operatorilor sancționabili, o conduită repetitiv incorectă putând atrage sancțiuni substanțial augmentate.
- Identificarea limitei maxime a cuantumului amenzii.
- Efectuarea unei analize pentru a stabili dacă valoarea finală a amenzii calculate îndeplinește cerințele de eficacitate, disuasivitate și proporționalitate, astfel cum se prevede la articolul 83 alineatul (1) GDPR.
Important de menționat este și faptul că Ghidul nu urmărește asigurarea unei practici unitare la nivel unional privind cuantumul amenzilor aplicate în baza GDPR, ci este oferit ca o recomandare, un instrument de sprijin al autorităților în activitatea de sancționare, astfel încât acestea să se asigure asupra faptului că sancțiunile contravenționale aplicate sunt cât mai veridice în vederea responsabilizării operatorilor care nu respectă GDPR.
Astfel, autoritățile naționale de supraveghere vor avea în continuare libertatea de apreciere a cuantumului amenzilor aplicate, respectând prevederile legale și principiile de eficacitate, disuasivitate și proporționalitate aplicabile în materia protecției datelor cu caracter personal.
Avocații din cadrul echipei noastre dețin experiență relevantă în materia investigațiilor conduse de ANSPDCP, astfel că, în cazul unei anchete a Autorității de supraveghere, aceștia pot oferi consultanță juridică de specialitate, respectiv asistare în vederea obținerii unor rezultate favorabile.
Avocat Mihaela Bălău
