Iar GDPR a prevăzut astfel de criterii, atât în cadrul părții obligatorii a regulamentui, cât și în cadrul preambulului (care nu are efect obligatoriu, prin sine însuși, ci doar de interpretare și coordonare).
Principiul de bază folosit în sancționarea unei companii care a încălcat GDPR este că amenzile trebuie să fie efective, proporționale și disuasive.
Nu voi recurge la o prezentare detaliată a amenzilor (poți citi mai multe despre acest aspect, aici), în acest articol, ci voi prezenta doar criteriile după care se stabilesc amenzile.
Practic, conform GDPR, următoarele criterii vor fi luate în considerare pentru aplicarea amenzilor:
- caracteristicile, gravitatea și durata încălcării: se vor lua în considerare scopul, întinderea și modalitatea procesării; de asemenea, contează persoanele afectate, precum și prejudiciul suferit de acestea;
- caracterul intenționat sau culpabil al încălcării (bineînțeles că o încălcare culpabilă va atrage sancțiuni mai mici, mai ales când există circumstanțe atenuante, precum mărimea și resursele financiare ale companiei);
- reacțiile companiei în vederea limitării prejudiciului suferit de persoanele afectate;
- care este răspunderea companiei care prelucra datele personale pentru încălcare (de exemplu, atunci când încălcarea se face de către împuternicit, contează foarte mult care au fost măsurile luate de operator - în special cele contractuale - pentru a asigura protecția datelor);
- antecedente în domeniu;
- cooperarea cu autoritatea de supraveghere;
- tipurile de date personale afectate (dacă sunt divulgate, de exemplu, date sensibile precum cele legate de starea de sănătate ale unei persoane, amenda va fi mai mare);
- dacă autoritatea de supraveghere a fost înștiințată cu privire la încălcare;
- existența unor măsuri luate de autoritatea de supraveghere față de compania în cauză, privind aceeași faptă, și gradul de respectare a acelor măsuri;
- respectarea anumitor coduri de conduită sau a anumitor mecanisme de certificare;
- alte circumstanțe agravante sau atenuante (de exemplu, GDPR face referire la beneficiile financiare dobândite sau la pierderile evitate prin intermediul încălcării).
Atenție! Criteriile de mai sus se referă la amenzile administrative, dar acestea nu sunt singurele măsuri pe care le riscă o companie care a încălcat GDPR. De exemplu, aceasta poate să răspundă în civil față de persoanele vizate și, de asemenea, poate risca anumite costuri de reputație.