avocatnet.ro 
Fiecare amendă dată de o autoritate de protecția datelor trebuie să fie „eficace, proporțională și disuasivă”, potrivit GDPR. Articolul 83 este cel care trasează condițiile pentru impunerea amenzilor - de la caracteristicile, gravitatea și durata încălcării, vinovăția, reacțiile operatorului cu rol de diminuare a impactului încălcării, antecedentele în domeniu și până la diversele circumstanțe atenuante sau agravante care pot fi incidente.
Stabilirea cuantumului amenzilor este, practic, la discreția autorităților de supraveghere din statele membre - ANSPDCP, la noi - iar acestea trebuie să respecte condițiile în materie din cuprinsul GDPR și să nu depășească acele cuantumuri maxime impuse în regulament (10 milioane de euro sau 2% din cifra de afaceri pentru unele încălcări, 20 de milioane de euro sau 4% din cifra de afaceri pentru altele). Deși există un maxim stabilit al acestor amenzi, nu există și un minim, ci doar ideea că amenda trebuie cumva să fie rezultanta tuturor circumstanțele faptei.
Comitetul european pentru protecția datelor (în engleză, European Data Protection Board - EDPB) a propus anul trecut în dezbatere un ghid pentru autoritățile de supraveghere din statele membre, de data asta rodul a patru ani de aplicare a regulamentului, care să le servească în ajutor la stabilirea cuantumului amenzilor (notă: până acum, exista ca reper acest ghid propus de Grupul de lucru „Articolul 29” pentru protecția datelor, din în 2017).
Săptămâna aceasta, comitetul a anunțat forma finală a ghidului, rezultată în urma consultării publice, ghid care ar urma să armonizeze metodologia folosită de autoritățile de supraveghere să calculeze amenzile.
Recomandările din ghid trasează cadrul unei metodologii în cinci pași:
- identificarea operațiunilor de prelucrare și evaluarea aplicării art. 83 (3) din GDPR (în cazul în care un operator sau o persoană împuternicită de operator încalcă în mod intenționat sau din neglijență, pentru aceeași operațiune de prelucrare sau pentru operațiuni de prelucrare conexe, mai multe dispoziții din GDPR, cuantumul total al amenzii administrative nu poate depăși suma prevăzută pentru cea mai gravă încălcare);
- găsirea minimului sancțiunii, pornind de la:
- clasificarea din art. 83 (4) - (6) din GDPR;
- gravitatea încălcării, conform art. 82 (2) lit.a), b) și g) din GDPR;
- cifra de afaceri (globală totală) a celui vinovat, element ce ar trebui luat în calcul dacă se dorește aplicarea unei amenzi care chiar să fie efectivă, proporționată și disuasivă;
- evaluarea circumstanțelor atenuante și agravante (trecute și prezente) pentru a diminua sau mări corespunzător amenda;
- identificarea maximului legal relevant în cazul fiecărui tip de încălcare;
- analizarea cuantumului care a rezultat după aplicarea primilor trei pași pentru a vedea dacă acesta respectă cele trei criterii din GDPR stabilite pentru cuantumul amenzilor; dacă nu întrunește aceste criterii, amenda va fi diminuată sau majorată corespunzător, dar nu peste maximul relevant, amintit mai sus.
Ghidul EDPB nu se adresează doar autorităților de supraveghere, ci și operatorilor care vor să-și formeze o idee cu privire la modul cum ar trebui, ideal, stabilite sancțiunile pentru încălcarea GDPR, o idee cu privire la cât i-ar putea „costa” conduita lor dacă ar fi sancționată.
Cu toate acestea, se punctează în ghid în mai multe rânduri, calculul cuantumului amenzii rămâne la discreția autorității de supraveghere.
Ar putea exista amenzi prestabilite pentru anumite fapte?
În anumite circumstanțe, autoritatea de supraveghere ar putea considera că unele încălcări pot fi sancționate cu o amendă prestabilită din punct de vedere al cuantumului, o amendă fixă, cu alte cuvinte, spune EDPB în ghid. E deopotrivă la discreția autorității să decidă care ar fi faptele pentru care se pot da astfel de amenzi, în funcție de natura, gravitatea și durata lor. Dar dacă există astfel de amenzi prestabilite, ele ar trebui cunoscute.
creat1on88â