Cum se calculează amenzile aplicate pentru nerespectarea GDPR?

Article Cum se calculeaza amenzile pentru nerespectarea GDPR

De la intrarea Regulamentului GDPR în vigoare, autoritatea de protecție a datelor din România (ANSPDCP) a dat zeci de amenzi pentru încălcări privind procesările de date. Doar de la începutul anului până acum, ANSPDCP a aplicat 24 de amenzi operatorilor ce au încălcat drepturile persoanelor vizate. Dar cum anume se calculează aceste sancțiuni?

Regulamentul GDPR cuprinde prevederi referitoare la drepturile autorităților de supraveghere naționale de a da amenzi, impune câteva limite la aceste amenzi și oferă un cadru general de sancționare aplicabil procesatorilor de date personale ce își încalcă îndatoririle.

Comitetul european pentru protecția datelor (CEPD) a venit în întâmpinarea autorităților de supraveghere, dar și a procesatorilor de date personale, pentru a oferi un ghid explicativ cu privire la modalitatea de calcul a unei amenzi în sfera protecției datelor. Pornind de la prevederile Regulamentului GDPR, CEPD a intrat în detalii cu privire la modalitatea de calcul a sancțiunilor, oferind mai multe explicații cu privire la intențiile legiuitorului european și oferind exemple practice, prin intermediul cărora putem înțelege mai bine Regulamentul GDPR.

 

Ce prevede GDPR despre amenzi?

Autoritățile de supraveghere au dreptul de a impune amenzi administrative conform articolului 83. Amenzile au ca scop îndreptarea comportamentului operatorilor sau împuterniciților de date personale și o mai mare diligență în procesarea datelor personale. Bineînțeles, amenzile trebuie să fie proporționale cu încălcarea adusă, prejudiciile suferite și capacitatea companiei de a plăti amenda.

Este important de subliniat faptul că amenzile sunt complementare măsurilor ce pot fi impuse de autoritățile de supraveghere, așadar, sancțiunea poate fi compusă din dispoziții de urmat de către operator sau împuternicit, și din sancțiuni pecuniare de plătit. Instrumentele utilizate în analizarea unei încălcări privind datele personale sunt:

       natura, gravitatea şi durata încălcării,

       numărul de persoane vizate afectate,

       prejudiciile suferite de acestea,

       intenția sau neglijența procesatorului,

       acțiunile luate pentru a reduce consecințele prejudiciilor față de persoanele vizate,

       măsurile tehnice și organizatorice implementate,

       alte încălcări anterioare,

       gradul de cooperare cu autoritatea,

       categoriile de date personale afectate,

       modul în care autoritatea a aflat de încălcare,

       aderarea la coduri de conduită,

       și orice alt factor agravant sau atenuant aplicabil în speță.

În cazul în care un operator sau o persoană împuternicită de operator încalcă în mod intenționat sau din neglijență, pentru aceeași operațiune de prelucrare sau pentru operațiuni de prelucrare conexe, cuantumul total al amenzii administrative nu poate depăși suma prevăzută pentru cea mai gravă încălcare.

Regulamentul GDPR setează o limită pentru aceste amenzi, care poate fi fixă, în acele cazuri specific prevăzute unde se pot aplica până la 10.000.000 euro sau până la 20.000.000 euro, sau variabilă, în acele cazuri specific prevăzute, unde se pot aplica până la 2% din cifra de afaceri mondială totală, sau 4% din cifra de afaceri mondială totală.

 

Care sunt cei 5 pași pentru calculul amenzilor GDPR?

CEPD a identificat 5 pași cu privire la metodologia de calcul a amenzilor din domeniul protecției datelor personale:

i.                 Evaluarea aplicabilității articolului 83 (3) din Regulamentul GDPR

Primul pas în calcularea unei sancțiuni este identificarea faptică a încălcărilor ce au avut loc și încadrarea acestora în interdicțiile Regulamentului GDPR. O speță poate avea ca obiect mai multe incidente, sau un singur incident poate da naștere mai multor breșe de date personale.

Așadar, trebuie stabilit de la început dacă este vorba de o singură acțiune sancționabilă sau nu, dacă e vorba de o singură acțiune, câte breșe a produs aceasta, și, în acest ultim caz, dacă breșele sunt paralele sau decurg una din alta.

CEPD oferă ca exemplu de unică acțiune sancționabilă situația în care o instituție financiară solicită verificări de la o instituție de raportare a creditelor. În acest context, deși poate fi vorba de mai multe procesări independente, având în vedere scopul și contextul, procesările în cauză formează o singură acțiune.

Mai multe acțiuni separate sunt în situația unui broker de date personale, care colectează date sensibile cu privire la candidații săi și cere informații excesive de la partenerii săi comerciali. Ulterior, brokerul are o scurgere de date personale, deși are implementate măsuri tehnice și organizatorice, și consideră că nu e cazul să informeze autoritatea. Cele 3 elemente, colectarea datelor sensibile de la candidați, informațiile excesive de la parteneri și încălcarea obligației de a anunța autoritatea sunt trei acțiuni separate, care nu sunt conectate.

ii.                Identificarea punctului de plecare al amenzii

CEPD consideră importantă setarea unui punct de plecare al amenzii comun pentru toate statele membre, care apoi să fie contextualizat în funcție de detaliile speței.

Elementele cheie pentru acest punct de plecare sunt: tipul de incident, gravitatea lui, natura, gravitatea și durata încălcării. Regulamentul GDPR impune 2 categorii de încălcări, cele sancționate de articolul 83 (4), cu amenzi de până la 10.000.000 euro sau 2% din cifra de afaceri, și cele sancționate de articolul 83 (5) și (6), cu amenzi de până la 20.000.000 euro sau 4% din cifra de afaceri. Gravitatea incidentului se referă la natura și scopul prelucrării de date personale, numărul de persoane vizate afectate și categoria de date personale implicate, și intenția sau neglijența procesatorului de date personale. Aceste criterii dau o măsură a gravității încălcării aduse și posibilelor prejudicii implicate.

Intenția sau neglijența se raportează la atitudinea procesatorului de date personale cu privire la prevederile legale aplicabile, dacă operatorul, prin administratorii săi și în ciuda prevederilor legale, alege să ignore obligațiile sale conform Regulamentului GDPR, este vorba de intenție, dar dacă este vorba de eroare umană sau o întârziere a actualizării măsurilor tehnice aplicabile, atunci este vorba despre neglijență. Natura intenționată sau neglijentă a prelucrării de date personale se va analiza în mod obiectiv, de la caz la caz.

Regulamentul GDPR identifică 2 tipuri de date personale, indicând clar, în articolele 9 și 10 acele date personale sensibile ce trebuie tratate cu mult mai multă grijă și în condiții mai stricte (de ex, datele privind sănătatea, afilierilor politice, orientarea sexuală, condamnările penale șamd). Autoritățile de supraveghere ale statelor membre pot adăuga astfel de date, iar în România, legiuitorul a introdus reguli specifice pentru prelucrarea CNP-ului cetățenilor săi (Numărul de identificare național).

CEPD sugerează amenzi de până la 10% din maximul aplicabil în cazul încălcărilor cu un grad scăzut de gravitate, amenzi de până la 20% din maximul aplicabil în cazul încălcărilor cu un grad mediu de gravitate, și până la 100% în cazul încălcărilor cu un grav ridicat de gravitate.

Cifra de afaceri a procesatorului de date personale este un reper important în stabilirea amenzii, pentru ca aceasta să fie eficientă și proporțională, o amendă mică pentru un operator economic cu o cifră de afaceri de peste 250.000.000 euro poate fi irelevantă, iar operatorul pur și simplu o va ignora.

iii.               Evaluarea circumstanțelor agravante sau atenuante

Acțiunile întreprinse de către procesator pentru a atenua efectele breșei de date personale sunt extrem de relevante pentru a calcula amenda. Amenda va fi mult redusă, dacă procesatorul de date a luat măsuri de atenuare a efectelor breșei de date, înainte ca autoritatea să intervină sau să impună astfel de măsuri.

Autoritatea de supraveghere va analiza și gradul de responsabilitate al procesatorului – este operator sau împuternicit, au fost luate sau nu măsurile tehnice necesare pentru a preveni incidentul de date personale, are sau nu procesatorul de date documentate fluxurile de prelucrare ale datelor personale, au fost sau nu informate persoanele vizate sau DPO-ul de măsurile implementate.

Antecedentele în această materie pot reprezenta un factor agravant, iar fiecare va fi analizat în funcție de context, mai exact – cât timp a trecut de la incidentul anterior, dacă obiectul incidentului a fost același ca incidentul actual sau nu, a respectat sau nu procesatorul măsurile impuse de autoritate în cazul incidentului anterior.

Modul în care procesatorul de date personale colaborează cu autoritatea este extrem de relevant, poate reprezenta o circumstanță agravantă sau una atenuantă, în funcție de alegerea procesatorului de date. Dacă acesta va coopera cu autoritatea, va furniza documentele cerute, nu va tergiversa controlul efectuat de autoritate, cuantumul amenzii va putea fi scăzut. Cooperarea cu autoritatea începe la momentul incidentului, în funcție de alegerea procesatorului de a informa sau nu autoritatea. Dacă aceasta va afla de incident din alte surse decât operatorul sau împuternicitul, atunci când acesta avea obligația de a notifica incidentul, cuantumul amenzii va fi ridicat.

Printre circumstanțe agravante se numără și beneficiul material obținut de către operator sau împuternicit prin ignorarea prevederilor legale specifice. Dacă operatorul sau împuternicitul au ignorat prevederile Regulamentului GDPR pentru un câștig material rapid, amenda va fi ridicată.

iv.               Identificarea amenzii maxime, pentru a nu fi depășită

Așa cum am menționat, amenzile au setată o limită în Regulamentul GDPR, care poate fi fixă, în acele cazuri specific prevăzute unde se pot aplica până la 10.000.000 euro sau până la 20.000.000 euro, sau variabilă, în acele cazuri specific prevăzute, unde se pot aplica până la 2% din cifra de afaceri mondială totală, sau 4% din cifra de afaceri mondială totală.

Așadar, se va lua în calcul cifra de afaceri a întreprinderii. Pentru a înțelege termenul de întreprindere, Regulamentul GDPR face trimitere la articolele 101 și 102 din TFUE, și include atât persoane juridice unice, cât și grupuri de companii, persoane juridice ce funcționează ca o unică unitate economică. Persoanele juridice vor fi considerate a fi în același grup, dacă deciziile sunt influențate de o societate mamă. Cifra de afaceri reprezintă suma netă a bunurilor și serviciilor vândute, adică suma bunurilor și serviciilor vândute după deducerile de TVA și plata oricăror alte taxe legate de cifra de afaceri.

v.                Evaluarea eficacității și proporționalității amenzii finale

Scopul sancțiunilor este procesarea de date personale într-un mod integru și respectarea drepturilor persoanelor vizate. Măsura în care obiectivul este atins dă notă de eficacitatea amenzii impuse. Proporțional cu breșa de date și cu puterea economică a procesatorului de date personale, amenda trebuie să convingă procesatorul să respecte litera Regulamentului GDPR.

Principiul proporționalității amenzii cere ca aceasta să nu depășească limitele impuse de Regulamentul GDPR, și să fie adecvată pentru a atinge obiectivul setat, acela de a respecta prevederile privind protecția datelor personale. Dezavantajul creat de amendă nu trebuie să fie disproporțional față de scopul urmărit.

Va fi analizat contextul social și economic al procesatorului, mai exact viabilitatea economică a persoanei juridice, situația economică a acesteia. Cuantumul amenzii va fi redus dacă amenda poate pune în pericol eficiența economică a companiei. Se va ține seama de fluctuațiile economice ale pieței relevante în care activează procesatorul de date personale și dacă operatorul sau împuternicitul nu pot plăti amenda, în mod obiectiv, aceasta se va reduce în conformitate.

Ghidul CEPD oferă un cadru mai detaliat pentru a înțelege mai bine modul în care autoritățile trebuie să decidă sancțiunea într-o breșă de date personale. Ghidul va fi actualizat periodic, în funcție de elemente ale pieței și de spețe ce vor fi aduse în fața instanțelor. Domeniul este unul dinamic, dar scopul este unic și clar identificat – respectarea și protecția datelor personale ale persoanelor vizate.

 

Cum se aplică acești 5 pași? Exemplu practic:

Luna aceasta, Autoritatea de Supraveghere din România, ANSPDCP, a sancționat o societate privată cu 8000 euro pentru o încălcare a securității datelor cu caracter personal. Vom trece prin cei 5 pași propuși de CEPD pentru a înțelege cum exact se aplică aceștia.

i. Conform Ghidului, primul pas este analizarea situației și încadrarea acesteia în interdicțiile Regulamentului GDPR. În fapt, angajați ai operatorului au accesat sistemul de supraveghere video și au filmat cu telefonul mobil personal monitorul pe care se derulau înregistrările sistemului. Ulterior, unul dintre angajați a transmis imaginile unei terțe persoane (din afara operatorului), iar imaginile respective au fost postate de respectiva persoană pe Facebook. Cauza identificată de către ANSPDCP a fost lipsa măsurilor tehnice și organizatorice în vederea asigurării unui nivel de securitate corespunzător riscului de prelucrare, generat, în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal stocate sau prelucrate într-un alt mod.

ANSPDCP a concluzionat că încălcarea se încadrează la articolul 32 al. 1, lit. b, al. 2, al. 4:

(1) Având în vedere stadiul actual al dezvoltării, costurile implementării şi natura, domeniul de aplicare, contextul şi scopurile prelucrării, precum şi riscul cu diferite grade de probabilitate şi gravitate pentru drepturile şi libertățile persoanelor fizice, operatorul şi persoana împuternicită de acesta implementează măsuri tehnice şi organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător acestui risc, incluzând printre altele, după caz:

(b) capacitatea de a asigura confidențialitatea, integritatea, disponibilitatea şi rezistența continue ale sistemelor şi serviciilor de prelucrare;

(2) La evaluarea nivelului adecvat de securitate, se ţine seama în special de riscurile prezentate de prelucrare, generate în special, în mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizată sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate într-un alt mod.

(4) Operatorul şi persoana împuternicită de acesta iau măsuri pentru a asigura faptul că orice persoană fizică care acționează sub autoritatea operatorului sau a persoanei împuternicite de operator şi care are acces la date cu caracter personal nu le prelucrează decât la cererea operatorului, cu excepția cazului în care această obligație îi revine în temeiul dreptului Uniunii sau al dreptului intern.

Așadar, Autoritatea a identificat corect faptul că Operatorul, compania, nu a luat măsurile necesare pentru ca angajații săi să nu prelucreze datele personale în alt scop decât cel stabilit de operator. Aceste măsuri trebuie adaptate contextului companiei și prelucrării, având în vedere datele implicate și riscurile asociate, operatorul trebuia să organizeze training-uri, să comunice angajaților obligațiile lor, să impună sancțiuni pentru încălcarea obligațiilor privind protecția datelor personale, în activitatea prestată, prin Regulamentul intern al companiei și prin fișa de post.

ii. Următorul pas este identificarea punctului de plecare al amenzii

Aici se va analiza:

-        tipul de incident, în speță este vorba de divulgarea neautorizată a datelor cu caracter personal,

-        gravitatea, în acest caz este o încălcare extrem de gravă,

-     natura, gravitatea și durata încălcării, având în vedere contextul elaborat mai sus, durata încălcării nu poate fi stabilită, pentru că așa cum știm cu toții, dacă o imagine sau o filmare ajunge pe internet, este foarte greu de eliminat și de șters. Mai ales dacă e vorba de Facebook, de unde oamenii o pot partaja oficial sau prin mesaje private la nesfârșit, chiar dacă Facebook alege la un moment dat să scoată filmarea, aceasta poate rămâne în arhiva digitală a oricărei persoane private,

-     Numărul de persoane vizate, singurul avantaj în această situație pentru operator este faptul că este vorba de o singură persoană afectată,

-        Categoria de date personale implicate, este vorba de informații extinse: imaginea, locația, numărul de mașină,

-   În speță vom considera că este vorba de intenție, pentru că operatorul, prin administratorii săi și în ciuda prevederilor legale, a ales să ignore obligațiile conform Regulamentului GDPR.

Regulamentul GDPR impune 2 categorii de încălcări, în speță, articolul 32 se încadrează la sancțiunea prevăzută la articolul 83 (4), amendă de până la 10.000.000 euro sau 2% din cifra de afaceri. Pentru că CEPD sugerează amenzi de până la 10% din maximul aplicabil în cazul încălcărilor cu un grad scăzut de gravitate, amenzi de până la 20% din maximul aplicabil în cazul încălcărilor cu un grad mediu de gravitate, și până la 100% în cazul încălcărilor cu un grav ridicat de gravitate, vom considera amenda ca fiind între 30% și 100% din maximul aplicabil.

iii. Pasul 3 este evaluarea circumstanțelor agravante sau atenuante, pentru a înțelege cât mai bine sancțiunea ce trebuie aplicată.

Principala circumstanță atenuantă este dată de numărul indivizilor afectați, care este 1. Din păcate, nu avem informații în detaliu cu privire la întregul control efectuat de către ANSPDCP, dar totuși știm că investigația a fost demarată ca urmare a unei notificări de încălcare a securității datelor cu caracter personal. Vom deduce de aici o atitudine cooperantă a operatorului și facilitarea de către acesta a întregii investigații.

Cu privire la circumstanțele agravante, operatorul nu a mai fost sancționat înainte, nu are istoric în această privință, și nu avem motive să considerăm că operatorul a beneficiat direct de un câștig material rapid prin neimplementarea măsurilor necesare.

Pe de altă parte, având în vedere numărul extrem de ridicat de magazine deținute de companie, prin urmare mărimea acestora și numărul camerelor de filmat existente, atât în interiorul magazinelor, cât și în exterior, riscul de a se repeta aceasta breșă este unul foarte ridicat, iar lipsa implementării măsurilor având în vedere acest lucru este un factor agravant.

iv. Așa cum am menționat, amenzile au setată o limită în Regulamentul GDPR, care poate fi fixă, în acele cazuri specific prevăzute unde se pot aplica până la 10.000.000 euro sau 2% din cifra de afaceri.

Cifra de afaceri Artima SA. a fost de 2,418,794,470.00 RON în anul 2022, cu un profit de 3,499,058.00 RON, iar asta se rezumă doar la această companie. Artima SA face parte din grupul Carrefour, deci putem deduce faptul că limita de amendă va fi una foarte ridicată.

v. Principiul proporționalității amenzii cere ca aceasta să nu depășească limitele impuse de Regulamentul GDPR, și să fie adecvată pentru a atinge obiectivul setat, acela de a respecta prevederile privind protecția datelor personale.

Dezavantajul creat de amendă nu trebuie să fie disproporțional față de scopul urmărit, dar trebuie să impulsioneze compania să aducă îmbunătățiri cu privire la protecția datelor personale. Având în vedere activitatea operatorului și puterea lui economică, ne putem îndrepta spre o amendă mai ridicată, care să convingă operatorul să implementeze (corect și integral) măsuri stricte de procesare a datelor personale.

ANSPDCP a ales o sancțiune de 8000 de euro, mult sub sancțiunea ce reiese din cele analizate mai sus, conform gravității și prejudiciilor aduse. Totuși, salutăm acțiunea autorității, și sperăm că alți operatori vor avea mai multă grijă de filmările ce au loc în cadrul activității lor.

 

Pentru mai multe informații despre amenzile GDPR ne puteți scrie la office@decalex.ro

Acest articol a fost redactat de:

Maria IOSIF | Senior Privacy & Data Protection Consultant la Decalex

Share:
Decalex
Autor: DECALEX
Ultimele articole
7 pași pentru verificarea conformității soluției AI cu RGPD

7 pași pentru verificarea conformității soluției AI cu RGPD

Solicitarea de acces la date. Exercitarea dreptului de acces

Solicitarea de acces la date. Exercitarea dreptului de acces

Cum pot sterge informații din Google?

Cum pot sterge informații din Google?

IMPLEMENTAREA DIRECTIVELOR NIS

IMPLEMENTAREA DIRECTIVELOR NIS

Cele mai citite articole
Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Condiții pentru a fi scutit de impozit dacă lucrezi în domeniul IT

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Ai o firma inactiva? Procesul de lichidare voluntara te poate scapa de probleme!

Date cu caracter personal: Tot ce trebuie să știi

Date cu caracter personal: Tot ce trebuie să știi

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

Tot ce trebuie sa stii despre GDPR: ce inseamna, regulament, aplicare si riscuri

PUNE O INTREBARE

Contactează-ne

CLIENTI