Chystají se změny v ukládání pokut za porušení GDPR! Evropský sbor pro ochranu osobních údajů vydal nové pokyny, které mají sjednotit systém sankcí v jednotlivých členských státech EU. Končí tak období mírných pokut v Čechách?
Při pohledu na výši pokut, které se v rámci EU ukládají za porušení GDPR, není žádným tajemstvím, že Česká republika přispívá k celkové výši udělených pokut opravdu malou měrou. Ostatně tomuto tématu jsme se věnovali v jednom z našich předchozích článků.
Účelem GDPR je však sjednotit nejen právní úpravu, ale i postup při vynucování a trestání případného porušení této právní úpravy. Z dlouhodobého hlediska je tak neudržitelné, aby náš podíl na celkovém počtu pokut (a zejména výše průměrné pokuty) zůstal na nižších příčkách. A právě tomuto tématu se věnuje EDPB ve svém návrhu Pokynů č. 4/2022 k výpočtu výše pokut dle GDPR, který si můžete přečíst zde. Předmětné stanovisko je aktuálně ve fázi připomínkového řízení ze strany veřejnosti, které má skončit 27. června 2022. Není však od věci podívat se, jakým směrem se má toto téma ubírat a na co se můžeme připravit.
EDPB chce sjednotit trestání porušení GDPR ve všech státech EU
Nová pravidla
EDPB přistupuje k ukládání pokut v duchu čl. 83 GDPR, který stanovuje určitá kritéria, k nimž by měl dozorový orgán přihlížet. Kromě například povahy, závažnosti a délky porušení trvání (ovšem s přihlédnutím ke konkrétní operaci zpracování) by měl dozorový orgán zhodnotit i zaviněnost jednání kontrolované osoby a taktéž kroky, které osoba přijala pro zmírnění škod. Samotných kritérií je více, přičemž dozorový orgán by měl vzít v úvahu i jakékoliv přitěžující nebo polehčující okolnosti.
Ostatně o pokutách jsme se toho načetli už dost. S příchodem GDPR bylo největším tématem právě to, že za každé (byť sebemenší) porušení hrozí astronomické pokuty. Pravda však byla trochu jiná a dlužno dodat, že v rámci českého kontextu jsme se vždy mohli cítit kryti závaznou judikaturou nejvyšších soudů, které stanovují požadavky na to, aby pokuta nebyla pro pokutovanou osobu likvidační.
Vše můžeme jednoduše shrnout tak, že aby nějaká právní úprava mohla fungovat, měla by sankce za její nedodržení „bolet“, ale zároveň ne tak, aby porušitele zdecimovala. EDPB pro ulehčení sjednocení přístupu k ukládání pokut stanovil algoritmus o pěti krocích, kterým by měl každý dozorový orgán při ukládání pokuty za porušení GDPR projít.
První krok – zhodnocení
Prvním krokem je pochopitelně zhodnocení, co se vlastně stalo a k jakému porušení v rámci GDPR došlo. Dozorový orgán by měl pečlivě zjistit, jaké jsou skutkové okolnosti porušení a jaká právní norma byla ve skutečnosti porušena. Důvod je ten, že z okolností může vyplynout skutečnost, že jednáním pokutované osoby došlo k porušení více právních norem. Mohou nastat různé situace, které známe jako souběh přestupků, jenž může být jednočinný či vícečinný a podobně.
Dozorový orgán tak musí zhodnotit, zda skutek lze považovat za jedno či více pokutovatelných jednání či zda toto jednání vede k jednomu nebo více porušením (popřípadě se jedná o kolizi porušení, která může vylučovat souběžné pokutování) nebo zda mají být sankce přičteny a podobně. Z povahy věci se jedná o startovací čáru, od níž se bude odvíjet základní rozdělení v druhém kroku.
Druhý krok – klasifikace
Druhý krok je klasifikační – dozorový orgán by měl zhodnotit, do jaké kategorie porušení GDPR předmětnou věc zařadí. EDPB tento krok označuje za výchozí bod pro samotný výpočet možné sankce. Dozorový orgán by tak měl zjednodušeně řečeno projít ustanovení čl. 83 (zejména odst. 4 až 6) GDPR, které obsahuje základní klasifikaci možných porušení.
V témže kroku dozorový orgán provede základní klasifikaci tak, aby bylo zřejmé, v jakém rozsahu možného uložení pokut se vlastně pohybuje. V tomto duchu by měl dozorový orgán zhodnotit povahu zpracování včetně všech možných aspektů, jako je:
přeshraniční zpracování,
účel zpracování,
počet dotčených osob,
výše případné škody,
délka trvání porušení.
Všechny okolnosti totiž vykreslují, nakolik bylo dotčené porušení vlastně škodlivé. EDPB v tomto duchu navrhuje rozmezí, v němž by se pokuta měla pohybovat, přičemž pracuje s klasifikací podle závažnosti, kdy rozlišuje nízkou, střední a vysokou závažnost. V případě nízké závažnosti navrhuje ukládat pokuty v rozmezí 0–10 % zákonného maxima, v případě střední závažnosti v rozmezí 10–20 % zákonného maxima a v případě vysoké závažnosti pak v rozmezí 20–100 % zákonného maxima.
GDPR obsahuje vyjádření okruhů, u nichž stanovuje nižší či vyšší hranici porušení. Například správci, jenž pochybí při jmenování pověřence, hrozí pokuta maximálně 10 milionů eur (nebo 2 % celosvětového obratu). Za porušení povinností u práv subjektů údajů (popřípadě u porušení zásad zpracování) mu nicméně hrozí pokuta až 20 milionů eur (nebo 4 % celosvětového obratu).
Výše sankce by měla odrážet majetkové poměry pokutované osoby
Poněvadž uložená pokuta má sloužit několika účelům (zejména musí být dostatečně odrazující, účinná, ale také přiměřená), měl by se dozorový orgán zabývat majetkovými poměry pokutované osoby. Zjednodušeně řečeno – malý e-shop a nadnárodní korporace by pravděpodobně neměly dostat stejnou pokutu za téže porušení. Majetkové poměry pokutované osoby tak mohou výrazně zasáhnout do výše nastíněného rozmezí, ze kterého by dozorový orgán měl vycházet.
EDPB tak nabízí pro účely tohoto kroku pravidla pro úpravu sankce dle obratu. Rozlišuje přitom 6 kategorií, od nichž se odvíjí doporučená úprava výše pokuty (viz tabulka).
Důležité je však uvědomit si základní pravidlo, a sice že čím vyšší je obrat pokutované osoby, tím vyšší je i výchozí částka, kterou by dozorový orgán měl brát jako uvažovanou výši pokuty.
Pokud se vám ze všech těch čísel točí hlava, pojďme si to ukázat na příkladu, který uvádí EDPB: „Startup s obratem 500 000 eur prodával citlivé osobní údaje takzvaným data brokerům. Dozorový orgán na základě představeného algoritmu došel k závěru, že se jedná o závažné porušení GDPR – pokutu tak lze udělit v rozmezí 20 % až 100 % maximální částky. Ta v tomto případě činní 20 milionů eur. Bavíme se tedy o pokutě, která se pohybuje v rozmezí od 4 do 20 milionů eur za uvedené jednání. Dozorový orgán však může zvážit (respektive by měl zvážit) otázku, která se týká obratu pokutované osoby – ten totiž činí 500 000 eur. Na základě toho tak může dozorový orgán zvážit snížení této částky na 0,2 %, a to až do výše stanovené výchozí částky odpovídající závažnosti. V tomto případě dozorový orgán došel k tomu, že pokuta ve výši 16 000 eur může být dostatečně odrazující, ale zároveň přiměřená – tato částka tak tvoří základ pro další výpočet, jehož výsledkem by měla být definitivní pokuta, která nepřesahuje hranici 20 milionů eur.“
Proč je důležité vědět o výše uvedeném, je tak nasnadě – díky těmto informacím můžeme relativně přesně určit rozmezí, ve kterém se může předmětná pokuta pohybovat.
Třetí krok – přitěžující a polehčující okolnosti
V třetím kroku (byť tak činí částečně už i v kroku druhém) by dozorový orgán měl zohlednit přitěžující a polehčující okolnosti, jež souvisejí s minulým či současným chováním správce či zpracovatele, a zvážit odpovídající snížení či naopak zvýšení pokuty. Dozorový orgán by však neměl přitěžující a polehčující okolnosti přičíst k výsledné pokutě dvakrát (tedy v rámci kroku dva a kroku tři). V tomto duchu se tak bude jednat spíše o okolnosti typu následného jednání pokutované osoby, které vedlo ke snížení dopadu na subjekty údajů, či předchozího porušení ze strany pokutované osoby.
Čtvrtý krok – určení zákonného maxima
Čtvrtým krokem by měl dozorový orgán určit příslušná zákonná maxima pro různé operace zpracování. Předmětné navýšení v předchozích nebo následujících krocích by pak nemělo tuto částku překročit. Ačkoliv by se zákonným maximem měl dozorový orgán zabývat už v předchozích krocích algoritmu (zejména v rámci kroku č. 2), stále nám visí ve vzduchu skutečnost, že maximální výše pokuty není stanovena pouze fixně (tedy 10 či 20 milionů eur), ale i dynamicky – a to v případě, že celosvětový obrat podniku přesahuje fixní hranici (a to do výše 2 %, respektive 4 % tohoto obratu). V tomto duchu tak pokyny EDPB nabízejí různá výkladová východiska, která by nám měla pomoci se zorientovat v maximální možné částce, již lze za sankci udělit. Pokud však náš obrat nepřesahuje 10 či 20 milionů eur, nemusíme se tím moc trápit.
Pátý krok – splnění požadavků na sankci
Otázku, zda vypočtená pokuta splňuje požadavky na její účinnost, odrazující účinek, ale také přiměřenost (v souladu s čl. 81 odst. 3 GDPR), by si měl dozorový orgán pokládat v rámci procházení celého algoritmu. Nicméně v pátém kroku by měl definitivně zhodnotit naplnění účelu sankce. Účinná pokuta je taková, která je způsobilá dosáhnout svého cíle. Cílem sankce dle GDPR totiž není jen pouhé potrestání, ale taktéž motivace k dodržování (respektive obnovení dodržování) pravidel. Pokuta by měla být také odrazující – měla by tedy zabránit pokutované osobě v tom, aby toto porušení v budoucnosti opakovala.
Mějme tak na paměti, že výše uvedená kritéria výpočtu, jež by pro nás mohla být příznivá, nemusí být definitivní. Dozorový orgán vždy musí posoudit, zda je sankce účinná či dostatečně odrazující – a pokud nabyde dojmu, že není, tak ji zvýší.
V každém případě však platí, že pokuta musí být přiměřená. A takovou rozhodně nebude pokuta, která by byla likvidační. Avšak to, že společnost aktuálně nemá peníze (ačkoliv se jí dařilo a daří dobře), samo o sobě neznamená, že jí dozorový orgán udělí konkurenční výhodu v podobě nízké pokuty. V případě snížení pokuty by měl dozorový orgán zhodnotit nejen ekonomické ukazatele, ale i další kontext tak, aby pokuta byla skutečně přiměřená, ale ne nedůvodně nízká.
Definitivní podoba pokynů
Zda a jak moc se předmětné pokyny ještě změní, ukáže čas, a to relativně brzo. Samotný dokument je sice psán složitějším jazykem, nicméně obsahuje spoustu návodných příkladů a popisů různých situací spolu s uvedením dopadů jednotlivých požadavků EDPB.
V budoucnu by tak tento dokument měl sloužit dozorovým orgánům k tomu, aby sjednotily svůj postup při ukládání pokut, ale i nám, abychom v případě problémů mohli odhadnout, kolik peněz si máme připravit, a také se mohli pokusit argumentovat ohledně výše případné sankce. Budeme tedy sledovat připomínkové řízení a vrátíme se k tomuto tématu v okamžiku, kdy budou předmětné pokyny definitivní.
Článek byl publikován v Elektronickém zpravodaji pro pověřence.