Jakie grzywny są nakładane na operatorów stron internetowych za naruszenie ochrony danych?

Mario Steinberg Ostatnia aktualizacja 21.10.2020
.
. 3 Min.
grzywny dsgvo
Ostatnia aktualizacja 21.10.2020

W dniu 14 października 2019 roku Konferencja Niezależnych Urzędów Ochrony Danych Federacji i Krajów Związkowych (DSK) opublikowała koncepcję szacowania kar pieniężnych w postępowaniach przeciwko przedsiębiorstwom. Teraz jest wreszcie jasne, jakich kar mogą spodziewać się operatorzy stron internetowych w przypadku naruszenia ochrony danych. 

Podstawowe informacje na temat koncepcji precyzyjnej DSK

Powszechnie wiadomo, że naruszenie przepisów RODO może skutkować grzywną w wysokości do dziesięciu milionów euro lub dwóch procent rocznego obrotu osiągniętego na całym świecie. W przypadku poważniejszych naruszeń, kara może być nawet dwukrotnie wyższa. Wcześniej jednak nie było jasne, jaka może być wysokość grzywny w konkretnym, indywidualnym przypadku. Koncepcja DSK zmienia ten stan rzeczy i zapewnia niemieckim organom nadzorczym ds. ochrony danych jednolitą i konkretną podstawę do obliczeń. Ponadto koncepcja ta ma wyraźnie na celu wywieranie ogólnego efektu prewencyjnego na przedsiębiorstwa oraz uświadomienie, że w przypadku nieprzestrzegania wymogów strony RODO należy spodziewać się wysokich kar pieniężnych.

Ponieważ koncepcja ta jest jedynie modelem, a nie ustawą, dotyczy ona jedynie postępowań karnych przeciwko przedsiębiorstwom, wszczynanych przez niemieckie organy nadzorcze ds. ochrony danych. Nie ma ona wiążącego wpływu na ustalanie grzywien przez sądy.

Ponadto, koncepcja ta może być w każdej chwili odwołana, zmieniona lub rozszerzona przez organ ochrony danych. Ponadto jest to jedynie rozwiązanie tymczasowe do czasu ostatecznego przyjęcia przez Europejską Radę Ochrony Danych wytycznych w sprawie metodologii ustalania grzywien. Nie wiadomo zatem, jak rozwinie się sytuacja z grzywnami.

obliczanie grzywien dsgvo

W jaki sposób oblicza się wysokość grzywny?

Koncepcja DSK przewiduje pięciostopniową procedurę obliczania konkretnej grzywny:

Krok pierwszy:

Przedsiębiorstwo jest przydzielane do jednej z czterech klas wielkości (od A do D) na podstawie jego całkowitego światowego obrotu w poprzednim roku, a każda z nich jest podzielona na trzy podgrupy (od A.I do A.III, od B.I do B.III itd.) w celu bardziej szczegółowej klasyfikacji.

Klasyfikacja według rocznego obrotu:

Grupa A: do 2 mln EUR
GrupaB: od 2 do 10 mln EUR
GrupaC: od 10 do 50 mln EUR
GrupaD: powyżej 50 mln EUR

Krok drugi:

Określa się średni roczny obrót podgrupy, w której przedsiębiorstwo zostało sklasyfikowane.

Krok trzeci:

Określana jest podstawowa wartość ekonomiczna. Stanowi ona podstawę do dalszego ustalenia wysokości grzywny i odpowiada średniemu rocznemu obrotowi podgrupy, do której przedsiębiorstwo zostało zaklasyfikowane, podzielonemu przez 360 (dni) i zaokrąglonemu w górę do miejsca po przecinku.

Krok czwarty:

Mnożnik jest uzależniony od wagi naruszenia ochrony danych. W tym względzie stopień ciężkości klasyfikuje się jako lekki, średni, ciężki lub bardzo ciężki na podstawie szczególnych okoliczności danego przypadku. 

Katalog kryteriów opisujących te możliwe okoliczności można znaleźć w art. 83 (2) RODO . Obejmują one na przykład rodzaj i czas trwania naruszenia, liczbę osób poszkodowanych, rozmiar szkody, sposób współpracy z organem nadzorczym, a także to, czy w wyniku naruszenia uzyskano bezpośrednie korzyści finansowe. 

Ponadto rozróżnia się naruszenia "formalne" (art. 83 ust. 4 RODO) i "materialne" (art. 83 ust. 5 i 6 RODO). W zależności od rodzaju i wagi naruszenia ochrony danych, współczynnik dla naruszeń formalnych wynosi od 1 do 6, dla naruszeń istotnych od 1 do 12; w przypadku bardzo poważnych naruszeń współczynnik ten może być jeszcze wyższy.

Krok piąty:

Wartość podstawowa jest ostatecznie korygowana na podstawie wszystkich innych okoliczności przemawiających zarówno na korzyść, jak i na niekorzyść danej osoby. Należą do nich w szczególności okoliczności dotyczące sprawcy oraz inne okoliczności, takie jak długi czas trwania postępowania lub bliska niewypłacalność spółki.

RODO-Fine - przykład obliczeń 

Ostatecznie opisany pięcioetapowy proces nie jest tak skomplikowany, jak się na początku wydaje. Oto konkretny przykład:

Załóżmy, że osoba prowadząca działalność gospodarczą uzyskała w poprzednim roku obrót w wysokości 80.000 €. Stawia go to w (najniższej) podgrupie A.I (roczny obrót od 0 do 700 000 EUR; poziom 1), średni roczny obrót wynosi zatem 350 000 EUR (poziom 2), a podstawowa wartość ekonomiczna wynosi 972 EUR (poziom 3).

Załóżmy dalej, że jest to nieprawidłowe oświadczenie o ochronie danych na stronie internetowej osoby prowadzącej działalność gospodarczą. Stanowi to naruszenie art. 83 ust. 5 lit. b) RODO . Ponieważ waga naruszenia ma być zaklasyfikowana jako "lekka", czynnik ten może wynosić "tylko" 2 (poziom 4) w opinii organu nadzorczego ds. ochrony danych; korekta nie byłaby właściwa w opinii organu nadzorczego ds. ochrony danych (poziom 5).

Tym samym grzywna wyniosłaby 1 944 euro.

Wnioski

Dzięki koncepcji grzywny DSK jest teraz jasne, że nawet stosunkowo nieznaczne naruszenia ochrony danych będą skutkowały odpowiednimi grzywnami. Dlatego wszystkie przedsiębiorstwa powinny jak najszybciej sprawdzić lub zlecić sprawdzenie, czy prawidłowo spełniają wszystkie wymogi dotyczące ochrony danych, takie jak prawidłowy baner cookie. Dzieje się tak dlatego, że organy ochrony danych nie są aktywne przypadkowo, ale przede wszystkim wtedy, gdy zgłaszane są im naruszenia ochrony danych. I te raporty często pochodzą w praktyce od niezadowolonych klientów lub konkurentów, którzy chcą w ten sposób zaszkodzić swoim konkurentom.

Powiązane artykuły

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Pola obowiązkowe oznaczone są *.