Jakie grzywny są nakładane na operatorów stron internetowych za naruszenie ochrony danych?

4 Min.
grzywny dsgvo
Ostatnia aktualizacja w dniu 25/03/2020 r.

W dniu 14.10.2019 r. Konferencja Niezależnych Nadzorców Ochrony Danych Rządu Federalnego i Krajów Związkowych (DSK) opublikowała Koncepcja ustalania grzywien w postępowaniach przeciwko firmom. Teraz jest wreszcie jasne, jakich kar muszą oczekiwać operatorzy stron internetowych w przypadku naruszenia ochrony danych. 

Podstawowe informacje na temat drobiazgowej koncepcji DSK

Powszechnie wiadomo, że naruszenia RODO do dziesięciu milionów euro lub dwóch procent rocznego obrotu osiągniętego na świecie mogą być karane. W przypadku poważniejszych naruszeń, grzywna może nawet ulec podwojeniu. Do tej pory nie było jednak jasne, jaka może być wysokość grzywny w konkretnym indywidualnym przypadku. Koncepcja DSK zmienia to teraz i zapewnia niemieckim organom nadzoru nad ochroną danych jednolitą i konkretną podstawę do obliczeń. Ponadto koncepcja ta ma oczywiście na celu ogólne zapobiegawcze oddziaływanie na przedsiębiorstwa i wyraźne wskazanie, że w przypadku RODO nieprzestrzegania wymogów organu nadzorującego ochronę danych należy spodziewać się wysokich kar pieniężnych.

Ponieważ koncepcja ta jest jedynie modelem, a nie prawem, dotyczy ona jedynie postępowania karnego przeciwko przedsiębiorstwom wszczętego przez niemieckie organy nadzorujące ochronę danych. Nie ma ona mocy wiążącej w odniesieniu do ustalania grzywien przez sądy.

Ponadto, koncepcja ta może być w każdej chwili anulowana, zmieniona lub rozszerzona przez DSK. Ponadto jest to jedynie rozwiązanie tymczasowe do czasu ostatecznego przyjęcia wytycznych w sprawie metodologii ustalania grzywien przez Europejski Komitet Ochrony Danych. W związku z tym nie wiadomo, jak rozwinie się sytuacja w zakresie grzywien.

obliczanie grzywny dsgvo

Jak obliczana jest grzywna?

Koncepcja firmy DSK przewiduje pięcioetapową procedurę obliczania rzeczywistej grzywny:

Krok pierwszy:

Przedsiębiorstwo jest przypisane do jednej z czterech klas wielkości (od A do D) na podstawie jego całkowitych światowych obrotów w poprzednim roku. Dla bardziej konkretnej klasyfikacji, każda klasa wielkości jest podzielona na trzy podgrupy (od A.I do A.III, od B.I do B.III itd.).

Klasyfikacja według rocznego obrotu:

Grupa A: do 2 mln EUR
Grupa B: od 2 do 10 mln EUR
Grupa C: 10 do 50 mln EUR
Grupa D: ponad 50 mln EUR

Krok drugi:

Określany jest średni roczny obrót podgrupy, do której przedsiębiorstwo zostało włączone.

Przyjazny dla klimatu hosting WordPress

Krok trzeci:

Ustalana jest podstawowa wartość ekonomiczna. Stanowi to podstawę do dalszego określenia wysokości grzywny i odpowiada średniemu rocznemu obrotowi podgrupy, w której przedsiębiorstwo zostało umieszczone, podzielonemu przez 360 (dni) i zaokrąglonemu w górę do miejsca sprzed przecinka.

Krok czwarty:

Mnożnik wynika z wagi naruszenia ochrony danych. W związku z tym waga naruszenia jest klasyfikowana jako łagodna, średnia, ciężka lub bardzo ciężka na podstawie konkretnych okoliczności faktycznych w danej sprawie. 

Wykaz kryteriów opisujących te możliwe okoliczności znajduje się w art. 83 ust. 2RODO . Obejmują one na przykład charakter i czas trwania naruszenia, liczbę osób poszkodowanych, zakres szkody, sposób współpracy z organem nadzorczym, a także to, czy w wyniku naruszenia uzyskano bezpośrednie korzyści finansowe. 

Wprowadza się również rozróżnienie między naruszeniami "formalnymi" (art. 83 ust. 4RODO) i "istotnymi" (art. 83 ust. 5 i 6RODO). W zależności od rodzaju i wagi naruszenia ochrony danych, współczynnik dla naruszeń formalnych wynosi od 1 do 6, dla istotnych naruszeń od 1 do 12; dla bardzo poważnych naruszeń współczynnik może być nawet wyższy w każdym przypadku.

Krok piąty:

Wartość podstawowa jest ostatecznie dostosowywana na podstawie wszystkich innych okoliczności, które przemawiają za i przeciw osobie objętej postępowaniem. Obejmują one w szczególności okoliczności odnoszące się do sprawcy oraz inne okoliczności, takie jak długi okres postępowania lub groźba upadłości spółki.

FREE DEV Program RAIDBOXES

RODO-Dokładnie - Przykład obliczeń 

W końcu opisana powyżej pięciostopniowa procedura nie jest tak skomplikowana, jak na początku. Oto konkretny przykład:

Załóżmy, że osoba pracująca na własny rachunek miała w poprzednim roku obroty w wysokości 80.000 €. To stawia go w (najniższej) podgrupie A.I (roczny obrót od 0 EUR do 700 000 EUR; poziom 1), średni roczny obrót wynosi zatem 350 000 EUR (poziom 2), a podstawowa wartość ekonomiczna wynosi 972 EUR (poziom 3).

Załóżmy ponadto, że jest to fałszywe oświadczenie o ochronie prywatności na stronie internetowej osoby prowadzącej działalność na własny rachunek. Stanowi to naruszenie art. 83 ust. 5 lit. b)RODO . Ponieważ waga naruszenia ma być sklasyfikowana jako "niewielka", organ nadzorczy ochrony danych uważa, że czynnikiem może być "tylko" 2 (poziom 4); w opinii organu nadzorczego ochrony danych korekta nie jest właściwa (poziom 5).

Grzywna wynosiłaby zatem 1 944 EUR.

Wniosek

Koncepcja grzywien DSK jasno pokazuje teraz, że nawet stosunkowo niewielkie naruszenia ochrony danych będą skutkowały odpowiednimi grzywnami. Dlatego też wszystkie przedsiębiorstwa powinny jak najszybciej sprawdzić lub zlecić sprawdzenie, czy spełniają wszystkie wymogi ochrony danych, takie jak prawidłowy baner ciasteczekzgodnie z przepisami. Wynika to z faktu, że organy ochrony danych nie działają przypadkowo, lecz głównie wtedy, gdy zgłaszane są im naruszenia ochrony danych. W praktyce raporty te często pochodzą od niezadowolonych klientów lub konkurentów, którzy chcą w ten sposób zaszkodzić swojej konkurencji.

Artykuły pokrewne

Komentarze do tego artykułu

Napisz komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola oznaczone są * Zaznaczone.