Nizozemsko tijelo za zaštitu osobnih podataka DPA (Autoriteit Persoonsgegevens) je nedavno donijela prvu razrađenu strukturu kazni za prekršitelje GDPR-a.
Problematika
Kao što znamo, GDPR je u tekstu dosta neodređen glede visine kazni za pojedine prekršaje. Postavljene su maksimalne vrijednosti od 10 milijuna eura ili 2% globalnog prihoda za manje prekršaje i 20 milijuna ili 4% za ozbiljnije. Takva situacija dovela je do toga da su se nacionalna tijela našla na nejasnom području glede odluke o visini kazne. Što pak znači da su u pojedinim situacijama različita tijela za iste ili slične prekršaje, određivala drastično različite kazne.
Nizozemsko tijelo je prvo u Europi uočilo problem i uložilo trud u rješavanje istoga. Rezultat tog truda je sustav koji omogućuje izricanje kazni na način prilagođen težini prekršaja. Sustav se sastoji od četiri kategorije prekršaja i određenih raspona kazni koje im odgovaraju.
Kategorije
Prva kategorija je rezervirana za jednostavne prekršaje kao npr. loše ili nepotpuno vođenje dokumentacije vezane uz GDPR i neobjavljivanje rada službenika za zaštitu podataka. Prekršaji tog tipa spadaju u raspon kazne do 200 000 eura s uobičajenom početnom kaznom od 100 000 eura.
Druga kategorija odnosi se na prekršaje poput nedostatka u temeljima za prikupljaju podataka, privolama, nedovoljno osiguranje podataka, nepravovremena izrada procjene ugroženosti podataka i sl. Kazne su u rasponima od 125 000 do 500 000 eura s prosječnom početnom kaznom od 310 000 eura.
Treća kategorija sastoji se od prekršaja poput netransparentnosti, propusta u obavještavanju nadležnog tijela o problemima i ugrožavanjima osobnih podataka, te nedostatak suradnje s nadležnim tijelom. Kazne se kreću za ovu kategoriju u rasponu od 300 000 do 750 000 eura s prosječnom početnom kaznom od 525 000.
Posljednja i najteža kategorija u arsenalu ima kazne od 450 000 do 1 000 000 eura s prosječnom početnom kaznom od 725 000. Prekršaji na koje se takve kazne odnose su npr. nezakonito procesuiranje podataka, nezakonito profiliranje, te odbijanje izvršavanja naredbi nadležnog tijela.
Prosječan početna kazna označava početnu sumu od koje se smanjuje ili povećava iznos kazne ovisno o otegotnim ili olakotnim okolnostima. Posebno se gleda na razinu suradnje s nadležnim tijelom, ali i težina djela, trajanje, broj osoba čini su podaci ugroženi, te razmjer štete su važne varijable prema kojima se kroji konačni iznos.
Zaključak
Zahvaljujući trudu nizozemskog tijela nastao je prvi sustav određivanja kazne u EU. Vrijeme će pokazati hoće li ostale zemlje koje primjenjuju GDPR, koristi isti sustav ili će uložiti vrijeme i trud da razviju svoj, ali malo je vjerojatno da će biti jako različit od ovoga. S razrađenim sustavom određivanja kazni može se očekivati da će mnoga nadzorna tijela u državama članicama biti spremnija i sigurnija pri određivanju sankcija za prekršitelje, što je neugodna vijest za one koji kasne s usklađivanjem.