Svima nam je jasno da je GDPR jedna od najstrožih regulativa u EU/EEA, uz njezinu kompleksnost svijet se preokrenuo zbog maksimalnih zapriječenih kazni.
Za najteža kršenja člankom 83. GDPR-a zapriječena je maksimalna kazna u iznosu do 20 000 000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće.
Ključni opći kriteriji izricanja upravnih novčanih kazni kazne prvenstveno su njihova učinkovitost, proporcionalnost i odvraćanje od daljnje nezakonite prakse, dok se nizom daljnjih kriterija iz članka 83. stavka 2. izračunava opravdani i obrazloženi iznos kazne, koji, između ostalog, ovisi o prirodi i težini kršenja GDPR-a, npr. koliko je fizičkih osoba oštećeno i kakva je šteta za njih, jel se radilo o namjeri ili nepažnji, o poduzetim mjerama da do kršenja ne dođe, jel ista strana već kršila GDPR, jel surađivala s nadzornim tijelom ili npr. jel nadzorno tijelo saznalo za kršenje priznanjem ili drugim izvorima itd.
Na tim kriterijima danas se i u Hrvatskoj izriču kazne i AZOP ih u svojim rješenjima detaljno obrazlaže.
No, ipak, kad su u pitanju pravne osobe, poduzetnici ili grupe poduzetnika koje djeluju u više zemalja ili globalno, ne smiju misliti da će se gore navedeni postotak do 4% ukupnog godišnjeg prometa na godišnjoj razini obračunavati samo na temelju financijskih pokazatelja jedne nacionalne podružnice međunarodne grupacije koja se ogriješila o GDPR.
Imamo napokon i pojašnjenje od strane Europskog suda u predmetu C-383/23 dostupno ovdje:
Izdvajamo:
% Iznose kazne iz članaka 83. stavaka 4.-6. GDPR-a treba tumačiti na način da u slučaju kada se novčane kazne izriču voditelju obrade ili izvršitelju obrade koji je poduzetnik (ili koji čini njegov dio), tada se u svrhu određivanja najvišeg iznosa novčane kazne pojam „poduzetnik” mora tumačiti na način da odgovara pojmu „poduzetnik” u smislu članaka 101. i 102. UFEU‑a (Ugovora o funkcioniranju Europske unije).
% Stoga se u obzir uzima ukupni godišnji promet na svjetskoj razini poduzetnika čiji je voditelj obrade ili izvršitelj obrade dio.
% Međutim, pri određivanju konkretne novčane kazne koju treba izreći, pojam „poduzetnik” mora se tumačiti u vezi s člankom 83. stavcima 1. i 2. GDPR-a i koristiti kao jedan od više elemenata koji su relevantni pri razmatranju specifičnih okolnosti pojedinačnog slučaja.
% S tim u vezi specifične okolnosti mogu se odnositi na ovlast odlučivanja društva majke, opseg obrade podataka kojom se krši pravila GDPR-a i broj subjekata poduzetnika koji su uključeni u kršenje.
% Kada nacionalni sud izriče takvu novčanu kaznu u vezi s člankom 83. stavkom 9. GDPR-a u okviru kaznenog postupka, konkretna novčana kazna mora se odmjeriti s obzirom na načela koja se primjenjuju u kaznenom pravu.
% U tom kontekstu nacionalni sud mora osigurati poštovanje načela proporcionalnosti pri određivanju konkretne novčane kazne, pri čemu se postiže pravedna ravnoteža između zahtjeva općeg interesa zajednice u zaštiti osobnih podataka i zahtjeva zaštite temeljnih prava voditelja obrade, izvršitelja obrade ili poduzetnika čiji je on dio.
Image from FreePik
#gdprcroatia