Svima nam je jasno da je GDPR jedna od najstrožih regulativa u EU/EEA, uz njezinu kompleksnost svijet se preokrenuo zbog maksimalnih zapriječenih kazni.

Za najteža kršenja člankom 83. GDPR-a zapriječena je maksimalna kazna u iznosu do 20 000 000 EUR, ili u slučaju poduzetnika do 4 % ukupnog godišnjeg prometa na svjetskoj razini za prethodnu financijsku godinu, ovisno o tome što je veće.

Ključni opći kriteriji izricanja upravnih novčanih kazni kazne prvenstveno su njihova učinkovitost, proporcionalnost i odvraćanje od daljnje nezakonite prakse, dok se nizom daljnjih kriterija iz članka 83. stavka 2. izračunava opravdani i obrazloženi iznos kazne, koji, između ostalog, ovisi o prirodi i težini kršenja GDPR-a, npr. koliko je fizičkih osoba oštećeno i kakva je šteta za njih, jel se radilo o namjeri ili nepažnji, o poduzetim mjerama da do kršenja ne dođe, jel ista strana već kršila GDPR, jel surađivala s nadzornim tijelom ili npr. jel nadzorno tijelo saznalo za kršenje priznanjem ili drugim izvorima itd.

Na tim kriterijima danas se i u Hrvatskoj izriču kazne i AZOP ih u svojim rješenjima detaljno obrazlaže.

No, ipak, kad su u pitanju pravne osobe, poduzetnici ili grupe poduzetnika koje djeluju u više zemalja ili globalno, ne smiju misliti da će se gore navedeni postotak do 4% ukupnog godišnjeg prometa na godišnjoj razini obračunavati samo na temelju financijskih pokazatelja jedne nacionalne podružnice međunarodne grupacije koja se ogriješila o GDPR.

Imamo napokon i pojašnjenje od strane Europskog suda u predmetu C-383/23 dostupno ovdje:

https://curia.europa.eu/juris/document/document.jsf;jsessionid=B6B9551E48F83FB1DCA11154781C043C?text=2016%252F679&docid=290027&pageIndex=0&doclang=HR&mode=req&dir=&occ=first&part=1&cid=3480945#ctx1

 

Izdvajamo:

% Iznose kazne iz članaka 83. stavaka 4.-6. GDPR-a treba tumačiti na način da u slučaju kada se novčane kazne izriču voditelju obrade ili izvršitelju obrade koji je poduzetnik (ili koji čini njegov dio), tada se u svrhu određivanja najvišeg iznosa novčane kazne pojam „poduzetnik” mora tumačiti na način da odgovara pojmu „poduzetnik” u smislu članaka 101. i 102. UFEU‑a (Ugovora o funkcioniranju Europske unije).

% Stoga se u obzir uzima ukupni godišnji promet na svjetskoj razini poduzetnika čiji je voditelj obrade ili izvršitelj obrade dio.

% Međutim, pri određivanju konkretne novčane kazne koju treba izreći, pojam „poduzetnik” mora se tumačiti u vezi s člankom 83. stavcima 1. i 2. GDPR-a i koristiti kao jedan od više elemenata koji su relevantni pri razmatranju specifičnih okolnosti pojedinačnog slučaja.

% S tim u vezi specifične okolnosti mogu se odnositi na ovlast odlučivanja društva majke, opseg obrade podataka kojom se krši pravila GDPR-a i broj subjekata poduzetnika koji su uključeni u kršenje.

% Kada nacionalni sud izriče takvu novčanu kaznu u vezi s člankom 83. stavkom 9. GDPR-a u okviru kaznenog postupka, konkretna novčana kazna mora se odmjeriti s obzirom na načela koja se primjenjuju u kaznenom pravu.

% U tom kontekstu nacionalni sud mora osigurati poštovanje načela proporcionalnosti pri određivanju konkretne novčane kazne, pri čemu se postiže pravedna ravnoteža između zahtjeva općeg interesa zajednice u zaštiti osobnih podataka i zahtjeva zaštite temeljnih prava voditelja obrade, izvršitelja obrade ili poduzetnika čiji je on dio.

 

Image from FreePik

#gdprcroatia