Još 2017. je središnje EU tijelo za davanje tumačenja GDPR-a i okvira zaštite podataka u EU - Radna skupina iz članka 29, skraćeno WP29, izdalo i danas važeće Smjernice o primjeni i određivanju upravnih novčanih kazni za potrebe Uredbe 2016/679 ili "po domaći" - GDPR-a.
Izdvajamo:
- upravne novčane kazne trebale bi se izricati ovisno o prirodi, težini i posljedicama kršenja, a nadzorna tijela moraju dosljedno i objektivno procijeniti sve činjenice nekog slučaja
- nadzorna tijela trebala bi utvrditi korektivnu mjeru čije je izricanje „učinkovito, proporcionalno i odvraćajuće”, a pojmovi učinkovitosti, proporcionalnosti i odvraćanja preciznije će se odrediti u okviru najnovije prakse nadzornih tijela, kao i tijekom sudske prakse dok se ta načela tumače
- nadzorna tijela mogu ponekad novčanu kaznu zamijeniti službenom opomenom ako je došlo do lakšeg kršenja („umjesto novčane kazne može se izdati upozorenje”)
- pokazatelj težine kršenja može biti ne samo priroda kršenja, već i „opseg, svrha predmetne obrade kao i broj ispitanika i razina štete koju su pretrpjeli”
- trebalo bi procijeniti broj obuhvaćenih ispitanika kako bi se utvrdilo je li riječ o izoliranom slučaju ili je to znak sustavnijeg kršenja ili nepostojanja odgovarajućih rutinskih postupaka
- ako su ispitanici pretrpjeli štetu, u obzir se mora uzeti razina štete
- trajanje kršenja također može biti kriterij za određivanje kazne, kao i kriterij ima li kršenje obilježje namjere ili nepažnje, npr. nezakonita obrada koja se obavlja unatoč savjetu službenika za zaštitu podataka
- svaka radnja koju je voditelj obrade ili izvršitelj obrade poduzeo kako bi ublažio štetu koju su pretrpjeli ispitanici ima značajan utjecaj kao i prethodno primjenjene tehničke i organizacijske mjere u skladu s člancima 25. i 32. GDPR-a
- sva relevantna prijašnja kršenja voditelja obrade ili izvršitelja obrade svakako imaju značajan utjecaj pri određivanju kazne kao i stupanj suradnje s nadzornim tijelom kako bi se otklonilo kršenje i ublažili mogući štetni učinci tog kršenja
- nije svejedno koje kategorije osobnih podataka se kompromitiraju ili su povezane s kršenjem GDPR-a
- nadzorno tijelo može smatrati da veću kaznu zaslužuje voditelj obrade podataka / izvršitelj obrade podataka koji je postupio nemarno i nije uopće izvijestio o povredi ili pak nije izvijestio o svim pojedinostima kršenja jer nije mogao primjereno procijeniti opseg kršenja
Uz sve navedeno moramo ponovno naglasiti da povrh svih navedenih oblika kazni postoji ipak samo jedna i najveća - NEPOVRATNI GUBITAK REPUTACIJE koju gradite godinama i desetljećima poslovanja ili djelovanja u zajednici.
Smjernice o primjeni i određivanju upravnih novčanih kazni za potrebe Uredbe 2016/679 nalaze se na ovom linku:
https://azop.hr/images/dokumenti/217/wp253_hr_novcane_kazne.pdf