Ukládání pokut podle GDPR: dosavadní praxe a nová metodika ke kalkulaci pokut
Když v květnu 2018, tedy přesně před čtyřmi lety, vstupovalo v účinnost nařízení GDPR[1], nejvíce rezonovaly napříč trhem i odbornou veřejností drakonické pokuty dosahující až 4 % celosvětového obratu. Především v prvních měsících a letech účinnosti panovala napříč EU velká právní nejistota ohledně očekávaných pokut. I přesto, že maximální výše pokut dle GDPR může být drakonická, pokuty v horní hranici maximálních částek jsou ukládány v EU spíše výjimečně za opravdu zásadní porušení GDPR značného rozsahu.
Dosavadní praxe dozorových úřadů v EU však není jednotná. Ke sjednocení postupu při ukládání pokut nyní zveřejnil Evropský sbor pro ochranu osobních údajů (EDPB) nové stanovisko. Stanovisko je aktuálně podrobeno veřejné konzultaci, jeho znění tedy může dostát změn.
Co říká GDPR k ukládání pokut
Konečné rozhodování o výši konkrétní pokuty za porušení GDPR je ponecháno na správním uvážení dozorového úřadu, přičemž GDPR poskytuje k ukládání pokut obecný návod a ohraničuje maximální výši pokut. Právě k výkladu těchto obecných pravidel směřuje nová metodika EDPB.
GDPR umožňuje ukládat pokuty za jednotlivá porušení nařízení až do výše 20 milionů EUR či 4 % celkového ročního obratu celosvětově za předchozí finanční rok. Pro rozhodování o výši pokuty GDPR stanoví obecné pravidlo, které říká, že pokuty za porušení GDPR mají být v každém jednotlivém případě účinné, přiměřené a odrazující. GDPR dále stanoví výčet okolností, které mají být jednotlivými úřady zohledněny při rozhodování o výši pokut, mezi které patří například úmysl či nedbalost subjektu, povaha a závažnost porušení GDPR při zohlednění povahy zpracování osobních údajů, kroky podniknuté po zjištění porušení GDPR (například okamžité přijetí nápravných opatření) a míra spolupráce s dozorovým úřadem, předchozí porušení GDPR daným subjektem, splnění nápravných opatření uložených dozorovým úřadem apod.[2]
Vedle uložení správních pokut GDPR dále stanoví řadu dalších nápravných pravomocí dozorových úřadů, ke kterým lze přistoupit vedle či namísto uložení správní pokuty. Mezi tato opatření patří například upozornění na pravděpodobné porušení GDPR, udělení napomenutí, nařízení vyhovět žádostem subjektů údajů, nařízení uvedení zpracování osobních údajů do souladu s GDPR, uložení omezení či zákazu zpracování osobních údajů, nařízení opravy či výmazu údajů, nařízení přerušení předávání osobních údajů do třetích zemí a podobně.
Kalkulace pokut podle návrhu nové metodiky EDPB
Evropský sbor pro ochranu osobních údajů (EDPB) nedávno zveřejnil nové pokyny ke kalkulaci správních pokut podle GDPR.[3] Pokyny byly zveřejněny v prvním znění k veřejné konzultaci, která běží od 16. května 2022 do 27. června 2022. Prozatím se tedy nejedná o finální znění a může dojít ke změnám.
Pokyny mají za cíl harmonizovat metodologii dozorových úřadů při výpočtu výše správních pokut udělovaných dle GDPR. Pokyny mají doplnit již dříve vydané pokyny pracovní skupiny[4] č. WP 253 k uplatňování a stanovování správních pokut pro účely GDPR ze dne 3. října 2017.[5]
Pokyny zavádí metodu výpočtu správních pokut dle GDPR, která je rozdělena do pěti kroků:
» Krok 1: Identifikace jednání porušujícího GDPR
Než dozorový úřad přikročí k posuzování výše pokuty, je třeba identifikovat jednání a porušení GDPR, které má být postihováno pokutou. Tedy zjistit, k jakému došlo jednání, jaké jsou skutkové okolnosti (například pro posouzení polehčujících a přitěžujících okolností) a jak se toto jednání posoudí z hlediska GDPR, respektive které porušení GDPR způsobí.
Metodika dále zavádí pravidla pro posuzování souběhu vícero jednání a porušení (tedy pokud bylo například jedním jednáním porušeno více ustanovení GDPR či zda se jedná o různá jednání zakládající samostatná porušení). Pokud se totiž jedná o stejné či související operace zpracování porušující více ustanovení GDPR, ukládá se dle GDPR pouze jedna pokuta stanovená podle nejzávažnějšího porušení. V tomto směru však není vyloučené, že metodika narazí na hranice národních procesních předpisů a nebude tudíž plně aplikovatelná.
» Krok 2: Stanovení sazby pro další výpočet sankce
Metodika zavádí princip výpočtu základní sazby pokuty, od které se má odvíjet uložení pokuty. Byť tedy stanovení základní sazby dle pokynů není pro dozorové úřady závazné a nevylučuje uložení pokuty pod či nad hranicí této sazby, dá se očekávat, že povede ke sjednocení výše pokut ukládaných dozorovými úřady.
Tato základní sazba určená jako procento z maximální výše pokuty se potom určuje podle:
- Kategorie porušení GDPR – tedy zda se jedná o porušení, za něž lze uložit pokutu 10 mil. EUR/ 2 % obratu či 20 mil. EUR/ 4 % obratu;
- Závažnosti porušenípři zohlednění okolností stanovených v článku 83 odst. 2 GDPR, přičemž podle závažnosti rozděluje EDPB porušení do tří základních stupňů, a to podle povahy, závažnosti a trvání porušení GDPR:
- Nízký stupeň závažnosti– pokuta ve výši 0 – 10 % zákonného maxima;
- Střední stupeň závažnosti– pokuta ve výši 10 – 20 % zákonného maxima;
- Vysoký stupeň závažnosti– pokuta ve výši 20 – 100 % zákonného maxima;
- Obratu subjektu – podle obratu subjektu potom EDPB zavádíkoeficient, kterým se výše uvedené procentuální hranice mění podle obratu daného subjektu. Hledisko obratu je zavedeno přitom především proto, aby byl naplněn ultimátní cíl uložení účinné, přiměřené a odrazující pokuty. Metodika zatím počítá s šesti stupni (od obratu pod 2 miliony EUR až do obratů převyšujících 250 milionů EUR), přičemž podle výše obratu se výše uvedená základní sazba dále snižuje na 0,2 % do 50 % výše uvedených procentuálních částek ze zákonného maxima.
Na základě výše uvedené metodiky lze tedy dojít k velmi jednoduché rovnici, na základě které má být vypočten rozsah, ve kterém by měla být výsledná pokuta uložena. Z této rovnice lze potom vyčíst rozsah pokut dle závažnosti porušení a obratu subjektu a vydedukovat tak snížená (byť neformální a nezávazná) „maxima“ pokut za porušení GDPR. Z aktuální verze metodiky lze například vyčíst, že u subjektů s ročním obratem nepřevyšujícím 50 milionů EUR by za méně závažná porušení měla být uložena pokuta nepřevyšující 40 tisíc EUR (v přepočtu cca 1 milion Kč). Vzhledem k veřejné konzultaci očekáváme, že se konkrétní procentuální body či princip výpočtu mohou dále měnit.
Zavedení metodiky založené na tomto výpočtu by tak výrazně napomohlo právní jistotě napříč EU, neboť subjekty by se již nadále nemusely obávat univerzální drakonické pokuty 20 milionů EUR (či 4 % z obratu) za jakékoli porušení GDPR, ale mohli by předem transparentně rozlišovat rizika dle závažnosti daného porušení GDPR.
» Krok 3: Zhodnocení polehčujících a přitěžujících okolností
Konkrétní výše pokuty v rámci rozsahu vypočteného dle výše popsané kalkulace by potom měla být určena při zohlednění polehčujících a přitěžujících okolností vyjmenovaných v článku 83 odst. 2 GDPR. Mezi tyto okolnosti patří například kroky podniknuté subjektem ke zmírnění škod, míra odpovědnosti subjektu s ohledem na přijatá technická a organizační opatření, předchozí porušení GDPR daným subjektem, míra spolupráce s dozorovým úřadem apod.
Pro zhodnocení polehčujících a přitěžujících okolností již metodika nepřináší exaktní výpočet ve formě procent či rovnic, neboť zohlednění okolností má být plně ponecháno správnímu uvážení dozorového orgánu. Metodika pouze napomáhá tyto okolnosti lépe interpretovat.
» Krok 4: Omezení maximální výše pokuty
V dalším kroku by měl dozorový úřad zhodnotit, zda vypočtená pokuta nepřekračuje maximální hranici stanovenou GDPR. V tomto směru metodika zejména rozpracovává postup pro výpočet maximální hranice vycházející z celosvětového obratu a nabízí návod k interpretaci pojmů obrat a podnik.
» Krok 5: Zhodnocení účinnosti, přiměřenosti a odrazujícího účinku sankce
V závěrečném kroku by dozorový úřad měl zhodnotit, zda je finální výše pokuty vypočtená podle stanoveného postupu skutečně účinná, přiměřená a odrazující. Pokud by tyto požadavky nebyly naplněny, může dozorový úřad pokutu dále zvýšit či snížit i bez ohledu na výpočet dle metodiky. Metodika dále interpretuje, co znamená, že je pokuta účinná, přiměřená a odrazující.
Závěr
Jak bylo popsáno výše, GDPR stanoví maximální výši pokut a obecná vodítka pro dozorové orgány. I přesto se však doposud značně liší přístup dozorových úřadů napříč Evropskou unií a výše ukládaných pokut za porušení GDPR. Zatímco některé úřady již uložily drakonické pokuty dosahující stovek milionů EUR, jiné úřady ukládají pokuty v nižších desítkách tisíc EUR. Rozdíly jsou samozřejmě výrazně ovlivněny jednotlivými případy, které dané úřady řeší (a zejména tím, že některé úřady vystupují jako vedoucí dozorové úřady globálních hráčů a ukládají drakonické pokuty právě těmto subjektům). Jednou z příčin rozdílů v udělování pokut však může být i rozdílný přístup a metodologie dozorových úřadů při ukládání správních pokut.
Přijetí metodiky by mohlo především pozitivně přispět k vyšší právní jistotě a vyšší předvídatelnosti výpočtu pokut napříč EU. Mimo jiné zejména proto, že metodika přináší koncept výpočtu základní sazby pokuty, vypočtené jako procento z maximální výše pokuty podle kategorie porušení, míry závažnosti porušení a výše obratu daného subjektu. Nadále by tak nemusela platit univerzální drakonická pokuta 20 milionů EUR (či 4 % obratu) za porušení GDPR, ale mohlo by být možné transparentním výpočtem předem odhadnout předpokládanou maximální pokutu pro konkrétní porušení (byť tedy nezávazně). Přijetí metodiky by tudíž mohlo přispět ke sjednocení praxe ukládání pokut napříč Evropskou unií.
[1] Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
[2] Článek 83 GDPR.
[3] Guidelines 04/2022 on the calculation of administrative fines under the GDPR publikované dne 16. května 2022 k veřejné konzultaci, dostupné >>> zde [cit. 27.5.2022].
[4] Pracovní skupina zřízená dle článku 29 původní směrnice 95/46/ES ochraně fyzických osob v souvislosti se zpracováním osobních údajů, která působila jako předchůdce Evropského sboru pro ochranu osobních údajů zřízeném GDPR.
[5] Pokyny č. WP 253 k uplatňování a stanovování správních pokut pro účely GDPR ze dne 3. října 2017, dostupné >>> zde [cit. 27.5.2022].