GDPR και Πρόστιμα: Οι κατευθυντήριες γραμμές προς τις εποπτικές αρχές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων

GDPR και Πρόστιμα:

Οι κατευθυντήριες γραμμές της Ομάδας Εργασίας 29 προς τις εποπτικές αρχές και τα σημεία προσοχής για την εφαρμογή και τον καθορισμό διοικητικών προστίμων υπό τον GDPR.

Η ΕΕ ολοκλήρωσε μια εκτεταμένη μεταρρύθμιση των κανονισμών περί προστασίας των δεδομένων προσωπικού χαρακτήρα στην Ευρώπη. Η μεταρρύθμιση στηρίζεται σε διάφορους πυλώνες (βασικά στοιχεία): συνεκτικούς κανόνες, απλουστευμένες διαδικασίες, συντονισμένες δράσεις, συμμετοχή των χρηστών, αποτελεσματικότερη πληροφόρηση και ενισχυμένες εκτελεστικές εξουσίες.

Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία των δεδομένων έχουν αυξημένες αρμοδιότητες με σκοπό την διασφάλιση της αποτελεσματικής προστασίας των δεδομένων προσωπικού χαρακτήρα των προσώπων. Οι εποπτικές αρχές έχουν εξουσίες για την εξασφάλιση της τήρησης των αρχών του γενικού κανονισμού για την προστασία δεδομένων (εφεξής ο «κανονισμός»), καθώς και των δικαιωμάτων των ενδιαφερόμενων προσώπων σύμφωνα με το γράμμα και το πνεύμα του κανονισμού.

Η συνεπής εφαρμογή των κανόνων περί προστασίας των δεδομένων έχει καίρια σημασία για ένα εναρμονισμένο καθεστώς προστασίας των δεδομένων.

Τα διοικητικά πρόστιμα αποτελούν κεντρικό στοιχείο του νέου καθεστώτος εφαρμογής που εισήγαγε ο κανονισμός και σημαντικό μέρος της εργαλειοθήκης επιβολής των εποπτικών αρχών σε συνδυασμό με άλλα μέτρα που προβλέπονται από το άρθρο 58.

GDPR και πρόστιμα: Βασικές Αρχές, Έννοιες και Ορισμοί που πρέπει να τηρούν οι εποπτικές αρχές:

Εφόσον διαπιστωθεί παράβαση του κανονισμού με βάση την αξιολόγηση των πραγματικών περιστατικών, η αρμόδια εποπτική αρχή πρέπει να προσδιορίσει τα πλέον κατάλληλα διορθωτικά μέτρα για την αντιμετώπιση της παράβασης.

Οι διατάξεις του άρθρου 58 παράγραφος 2 στοιχεία β)-ι) προσδιορίζουν τα εργαλεία που μπορούν να χρησιμοποιούν οι εποπτικές αρχές για την αντιμετώπιση περιπτώσεων μη συμμόρφωσης από υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία.

Κατά την άσκηση των εν λόγω εξουσιών, οι εποπτικές αρχές οφείλουν να τηρούν τις παρακάτω αρχές:

GDPR και πρόστιμα: Η παράβαση του GDPR θα πρέπει να οδηγεί στην επιβολή «ισοδύναμων κυρώσεων»

Η έννοια της «ισοδυναμίας» είναι βασική στον καθορισμό της έκτασης των υποχρεώσεων των εποπτικών αρχών ώστε να διασφαλίζεται η συνεκτικότητα κατά τη χρήση των διορθωτικών τους εξουσιών σύμφωνα με το άρθρο 58 παράγραφος 2 εν γένει και την επιβολή διοικητικών κυρώσεων ειδικότερα.

Για τη διασφάλιση συνεκτικής και υψηλού επιπέδου προστασίας των φυσικών προσώπων και την άρση των εμποδίων στις ροές δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης, το επίπεδο προστασίας των δικαιωμάτων και των ελευθεριών των φυσικών προσώπων σε σχέση με την επεξεργασία των εν λόγω δεδομένων θα πρέπει να είναι ισοδύναμο σε όλα τα κράτη μέλη .

Στην αιτιολογική σκέψη 11 αναλύεται το γεγονός ότι ισοδύναμο επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα σε ολόκληρη την Ένωση απαιτεί, μεταξύ άλλων, «αντίστοιχ[ες] εξουσ[ίες] παρακολούθησης και διασφάλισης της συμμόρφωσης προς τους κανόνες προστασίας των δεδομένων προσωπικού χαρακτήρα και [...] αντίστοιχ[ες] κυρώσε[ις] για τις παραβιάσεις στα κράτη μέλη.».

Επιπλέον, οι ισοδύναμες κυρώσεις σε όλα τα κράτη μέλη καθώς και η αποτελεσματική συνεργασία μεταξύ των εποπτικών αρχών των διάφορων κρατών μελών θεωρούνται τρόπος «αποφυγή[ς] αποκλίσεων που εμποδίζουν την ελεύθερη κυκλοφορία των δεδομένων προσωπικού χαρακτήρα στην εσωτερική αγορά», σύμφωνα με την αιτιολογική σκέψη 13 του κανονισμού.

Ο κανονισμός θέτει ισχυρότερη βάση από την οδηγία 95/46/ΕΚ για μεγαλύτερη συνεκτικότητα, καθώς ο κανονισμός ισχύει άμεσα στα κράτη μέλη. Αν και οι εποπτικές αρχές λειτουργούν «με πλήρη ανεξαρτησία» (άρθρο 52) σε σχέση με τις εθνικές κυβερνήσεις, τους υπεύθυνους επεξεργασίας ή τους εκτελούντες την επεξεργασία, οφείλουν να συνεργάζονται «με σκοπό να διασφαλίσ[ουν] τη συνεκτικότητα της εφαρμογής και της επιβολής του παρόντος κανονισμού» [άρθρο 57 παράγραφος 1 στοιχείο ζ)].

Ο κανονισμός απαιτεί μεγαλύτερη συνεκτικότητα από την οδηγία 95/46/ΕΚ κατά την επιβολή κυρώσεων. Σε διασυνοριακές περιπτώσεις, η συνεκτικότητα επιτυγχάνεται κυρίως μέσω του μηχανισμού συνεργασίας (μηχανισμός μίας στάσης) και σε ορισμένο βαθμό μέσω του μηχανισμού συνεκτικότητας που προβλέπει ο νέος κανονισμός.

Σε εθνικές περιπτώσεις που καλύπτονται από τον κανονισμό, οι εποπτικές αρχές θα εφαρμόζουν τις κατευθυντήριες γραμμές σε πνεύμα συνεργασίας σύμφωνα με το άρθρο 57 παράγραφος 1 στοιχείο ζ) και το άρθρο 63 με σκοπό τη διασφάλιση της συνεκτικότητας της εφαρμογής και της επιβολής του κανονισμού. Αν και οι εποπτικές αρχές επιλέγουν τα διορθωτικά μέτρα που παρουσιάζονται στο άρθρο 58 παράγραφος 2 με πλήρη ανεξαρτησία, θα πρέπει να αποφεύγεται η επιλογή, από τις εποπτικές αρχές, διαφορετικών διορθωτικών μέτρων σε παρόμοιες περιπτώσεις.

Η ίδια αρχή ισχύει όταν τα διορθωτικά μέτρα επιβάλλονται με τη μορφή προστίμων.

Σημειώνεται οτι ακόμη και στις περιπτώσεις που στα νομικά συστήματα ορισμένων χωρών της ΕΕ δεν προβλέπονται διοικητικά πρόστιμα όπως καθορίζονται στον κανονισμό, η εφαρμογή των κανόνων στα εν λόγω κράτη μέλη πρέπει να έχει ισοδύναμο αποτέλεσμα με διοικητικά πρόστιμα που επιβάλλονται από τις εποπτικές αρχές (αιτιολογική σκέψη 151). Τα δικαστήρια δεσμεύονται από τον κανονισμό αλλά δεν δεσμεύονται από τις κατευθυντήριες γραμμές του Ευρωπαϊκού Συμβούλιου Προστασίας Δεδομένων.

Τι σημαίνει "ισοδύναμες κυρώσεις" για έναν οργανισμό στο πλαίσιο του GDPR σε απλά λόγια;

Ισοδύναμες κυρώσεις στον GDPR σημαίνει οτι το πιθανό πρόστιμο θα είναι ουσιαστικά ίδιο σε οποιαδήποτε χώρα και αν διαπιστωθεί και από οποιαδήποτε αρχή.

GDPR και πρόστιμα: Όπως όλα τα διορθωτικά μέτρα που επιλέγονται από τις εποπτικές αρχές, τα διοικητικά πρόστιμα θα πρέπει να είναι «αποτελεσματικά, αναλογικά και αποτρεπτικά».

Όπως όλα τα διορθωτικά μέτρα εν γένει, τα διοικητικά πρόστιμα στον GDPR θα πρέπει να ανταποκρίνονται επαρκώς στη φύση, τη βαρύτητα και τις συνέπειες της παράβασης και οι εποπτικές αρχές οφείλουν να αξιολογούν όλα τα πραγματικά περιστατικά της υπόθεσης κατά τρόπο συνεκτικό και αντικειμενικά δικαιολογημένο.

Η αξιολόγηση του τι είναι αποτελεσματικό, αναλογικό και αποτρεπτικό σε κάθε περίπτωση θα πρέπει να αποτυπώνει και τον στόχο που επιδιώκεται με το διορθωτικό μέτρο που επιλέχθηκε, δηλαδή είτε την αποκατάσταση της συμμόρφωσης με τους κανόνες είτε την τιμωρία παράνομης συμπεριφοράς (ή αμφότερα).

Οι εποπτικές αρχές θα πρέπει να προσδιορίζουν το διορθωτικό μέτρο που είναι «αποτελεσματικό, αναλογικό και αποτρεπτικό» (άρθρο 83 παράγραφος 1) τόσο σε εθνικές περιπτώσεις (άρθρο 55) όσο και σε περιπτώσεις που αφορούν τη διασυνοριακή επεξεργασία δεδομένων προσωπικού χαρακτήρα (όπως ορίζεται στο άρθρο 4 παράγραφος 23).

Οι παρούσες κατευθυντήριες γραμμές αναγνωρίζουν ότι η εθνική νομοθεσία μπορεί να θέτει επιπλέον απαιτήσεις όσον αφορά τη διαδικασία επιβολής που εφαρμόζεται από τις εποπτικές αρχές. Σʼ αυτές μπορεί να περιλαμβάνονται π.χ. η κοινοποίηση διεύθυνσης, ο τύπος, οι προθεσμίες για την υποβολή δηλώσεων, η ένσταση, η επιβολή και η πληρωμή.

Ωστόσο, οι εν λόγω απαιτήσεις δεν θα πρέπει να εμποδίζουν στην πράξη την επίτευξη αποτελεσματικότητας, αναλογικότητας και αποτρεπτικότητας.

Μέσω της αναδυόμενης πρακτικής των εποπτικών αρχών θα επιτευχθεί ακριβέστερος καθορισμός της αποτελεσματικότητας, της αναλογικότητας και της αποτρεπτικότητας (όσον αφορά την προστασία δεδομένων καθώς και τα διδάγματα που αντλήθηκαν από άλλους ρυθμιστικούς τομείς) ενώ από την ερμηνεία τους θα προκύψει νομολογία.

Προκειμένου τα πρόστιμα που εφαρμόζει να είναι αποτελεσματικά, αναλογικά και αποτρεπτικά, η εποπτική αρχή χρησιμοποιεί για τον ορισμό της έννοιας της επιχείρησης τον ορισμό του ΔΕΕ για τους σκοπούς της εφαρμογής των άρθρων 101 και 102 της ΣΛΕΕ, δηλαδή ότι ως επιχείρηση νοείται η οικονομική ενότητα που μπορεί να σχηματιστεί από τη μητρική εταιρεία και όλες τις σχετικές θυγατρικές. Σύμφωνα με τη νομοθεσία και τη νομολογία της ΕΕ, ως επιχείρηση πρέπει να νοείται η οικονομική ενότητα που ασκεί εμπορική/οικονομική δραστηριότητα, ανεξαρτήτως του εμπλεκόμενου νομικού προσώπου.

Τι σημαίνει "αποτελεσματικά, αναλογικά και αποτρεπτικά" πρόστιμα για μια επιχείρηση στον GDPR σε απλά λόγια;

Οτι ανεξάρτητα του αν η παράβαση αφορά θυγατρική ενός ομίλου, το πρόστιμο είναι εξαιρετικά πιθανό να αφορά το σύνολο του ομίλου και να είναι ανάλογο της συνολικής οικονομικής δραστηριότητας.

GDPR και πρόστιμα: Η αρμόδια εποπτική αρχή θα προβαίνει σε αξιολόγηση «σε κάθε μεμονωμένη περίπτωση».

Διοικητικά πρόστιμα μπορούν να επιβληθούν για ευρύ φάσμα παραβάσεων στον GDPR. Το άρθρο 83 του κανονισμού προβλέπει εναρμονισμένη προσέγγιση όσον αφορά τις παραβάσεις υποχρεώσεων που απαριθμούνται ρητά στις παραγράφους 4-6.

Σύμφωνα με το δίκαιο των κρατών μελών, η εφαρμογή του άρθρου 83 μπορεί να επεκταθεί στις δημόσιες αρχές και τους φορείς που έχουν συσταθεί στο εν λόγω κράτος μέλος. Επιπλέον, το δίκαιο των κρατών μελών μπορεί να προβλέπει ή και να επιβάλλει την επιβολή προστίμου για την παράβαση άλλων διατάξεων πέρα από αυτές που αναφέρονται στο άρθρο 83 παράγραφοι 3 έως 6.

Ο κανονισμός προβλέπει την αξιολόγηση κάθε περίπτωσης ξεχωριστά. Το άρθρο 83 παράγραφος 2 αποτελεί αφετηρία για την εν λόγω μεμονωμένη αξιολόγηση. Στην παράγραφο ορίζεται ότι «[κ]ατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου, καθώς και σχετικά με το ύψος του διοικητικού προστίμου για κάθε μεμονωμένη περίπτωση, λαμβάνονται δεόντως υπόψη τα ακόλουθα...». Αντίστοιχα και με βάση την αιτιολογική σκέψη 148, η εποπτική αρχή είναι υπεύθυνη για την επιλογή του/των πιο κατάλληλου/-ων μέτρου/-ων.

«Προκειμένου να ενισχυθεί η επιβολή των κανόνων του παρόντος κανονισμού, κυρώσεις, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να επιβάλλονται για κάθε παράβαση του παρόντος κανονισμού, επιπρόσθετα ή αντί των κατάλληλων μέτρων που επιβάλλονται από την εποπτική αρχή σύμφωνα με τον παρόντα κανονισμό. Σε περίπτωση παράβασης ελάσσονος σημασίας ή αν το πρόστιμο που ενδέχεται να επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση σε φυσικό πρόσωπο, θα μπορούσε να επιβληθεί επίπληξη αντί προστίμου. Θα πρέπει ωστόσο να λαμβάνονται δεόντως υπόψη η φύση, η σοβαρότητα και η διάρκεια της παράβασης, ο εσκεμμένος χαρακτήρας της παράβασης, οι δράσεις που αναλήφθηκαν για τον μετριασμό της ζημίας, ο βαθμός της ευθύνης ή τυχόν άλλες σχετικές προηγούμενες παραβάσεις, ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, η συμμόρφωση με τα μέτρα κατά του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, η τήρηση κώδικα δεοντολογίας και κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο. Η επιβολή κυρώσεων, συμπεριλαμβανομένων των διοικητικών προστίμων, θα πρέπει να υπόκειται σε κατάλληλες δικονομικές εγγυήσεις σύμφωνα με τις γενικές αρχές του ενωσιακού δικαίου και του Χάρτη, συμπεριλαμβανομένης της πραγματικής δικαστικής προστασίας και της ορθής διαδικασίας».

Στις περιπτώσεις που αναφέρονται στο άρθρο 83 παράγραφοι 4 έως 6, στην επιλογή αυτή πρέπει να λαμβάνονται υπόψη όλα τα διορθωτικά μέτρα, που περιλαμβάνουν την επιβολή του κατάλληλου διοικητικού προστίμου, είτε σε συνδυασμό με διορθωτικό μέτρο του άρθρου 58 παράγραφος 2 είτε μεμονωμένα.

Τα πρόστιμα είναι σημαντικό εργαλείο το οποίο θα πρέπει να χρησιμοποιούν οι εποπτικές αρχές όποτε το απαιτούν οι περιστάσεις. Οι εποπτικές αρχές ενθαρρύνονται να ακολουθούν σταθμισμένη και ισορροπημένη προσέγγιση κατά τη χρήση διορθωτικών μέτρων, προκειμένου να αντιμετωπίσουν την παράβαση κατά τρόπο αποτελεσματικό και αποτρεπτικό αλλά και αναλογικό. Σκοπός είναι να μη θεωρούνται τα πρόστιμα ύστατο μέτρο ή να αποφεύγεται η επιβολή τους, αλλά και να μη χρησιμοποιούνται κατά τρόπο που θα μείωνε την αποτελεσματικότητά τους ως εργαλείου.

Όταν το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων είναι αρμόδιο σύμφωνα με το άρθρο 65 του κανονισμού, θα εκδίδει δεσμευτικές αποφάσεις όσον αφορά διαφορές που ανακύπτουν μεταξύ των αρχών ιδίως σε σχέση με τη διαπίστωση της ύπαρξης παράβασης. Όταν η σχετική και αιτιολογημένη ένσταση θέτει το ζήτημα της συμμόρφωσης του διορθωτικού μέτρου με τον γενικό κανονισμό για την προστασία δεδομένων, η απόφαση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων θα εξετάζει επίσης τους τρόπους τήρησης των αρχών της αποτελεσματικότητας, της αναλογικότητας και της αποτρεπτικότητας στο διοικητικό πρόστιμο που προτείνεται στο σχέδιο απόφασης της αρμόδιας εποπτικής αρχής. Θα ακολουθήσει ξεχωριστή καθοδήγηση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων σχετικά με την εφαρμογή του άρθρου 65 του κανονισμού για περισσότερες λεπτομέρειες όσον αφορά τον τύπο απόφασης την οποία θα λαμβάνει.

GDPR και πρόστιμα: Τι σημαίνει "κάθε μεμονωμένη περίπτωση" για έναν οργανισμό;

Σημαίνει οτι είναι εξαιρετικά πιθανό η κάθε παράβαση να σημαίνει και ξεχωριστό διοικητικό πρόστιμο, αν και αυτό θα εξετάζεται κατά περίπτωση.

Η εναρμονισμένη προσέγγιση στα διοικητικά πρόστιμα στον τομέα της προστασίας δεδομένων απαιτεί ενεργό συμμετοχή και ανταλλαγή πληροφοριών μεταξύ των εποπτικών αρχών

Οι παρούσες κατευθυντήριες γραμμές αναγνωρίζουν ότι οι εξουσίες επιβολής προστίμων αποτελούν, για ορισμένες εθνικές εποπτικές αρχές, νέα διαδικασία στον τομέα της προστασίας δεδομένων, και ότι θέτουν σειρά ζητημάτων όσον αφορά τους πόρους, την οργάνωση και τη διαδικασία. Ιδίως οι αποφάσεις που εκδίδονται στο πλαίσιο άσκησης των εξουσιών επιβολής προστίμων των εποπτικών αρχών θα υπόκεινται σε προσφυγή ενώπιον των εθνικών δικαστηρίων.

Οι εποπτικές αρχές συνεργάζονται μεταξύ τους και, κατά περίπτωση, με την Ευρωπαϊκή Επιτροπή, μέσω των μηχανισμών συνεργασίας που προβλέπονται στον κανονισμό, με σκοπό τη στήριξη της επίσημης και της ανεπίσημης ανταλλαγής πληροφοριών, όπως μέσω τακτικών συναντήσεων εργασίας. Η εν λόγω συνεργασία θα εστιάζεται στην εμπειρία και την πρακτική τους όσον αφορά την εφαρμογή των εξουσιών επιβολής προστίμων με τελικό στόχο την επίτευξη μεγαλύτερης συνεκτικότητας.

Αυτή η προληπτική ανταλλαγή πληροφοριών, μαζί με την εμφανιζόμενη νομολογία όσον αφορά την άσκηση των εν λόγω εξουσιών μπορεί να οδηγήσει σε επανεξέταση των αρχών ή των επιμέρους στοιχείων των κατευθυντήριων γραμμών.

GDPR και πρόστιμα: Κριτηρία που αναμένεται να χρησιμοποιούνται από τις εποπτικές αρχές κατά την αξιολόγηση του κατά πόσο θα πρέπει να επιβληθεί πρόστιμο και του ποσού του προστίμου.

Οι εντολές της εποπτικής αρχής, που προβλέπονται στο άρθρο 58 παράγραφος 2, είναι οι εξής:

 να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να συμμορφώνεται προς τα αιτήματα του υποκειμένου των δεδομένων για την άσκηση των δικαιωμάτων του σύμφωνα με τον παρόντα κανονισμό,

 να δίνει εντολή στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να καθιστούν τις πράξεις επεξεργασίας σύμφωνες με τις διατάξεις του παρόντος κανονισμού, εάν χρειάζεται, με συγκεκριμένο τρόπο και εντός ορισμένης προθεσμίας,

 να δίνει εντολή στον υπεύθυνο επεξεργασίας να ανακοινώνει την παραβίαση δεδομένων προσωπικού χαρακτήρα στο υποκείμενο των δεδομένων,

  να επιβάλλει προσωρινό ή οριστικό περιορισμό, περιλαμβανομένης της απαγόρευσης της επεξεργασίας

  να δίνει εντολή διόρθωσης ή διαγραφής δεδομένων προσωπικού χαρακτήρα ή περιορισμού της επεξεργασίας δυνάμει των άρθρων 16, 17 και 18 και εντολή κοινοποίησης των ενεργειών αυτών σε αποδέκτες στους οποίους τα δεδομένα προσωπικού χαρακτήρα γνωστοποιήθηκαν δυνάμει του άρθρου 17 παράγραφος 2 και του άρθρου 19,

 να διατάξει τον οργανισμό πιστοποίησης να αποσύρει ένα πιστοποιητικό εκδοθέν σύμφωνα με τα άρθρα 42 και 43 ή να διατάξει τον οργανισμό πιστοποίησης να μην εκδώσει πιστοποίηση, εφόσον οι απαιτήσεις πιστοποίησης δεν πληρούνται ή δεν πληρούνται πλέον,

 να δίνει εντολή για αναστολή της κυκλοφορίας δεδομένων σε αποδέκτη σε τρίτη χώρα ή σε διεθνή οργανισμό.

GDPR και πρόστιμα: Τι θα λαμβάνουν υπόψη οι εποπτικές αρχές:

α) η φύση, η βαρύτητα και η διάρκεια της παράβασης

Σχεδόν όλες οι υποχρεώσεις των υπευθύνων επεξεργασίας και των εκτελούντων την επεξεργασία σύμφωνα με τον κανονισμό είναι κατηγοριοποιημένες σύμφωνα με τη φύση τους στις διατάξεις του άρθρου 83 παράγραφοι 4 έως 6. Με τη θέσπιση δύο διαφορετικών μέγιστων ποσών όσον αφορά τα διοικητικά πρόστιμα (10/20 εκατ. EUR), ο κανονισμός ήδη υποδεικνύει ότι η παράβαση ορισμένων διατάξεών του μπορεί να είναι πιο σοβαρή από την παράβαση άλλων. Ωστόσο, η αρμόδια εποπτική αρχή, μέσω της αξιολόγησης των πραγματικών περιστατικών της υπόθεσης με βάση τα γενικά κριτήρια που προβλέπονται στο άρθρο 83 παράγραφος 2, μπορεί να αποφασίσει ότι σε συγκεκριμένη περίπτωση υπάρχει μεγαλύτερη ή μικρότερη η ανάγκη απόκρισης με την επιβολή διορθωτικού μέτρου με τη μορφή προστίμου. Στις περιπτώσεις επιλογής προστίμου ως μοναδικού ή ως ενός μεταξύ περισσότερων κατάλληλων διορθωτικών μέτρων, εφαρμόζεται το σύστημα διαβάθμισης του κανονισμού (άρθρο 83 παράγραφοι 4 έως 6) με σκοπό τον προσδιορισμό του μέγιστου προστίμου που μπορεί να επιβληθεί ανάλογα με τη φύση της εξεταζόμενης παράβασης.

Η αιτιολογική σκέψη 148 εισάγει την έννοια των «παραβάσεων ελάσσονος σημασίας». Τέτοιες παραβάσεις ενδέχεται να συνιστούν παράβαση μίας ή περισσότερων από τις διατάξεις του κανονισμού που απαριθμούνται στο άρθρο 83 παράγραφος 4 ή 5. Η αξιολόγηση των κριτηρίων στο άρθρο 83 παράγραφος 2 μπορεί ωστόσο να οδηγήσει την εποπτική αρχή στο συμπέρασμα ότι στις συγκεκριμένες περιστάσεις, η παράβαση π.χ. δεν συνιστά σημαντικό κίνδυνο για τα δικαιώματα των οικείων υποκειμένων των δεδομένων και δεν επηρεάζει την ουσία της εν λόγω υποχρέωσης. Σε τέτοιες περιπτώσεις, το πρόστιμο μπορεί να αντικατασταθεί με επίπληξη (ωστόσο όχι πάντα).

Η αιτιολογική σκέψη 148 δεν περιέχει υποχρέωση των εποπτικών αρχών να αντικαθιστούν πάντα το πρόστιμο με επίπληξη σε περίπτωση παράβασης ελάσσονος σημασίας («θα μπορούσε να επιβληθεί επίπληξη αντί προστίμου»), αλλά προβλέπει τη δυνατότητα αντικατάστασης, ύστερα από συγκεκριμένη αξιολόγηση όλων των περιστατικών της υπόθεσης.

Η αιτιολογική σκέψη 148 προβλέπει την ίδια δυνατότητα αντικατάστασης του προστίμου με επίπληξη, σε περίπτωση που ο υπεύθυνος επεξεργασίας των δεδομένων είναι φυσικό πρόσωπο και το πρόστιμο που ενδέχεται να επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση.

Σημείο εκκίνησης είναι η αξιολόγηση από την εποπτική αρχή του κατά πόσο είναι απαραίτητη η επιβολή προστίμου σε σχέση με τον GDPR, λαμβανομένων υπόψη των περιστάσεων της περίπτωσης. Αν η εποπτική αρχή αποφανθεί υπέρ της επιβολής προστίμου, τότε πρέπει επίσης να αξιολογήσει κατά πόσο το πρόστιμο που θα επιβληθεί θα αποτελούσε δυσανάλογη επιβάρυνση για ένα φυσικό πρόσωπο.

Ο GDPR δεν προβλέπει συγκεκριμένα πρόστιμα για συγκεκριμένες παραβάσεις αλλά θέτει ανώτατο όριο (ανώτατο ποσό). Αυτό μπορεί να αποτελεί ένδειξη σχετικά μικρότερης βαρύτητας των παραβάσεων που απαριθμούνται στο άρθρο 83 παράγραφος 4 σε σχέση μʼ αυτές του άρθρου 83 παράγραφος 5. Η αποτελεσματική, αναλογική και αποτρεπτική αντίδραση σε παράβαση του άρθρου 83 παράγραφος 5 θα εξαρτάται ωστόσο από τις περιστάσεις της περίπτωσης.

Πρέπει να σημειωθεί ότι οι παραβάσεις του GDPR και τα σχετικά πρόστιμα, που από τη φύση τους μπορεί να εμπίπτουν στην κατηγορία «έως 10 000 000 EUR ή, σε περίπτωση επιχειρήσεων, έως το 2 % του συνολικού παγκόσμιου ετήσιου κύκλου εργασιών» όπως ορίζεται στο άρθρο 83 παράγραφος 4, μπορεί τελικά να εμπίπτουν σε υψηλότερη κατηγορία (20 000 000 EUR) σε ορισμένες περιπτώσεις.

Αυτό θα ήταν πιθανό να συμβεί σε περίπτωση που οι εν λόγω παραβάσεις έχουν αντιμετωπιστεί κατά το παρελθόν με εντολή της εποπτικής αρχής προς την οποία8 ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία δεν συμμορφώθηκε9 (άρθρο 83 παράγραφος 6).

Οι διατάξεις της εθνικής νομοθεσίας μπορεί στην πράξη να έχουν αντίκτυπο στην εν λόγω αξιολόγηση. Η φύση της παράβασης αλλά και «[η] έκταση ή [ο] σκοπό[ς] της σχετικής επεξεργασίας, καθώς και [ο] αριθμό[ς] των υποκειμένων των δεδομένων που έθιξε η παράβαση και [ο] βαθμό[ς] ζημίας που υπέστησαν», θα είναι ενδεικτικά της βαρύτητας της παράβασης.

Η σωρευτική τέλεση πολλών διαφορετικών παραβάσεων σε οποιαδήποτε μεμονωμένη περίπτωση σημαίνει ότι η εποπτική αρχή δύναται να επιβάλει τα διοικητικά πρόστιμα σε επίπεδο αποτελεσματικό, αναλογικό και αποτρεπτικό εντός του ορίου της βαρύτερης παράβασης.

Επομένως, σε περίπτωση διαπίστωσης παράβασης του άρθρου 8 και του άρθρου 12, η εποπτική αρχή μπορεί να επιβάλει διορθωτικά μέτρα σύμφωνα με τα οριζόμενα στο άρθρο 83 παράγραφος 5 τα οποία αντιστοιχούν στην κατηγορία της βαρύτερης παράβασης, δηλαδή το άρθρο 12. Η παροχή περισσότερων λεπτομερειών στο στάδιο αυτό εκφεύγει του πεδίου αυτών των κατευθυντήριων γραμμών (καθώς οι λεπτομερείς υπολογισμοί θα αποτελέσουν αντικείμενο πιθανού μεταγενέστερου σταδίου αυτών των κατευθυντήριων γραμμών).

Οι παρακάτω παράγοντες θα πρέπει να αξιολογούνται συνδυαστικά π.χ. ο αριθμός των υποκειμένων των δεδομένων μαζί με τον πιθανό αντίκτυπο σʼ αυτά.

Θα πρέπει να αξιολογείται ο αριθμός των οικείων υποκειμένων των δεδομένων , με σκοπό τον προσδιορισμό του κατά πόσο πρόκειται για μεμονωμένο γεγονός ή για ένδειξη πιο συστηματικής παράβασης ή έλλειψης επαρκών κανόνων. Αυτό δεν αποκλείει την εκτελεστότητα σε μεμονωμένα γεγονότα, καθώς ένα μεμονωμένο γεγονός θα μπορούσε να επηρεάσει πολλά υποκείμενα των δεδομένων. Αυτό θα συναρτάται, ανάλογα με τις περιστάσεις της υπόθεσης, π.χ. με τον συνολικό αριθμό εγγεγραμμένων στην εν λόγω βάση δεδομένων, τον αριθμό χρηστών υπηρεσίας, τον αριθμό πελατών, ή σε σχέση με τον πληθυσμό της χώρας, ανάλογα με την περίπτωση.

Πρέπει επίσης να αξιολογείται ο σκοπός της επεξεργασίας. Η γνωμοδότηση της ομάδας εργασίας του άρθρου 29 σχετικά με τον «περιορισμό του σκοπού» ανέλυε τα δυο κύρια συστατικά στοιχεία της εν λόγω αρχής του τομέα του δικαίου περί προστασίας δεδομένων: τον προσδιορισμό του σκοπού και τη συμβατή χρήση. Κατά την αξιολόγηση του σκοπού της επεξεργασίας στο πλαίσιο του άρθρου 83 παράγραφος 2, οι εποπτικές αρχές θα πρέπει να εξετάζουν την έκταση στην οποία η επεξεργασία τηρεί τα δυο βασικά στοιχεία της εν λόγω αρχής. Σε ορισμένες περιπτώσεις η εποπτική αρχή μπορεί να κρίνει απαραίτητο να συνεκτιμήσει στην ανάλυση του άρθρου 83 παράγραφος 2 μια βαθύτερη ανάλυση του σκοπού της επεξεργασίας.

Αν τα υποκείμενα των δεδομένων έχουν υποστεί ζημία, πρέπει να λαμβάνεται υπόψη ο βαθμός της ζημίας. Η επεξεργασία δεδομένων προσωπικού χαρακτήρα μπορεί να ενέχει κινδύνους για τα δικαιώματα και τις ελευθερίες του φυσικού προσώπου, όπως αναφέρεται στην αιτιολογική σκέψη 75:

«Οι κίνδυνοι για τα δικαιώματα και τις ελευθερίες φυσικών προσώπων, ποικίλης πιθανότητας και σοβαρότητας, είναι δυνατόν να προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα η οποία θα μπορούσε να οδηγήσει σε σωματική, υλική ή μη υλική βλάβη, ιδίως όταν η επεξεργασία μπορεί να οδηγήσει σε διακρίσεις, κατάχρηση ή υποκλοπή ταυτότητας, οικονομική απώλεια, βλάβη φήμης, απώλεια της εμπιστευτικότητας των δεδομένων προσωπικού χαρακτήρα που προστατεύονται από επαγγελματικό απόρρητο, παράνομη άρση της ψευδωνυμοποίησης, ή οποιοδήποτε άλλο σημαντικό οικονομικό ή κοινωνικό μειονέκτημα· όταν τα υποκείμενα των δεδομένων θα μπορούσαν να στερηθούν των δικαιωμάτων και ελευθεριών τους ή να εμποδίζονται από την άσκηση ελέγχου επί των δεδομένων τους προσωπικού χαρακτήρα· όταν υπόκεινται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα τα οποία αποκαλύπτουν φυλετική ή εθνοτική καταγωγή, πολιτικά φρονήματα, θρησκεία ή φιλοσοφικές πεποιθήσεις ή συμμετοχή σε συνδικάτα και γίνεται επεξεργασία γενετικών δεδομένων, δεδομένων που αφορούν την υγεία ή δεδομένων που αφορούν τη σεξουαλική ζωή ή ποινικές καταδίκες και αδικήματα ή σχετικά μέτρα ασφάλειας· όταν αξιολογούνται προσωπικές πτυχές, ιδίως όταν επιχειρείται ανάλυση ή πρόβλεψη πτυχών που αφορούν τις επιδόσεις στην εργασία, την οικονομική κατάσταση, την υγεία, προσωπικές προτιμήσεις ή συμφέροντα, την αξιοπιστία ή τη συμπεριφορά, τη θέση ή μετακινήσεις, προκειμένου να δημιουργηθούν ή να χρησιμοποιηθούν προσωπικά προφίλ· όταν υποβάλλονται σε επεξεργασία δεδομένα προσωπικού χαρακτήρα ευάλωτων φυσικών προσώπων, ιδίως παιδιών· ή όταν η επεξεργασία περιλαμβάνει μεγάλη ποσότητα δεδομένων προσωπικού χαρακτήρα και επηρεάζει μεγάλο αριθμό υποκειμένων των δεδομένων».

Αν έχουν προκληθεί ή είναι πιθανό να προκληθούν ζημίες λόγω παράβασης του κανονισμού, τότε η εποπτική αρχή θα πρέπει να λαμβάνει το γεγονός αυτό υπόψη κατά την επιλογή διορθωτικού μέτρου, αν και η ίδια η εποπτική αρχή δεν είναι αρμόδια για τη χορήγηση της ειδικότερης αποζημίωσης για την προκληθείσα ζημία.

Η επιβολή προστίμου δεν εξαρτάται από την ικανότητα της εποπτικής αρχής να διαπιστώνει την ύπαρξη αιτιώδους συνάφειας μεταξύ της παράβασης και της υλικής ζημίας (βλέπε π.χ. άρθρο 83 παράγραφος 6).

Η διάρκεια της παράβασης μπορεί να είναι ενδεικτική για παράδειγμα:
α) εκ προθέσεως συμπεριφοράς του υπευθύνου επεξεργασίας των δεδομένων ή β) μη λήψης κατάλληλων προληπτικών μέτρων ή
γ) αδυναμίας λήψης των απαραίτητων τεχνικών ή οργανωτικών μέτρων.

β) ο δόλος ή η αμέλεια που προκάλεσε την παράβαση

Γενικά, ο «δόλος» περιλαμβάνει τόσο τη γνώση όσο και την πρόθεση όσον αφορά τα στοιχεία ενός αδικήματος, ενώ η «αμέλεια» σημαίνει ότι δεν υπήρχε πρόθεση τέλεσης της παράβασης παρά το γεγονός ότι ο υπεύθυνος επεξεργασίας/ο εκτελών την επεξεργασία παρέβη το καθήκον επιμέλειας που απαιτείται εκ του νόμου.

Γίνεται γενικά δεκτό ότι οι παραβάσεις που τελούνται με πρόθεση και που δείχνουν περιφρόνηση προς τις διατάξεις του νόμου είναι πιο σοβαρές από αυτές που διαπράττονται χωρίς πρόθεση και επομένως είναι πιο πιθανό να δικαιολογούν την επιβολή διοικητικού προστίμου.

Τα σχετικά συμπεράσματα όσον αφορά την πρόθεση ή την αμέλεια θα αντλούνται με βάση τον προσδιορισμό αντικειμενικών στοιχείων συμπεριφοράς που προκύπτουν από τα πραγματικά περιστατικά της υπόθεσης.

Επιπλέον, η εμφανιζόμενη νομολογία και πρακτική στον τομέα της προστασίας των δεδομένων στο πλαίσιο της εφαρμογής του κανονισμού θα παρέχει παραδείγματα περιστάσεων από τις οποίες προκύπτουν σαφέστερα όρια για την αξιολόγηση του κατά πόσο ορισμένη παράβαση έγινε με δόλο.

Περιστάσεις ενδεικτικές σκόπιμων παραβάσεων μπορεί να είναι η παράνομη επεξεργασία που έχει εγκριθεί ρητά από τα ανώτερα στελέχη του υπευθύνου επεξεργασίας ή παρά τις συμβουλές του υπευθύνου προστασίας δεδομένων ή κατά παράβαση των υφιστάμενων πολιτικών, π.χ. με τη λήψη και επεξεργασία δεδομένων για τους εργαζόμενους σε ανταγωνιστή με σκοπό τη δυσφήμιση του εν λόγω ανταγωνιστή στην αγορά.

Άλλα πιθανά σχετικά παραδείγματα:

  •   η τροποποίηση δεδομένων προσωπικού χαρακτήρα με σκοπό τη δημιουργία παραπλανητικής (θετικής) εντύπωσης σχετικά με την επίτευξη ή μη στόχων – η περίπτωση αυτή έχει παρατηρηθεί στο πλαίσιο στόχων για τους χρόνους αναμονής σε νοσοκομεία
  •   η εμπορία δεδομένων προσωπικού χαρακτήρα για σκοπούς εμπορικής προώθησης, δηλαδή η πώλησή τους ως δεδομένων με ρητή συναίνεση (opted in) χωρίς πρώτα να ελεγχθεί/ληφθεί υπόψη η άποψη των υποκειμένων των δεδομένων σχετικά με τον τρόπο χρήσης των δεδομένων τους.Άλλες περιστάσεις, όπως η μη ανάγνωση υφιστάμενων πολιτικών και η μη συμμόρφωση μʼ αυτές, το ανθρώπινο σφάλμα, η μη διενέργεια ελέγχου για ύπαρξη δεδομένων προσωπικού χαρακτήρα σε δημοσιευόμενες πληροφορίες, η μη έγκαιρη πραγματοποίηση τεχνικών ενημερώσεων, η μη έγκριση πολιτικών (αντί για απλή μη εφαρμογή τους) μπορεί να αποτελούν ενδείξεις αμέλειας.

Οι επιχειρήσεις θα πρέπει να είναι υπεύθυνες για την έγκριση επαρκών δομών και πόρων, προσαρμοσμένων στον χαρακτήρα και την πολυπλοκότητα της δραστηριότητάς τους. Ως εκ τούτου, οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία δεν μπορούν να αιτιολογούν τις παραβάσεις της νομοθεσίας περί προστασίας δεδομένων επικαλούμενοι έλλειψη πόρων. Οι πρακτικές και η τεκμηρίωση των δραστηριοτήτων επεξεργασίας ακολουθούν προσέγγιση βάσει κινδύνου σύμφωνα με τον κανονισμό.

Υπάρχουν «γκρίζες ζώνες» που επηρεάζουν τη λήψη αποφάσεων σε σχέση με την επιβολή ή μη διορθωτικού μέτρου και η αρχή μπορεί να χρειαστεί να προβεί σε εκτενέστερη έρευνα για την εξακρίβωση των πραγματικών περιστατικών της υπόθεσης και να εξασφαλίσει ότι όλα τα συγκεκριμένα περιστατικά κάθε μεμονωμένης υπόθεσης ελήφθησαν επαρκώς υπόψη.

γ) οποιεσδήποτε ενέργειες στις οποίες προέβη ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία για να μετριάσει τη ζημία που υπέστησαν τα υποκείμενα των δεδομένων

Οι υπεύθυνοι επεξεργασίας και οι εκτελούντες την επεξεργασία οφείλουν να εφαρμόζουν τεχνικά και οργανωτικά μέτρα με σκοπό τη διασφάλιση κατάλληλου ως προς τον κίνδυνο επιπέδου ασφάλειας, να διενεργούν εκτίμηση επιπτώσεων σχετικά με την προστασία των δεδομένων και να μετριάζουν τους κινδύνους που ανακύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων. Ωστόσο, όταν σημειώνεται παράβαση και το υποκείμενο των δεδομένων υφίσταται ζημία, το υπεύθυνο μέρος θα πρέπει να κάνει οτιδήποτε μπορεί για τον περιορισμό των συνεπειών της παράβασης για τον/τα φυσικό/-ά πρόσωπο/-α. Η υπεύθυνη αυτή συμπεριφορά (ή η απουσία αυτής) θα πρέπει να λαμβάνεται υπόψη από την εποπτική αρχή κατά την επιλογή του/των διορθωτικού/-ών μέτρου/-ων καθώς και κατά τον υπολογισμό της κύρωσης που θα επιβληθεί στη συγκεκριμένη περίπτωση.

Αν και τα επιβαρυντικά και τα ελαφρυντικά στοιχεία είναι κατάλληλα ιδίως για την προσαρμογή του ποσού του προστίμου ανάλογα με τις ιδιαίτερες περιστάσεις της υπόθεσης, ο ρόλος τους στην επιλογή του κατάλληλου διορθωτικού μέτρου δεν θα πρέπει να υποτιμάται. Σε περιπτώσεις που η αξιολόγηση με βάση άλλα κριτήρια δημιουργεί αμφιβολίες στην εποπτική αρχή όσον αφορά την καταλληλότητα διοικητικού προστίμου, ως αυτοτελούς διορθωτικού μέτρου ή σε συνδυασμό με άλλα μέτρα του άρθρου 58, οι επιβαρυντικοί και οι ελαφρυντικοί παράγοντες μπορούν να βοηθήσουν στην επιλογή των κατάλληλων μέτρων, γέρνοντας την πλάστιγγα υπέρ της λύσης που είναι πιο αποτελεσματική, αναλογική και αποτρεπτική στη δεδομένη περίπτωση.

Η διάταξη αυτή λειτουργεί ως αξιολόγηση του βαθμού ευθύνης του υπεύθυνου επεξεργασίας μετά την τέλεση της παράβασης. Μπορεί να καλύπτει περιπτώσεις που είναι σαφές ότι η προσέγγιση του υπεύθυνου επεξεργασίας/εκτελούντος την επεξεργασία δεν ήταν απερίσκεπτη ή αμελής, αλλά αντίθετα αυτός έλαβε όλα τα δυνατά μέτρα για τη διόρθωση των ενεργειών του, όταν αντιλήφθηκε την παράβαση.

Η κανονιστική πείρα των εποπτικών αρχών στο πλαίσιο της οδηγίας 95/46/ΕΚ έχει δείξει κατά το παρελθόν ότι μπορεί να είναι σκόπιμο να υπάρξει ορισμένη ευελιξία όσον αφορά τους υπεύθυνους επεξεργασίας/εκτελούντες την επεξεργασία που έχουν παραδεχτεί την παράβαση που διέπραξαν και έχουν αναλάβει την ευθύνη διόρθωσης ή περιορισμού του αντίκτυπου των πράξεών τους. Παραδείγματα αυτού θα μπορούσαν να περιλαμβάνουν (χωρίς αυτό να οδηγεί σε πιο ευέλικτη προσέγγιση σε κάθε περίπτωση):

 την επικοινωνία με άλλους υπεύθυνους επεξεργασίας/εκτελούντες την επεξεργασία που μπορεί να συμμετείχαν σε επέκταση της επεξεργασίας π.χ. σε περίπτωση διαβίβασης δεδομένων σε τρίτα μέρη εκ παραδρομής.

 την έγκαιρη λήψη μέτρων από τον υπεύθυνο επεξεργασίας/εκτελούντα την επεξεργασία προκειμένου να αποφευχθεί η συνέχιση ή η επέκταση της παράβασης σε επίπεδο ή φάση όπου η παράβαση θα είχε πολύ πιο σοβαρό αντίκτυπο από αυτόν που είχε τελικά.

δ) ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία, λαμβάνοντας υπόψη τα τεχνικά και οργανωτικά μέτρα που εφαρμόζουν δυνάμει των άρθρων 25 και 32

Ο κανονισμός εισήγαγε πολύ μεγαλύτερο επίπεδο λογοδοσίας του υπευθύνου επεξεργασίας σε σχέση με την οδηγία 95/46/ΕΚ για την προστασία δεδομένων.

Ο βαθμός ευθύνης του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία που αξιολογείται σε σχέση με την εφαρμογή κατάλληλου διορθωτικού μέτρου μπορεί να περιλαμβάνει τα εξής:

  •   Έχει εφαρμόσει ο υπεύθυνος επεξεργασίας τεχνικά μέτρα σύμφωνα με τις αρχές της προστασίας των δεδομένων ήδη από το σχεδιασμό και εξ ορισμού (άρθρο 25);
  •   Έχει εφαρμόσει ο υπεύθυνος επεξεργασίας οργανωτικά μέτρα κατ’ εφαρμογή των αρχών της προστασίας των δεδομένων ήδη από τον σχεδιασμό και εξ ορισμού (άρθρο 25) σε όλα τα επίπεδα της οργάνωσης;
  •   Έχει εξασφαλίσει ο υπεύθυνος επεξεργασίας/εκτελών την επεξεργασία κατάλληλο επίπεδο ασφάλειας (άρθρο 32);
  •   Είναι γνωστοί και εφαρμόζονται οι σχετικοί κανόνες/πολιτικές περί προστασίας των δεδομένων στο κατάλληλο διοικητικό επίπεδο στην οργάνωση; (άρθρο 24).Το άρθρο 25 και το άρθρο 32 του κανονισμού απαιτούν ο υπεύθυνος επεξεργασίας να λαμβάνει «υπόψη τις τελευταίες εξελίξεις, το κόστος εφαρμογής και τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, καθώς και τους κινδύνους διαφορετικής πιθανότητας επέλευσης και σοβαρότητας για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων από την επεξεργασία». Οι εν λόγω διατάξεις δεν εισάγουν υποχρέωση ως προς τον στόχο αλλά υποχρέωση ως προς τα μέσα, δηλαδή ο υπεύθυνος επεξεργασίας πρέπει να προβεί στις απαραίτητες αξιολογήσεις και να συνάγει κατάλληλα συμπεράσματα. Το ερώτημα που καλείται να απαντήσει στη συνέχεια η εποπτική αρχή είναι σε ποιον βαθμό ο υπεύθυνος επεξεργασίας «έπραξε σύμφωνα με όσα αναμένονταν από αυτόν», δεδομένης της φύσης, των σκοπών ή του μεγέθους της επεξεργασίας ενόψει των υποχρεώσεων που του επιβάλλει ο κανονισμός. (Σ.σ. Μια αξιολόγηση ελλείψεων μπορεί να βοηθήσει για τις αρχικές κατευθυντήριες)

    Στην αξιολόγηση αυτή θα πρέπει να λαμβάνονται υπόψη τυχόν διαδικασίες ή μέθοδοι «βέλτιστης πρακτικής», εφόσον αυτές υπάρχουν και έχουν εφαρμογή. Είναι σημαντικό να λαμβάνονται υπόψη τα πρότυπα του κλάδου, καθώς και οι κώδικες δεοντολογίας του αντίστοιχου τομέα ή επαγγέλματος. Οι κώδικες πρακτικής μπορεί να παρέχουν ενδείξεις σχετικά με τη συνήθη πρακτική στον τομέα και ως προς το επίπεδο γνώσης όσον αφορά διάφορα μέσα αντιμετώπισης συνηθισμένων ζητημάτων ασφαλείας που σχετίζονται με την επεξεργασία.

    Αν και ιδανικά στόχος θα πρέπει να είναι η βέλτιστη πρακτική, οι ειδικές περιστάσεις κάθε μεμονωμένης περίπτωσης πρέπει να λαμβάνονται υπόψη κατά την αξιολόγηση του βαθμού ευθύνης.

ε) τυχόν σχετικές προηγούμενες παραβάσεις του υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία

Σκοπός του εν λόγω κριτηρίου είναι η αξιολόγηση του ιστορικού της οντότητας που διέπραξε την παράβαση. Οι εποπτικές αρχές θα πρέπει να λαμβάνουν υπόψη ότι, εν προκειμένω, το πεδίο της αξιολόγησης μπορεί να είναι αρκετά ευρύ, καθώς οποιουδήποτε είδους παράβαση του κανονισμού, αν και διαφορετική από την παράβαση που εξετάζεται στη συγκεκριμένη περίπτωση από την εποπτική αρχή, μπορεί να είναι «σχετική» για την αξιολόγηση, δεδομένου ότι μπορεί να είναι ενδεικτική γενικότερης ανεπάρκειας γνώσης ή περιφρόνησης των κανόνων περί προστασίας των δεδομένων.

Η εποπτική αρχή θα πρέπει να αξιολογεί τα εξής:

  •   Ο υπεύθυνος επεξεργασίας/εκτελών την επεξεργασία έχει διαπράξει ξανά την ίδια παράβαση;
  •   Ο υπεύθυνος επεξεργασίας/εκτελών την επεξεργασία έχει παραβιάσει ξανά τον κανονισμό με τον ίδιο τρόπο; (π.χ. ως αποτέλεσμα ανεπαρκούς γνώσης των υφιστάμενων κανόνων στην οργάνωση, ή ως αποτέλεσμα ακατάλληλης εκτίμησης του κινδύνου, μη έγκαιρης απόκρισης σε αιτήματα του υποκειμένου των δεδομένων, αδικαιολόγητης καθυστέρησης κατά την απάντηση σε ερωτήματα, κ.λπ.).

στ) ο βαθμός συνεργασίας με την αρχή ελέγχου για την επανόρθωση της παράβασης και τον περιορισμό των πιθανών δυσμενών επιπτώσεών της

Το άρθρο 83 παράγραφος 2 προβλέπει ότι ο βαθμός συνεργασίας μπορεί να λαμβάνεται δεόντως υπόψη κατά τη λήψη απόφασης σχετικά με την επιβολή διοικητικού προστίμου καθώς και σχετικά με το ύψος του διοικητικού προστίμου.

Ο κανονισμός δεν δίνει σαφή απάντηση για τον τρόπο με τον οποίο θα λαμβάνονται υπόψη οι προσπάθειες των υπεύθυνων επεξεργασίας ή των εκτελούντων την επεξεργασία για επανόρθωση παράβασης που έχει ήδη διαπιστωθεί από την εποπτική αρχή.

Επιπλέον, είναι σαφές ότι τα κριτήρια θα εφαρμόζονται συνήθως κατά τον υπολογισμό του ποσού του προστίμου που θα επιβληθεί.

Ωστόσο, όταν η παρέμβαση του υπεύθυνου επεξεργασίας έχει ως αποτέλεσμα να μην επέλθουν δυσμενείς συνέπειες για τα δικαιώματα των φυσικών προσώπων ή αυτές να έχουν περιορισμένο αντίκτυπο σε σχέση μʼ αυτόν που θα μπορούσαν σε άλλη περίπτωση να έχουν, το γεγονός αυτό θα μπορούσε επίσης να ληφθεί υπόψη κατά την επιλογή του διορθωτικού μέτρου που είναι αναλογικό στη συγκεκριμένη περίπτωση.

Παράδειγμα περίπτωσης που η συνεργασία με την εποπτική αρχή μπορεί να πρέπει να ληφθεί υπόψη είναι ενδεχομένως το εξής:

 Απάντησε η οντότητα με συγκεκριμένο τρόπο στα αιτήματα της εποπτικής αρχής κατά το στάδιο της έρευνας για τη συγκεκριμένη υπόθεση, με αποτέλεσμα τον σημαντικό περιορισμό του αντικτύπου στα δικαιώματα των φυσικών προσώπων;

Τούτου λεχθέντος, δεν θα ήταν σκόπιμο να ληφθεί επιπλέον υπόψη η συνεργασία που ήδη απαιτείται εκ του νόμου, π.χ. σε περίπτωση που η οντότητα υποχρεούται να παρέχει πρόσβαση στις εποπτικές αρχές στις εγκαταστάσεις της για την πραγματοποίηση ελέγχων/επιθεωρήσεων.

ζ) οι κατηγορίες δεδομένων προσωπικού χαρακτήρα που επηρεάζει η παράβαση

Ορισμένα παραδείγματα βασικών ερωτημάτων που μπορεί να χρειαστεί να απαντήσει η εποπτική αρχή, εφόσον συντρέχει περίπτωση, είναι τα παρακάτω:

  •   Η παράβαση αφορά την επεξεργασία ειδικών κατηγοριών δεδομένων σύμφωνα με τα άρθρα 9 ή 10 του κανονισμού;
  •   Τα δεδομένα είναι άμεσα/έμμεσα ταυτοποιήσιμα;
  •  Η επεξεργασία αφορά δεδομένα η διάδοση των οποίων θα προκαλούσε άμεση ζημία/δυσχέρεια στο φυσικό πρόσωπο (που δεν εμπίπτει στην κατηγορία του άρθρου 9 ή του άρθρου 10);
  •  Τα δεδομένα είναι άμεσα διαθέσιμα χωρίς τεχνική προστασία ή είναι κρυπτογραφημένα;

η) ο τρόπος με τον οποίο η εποπτική αρχή πληροφορήθηκε την παράβαση, ειδικότερα εάν και κατά πόσο ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία κοινοποίησε την παράβαση

Η εποπτική αρχή μπορεί να ενημερωθεί σχετικά με την παράβαση μέσω έρευνας, καταγγελίας, άρθρων στον Τύπο, ανώνυμων πληροφοριών ή ειδοποίησης από τον υπεύθυνο επεξεργασίας.

Ο υπεύθυνος επεξεργασίας έχει υποχρέωση σύμφωνα με τον κανονισμό να ενημερώνει την εποπτική αρχή σχετικά με κάθε παραβίαση δεδομένων προσωπικού χαρακτήρα. Όταν ο υπεύθυνος επεξεργασίας απλώς εκπληρώνει την εν λόγω υποχρέωση, η συμμόρφωση μʼ αυτή δεν μπορεί να θεωρηθεί ελαφρυντικό στοιχείο. Ομοίως, ο υπεύθυνος επεξεργασίας/εκτελών την επεξεργασία που ενήργησε αμελώς χωρίς να ενημερώσει ή τουλάχιστον χωρίς να ενημερώσει όσον αφορά όλες τις λεπτομέρειες της παράβασης λόγω ανεπαρκούς αξιολόγησης της έκτασης της παράβασης, μπορεί επίσης να θεωρηθεί από την εποπτική αρχή ότι χρήζει βαρύτερης κύρωσης, δηλαδή είναι απίθανο να ταξινομηθεί η παράβαση ως ελάσσονος σημασίας.

θ) σε περίπτωση που διατάχθηκε προηγουμένως η λήψη των μέτρων που αναφέρονται στο άρθρο 58 παράγραφος 2 κατά του εμπλεκόμενου υπευθύνου επεξεργασίας ή του εκτελούντος την επεξεργασία σχετικά με το ίδιο αντικείμενο, η συμμόρφωση με τα εν λόγω μέτρα

Η εποπτική αρχή μπορεί ήδη να παρακολουθεί υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία για να διαπιστώσει τη συμμόρφωσή του ύστερα από προηγούμενη παράβαση και οι επαφές με τον υπεύθυνο προστασίας δεδομένων, όπου υπάρχει, είναι πιθανό να ήταν εκτεταμένες. Επομένως, η εποπτική αρχή θα λαμβάνει υπόψη τις προηγούμενες επαφές.

Σε αντίθεση με το κριτήριο του στοιχείου ε), αυτό το κριτήριο αξιολόγησης αποσκοπεί μόνο στο να υπενθυμίζει στις εποπτικές αρχές να λαμβάνουν υπόψη τα μέτρα που οι ίδιες είχαν επιβάλει προηγουμένως στον ίδιο υπεύθυνο επεξεργασίας ή εκτελούντα την επεξεργασία «σχετικά με το ίδιο αντικείμενο».

ι) η τήρηση εγκεκριμένων κωδίκων δεοντολογίας σύμφωνα με το άρθρο 40 ή εγκεκριμένων μηχανισμών πιστοποίησης σύμφωνα με το άρθρο 42

Οι εποπτικές αρχές έχουν καθήκον να «παρακολουθ[ούν] και επιβάλλ[ουν] την εφαρμογή του παρόντος κανονισμού,, [άρθρο 57 παράγραφος 1 στοιχείο α)]». Η τήρηση εγκεκριμένων κωδίκων δεοντολογίας μπορεί να χρησιμοποιηθεί από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία για να αποδείξει συμμόρφωση σύμφωνα με το άρθρο 24 παράγραφος 3, το άρθρο 28 παράγραφος 5 ή το άρθρο 32 παράγραφος 3.

Σε περίπτωση παράβασης διάταξης του κανονισμού, η τήρηση εγκεκριμένων κωδίκων δεοντολογίας μπορεί να αποτελεί ένδειξη του πόσο ευρεία είναι η ανάγκη παρέμβασης της εποπτικής αρχής με την επιβολή αποτελεσματικού, αναλογικού, αποτρεπτικού διοικητικού προστίμου ή άλλου διοικητικού μέτρου. Σύμφωνα με το άρθρο 40 παράγραφος 4 οι εγκεκριμένοι κώδικες δεοντολογίας θα περιέχουν «μηχανισμούς που επιτρέπουν στον [...] φορέα [παρακολούθησης] να διενεργεί την υποχρεωτική παρακολούθηση της συμμόρφωσης προς τις διατάξεις του».

Σε περίπτωση τήρησης εγκεκριμένων κωδίκων δεοντολογίας από τον υπεύθυνο επεξεργασίας ή τον εκτελούντα την επεξεργασία, η εποπτική αρχή μπορεί να αποφασίσει ότι η κοινότητα την οποία αφορά ο κώδικας λαμβάνει η ίδια κατάλληλα μέτρα κατά του μέλους της, π.χ. μέσω των συστημάτων παρακολούθησης και επιβολής του ίδιου του κώδικα δεοντολογίας.

Επομένως, η εποπτική αρχή μπορεί να θεωρήσει ότι τα εν λόγω μέτρα είναι επαρκώς αποτελεσματικά, αναλογικά ή αποτρεπτικά στη συγκεκριμένη περίπτωση και δεν είναι απαραίτητη η επιβολή επιπλέον μέτρων από την ίδια.

Ορισμένες μορφές κυρώσεων μπορούν να επιβάλλονται σε περιπτώσεις μη συμμόρφωσης μέσω του συστήματος παρακολούθησης, σύμφωνα με το άρθρο 41 παράγραφος 2 στοιχείο γ) και το άρθρο 42 παράγραφος 4, περιλαμβανομένης της αναστολής συμμετοχής ή του αποκλεισμού του οικείου υπευθύνου επεξεργασίας ή εκτελούντος την επεξεργασία από την κοινότητα για την οποία ισχύει ο κώδικας. Ωστόσο, οι εξουσίες του φορέα παρακολούθησης ισχύουν «[μ]ε την επιφύλαξη των καθηκόντων και των αρμοδιοτήτων της αρμόδιας εποπτικής αρχής», επομένως η εποπτική αρχή δεν υποχρεούται να λαμβάνει υπόψη κυρώσεις που επιβλήθηκαν παλαιότερα στο πλαίσιο του συστήματος αυτορρύθμισης.

Η μη συμμόρφωση με μέτρα αυτορρύθμισης μπορεί να επίσης να δείχνει αμέλεια ή δόλο εκ μέρους του υπευθύνου επεξεργασίας/εκτελούντος την επεξεργασία όσον αφορά τη μη συμμόρφωση.

ια) κάθε άλλο επιβαρυντικό ή ελαφρυντικό στοιχείο που προκύπτει από τις περιστάσεις της συγκεκριμένης περίπτωσης, όπως τα οικονομικά οφέλη που αποκομίστηκαν ή ζημιών που αποφεύχθηκαν, άμεσα ή έμμεσα, από την παράβαση

Η ίδια η διάταξη δίνει παραδείγματα άλλων στοιχείων που μπορούν να λαμβάνονται υπόψη κατά τη λήψη απόφασης όσον αφορά την καταλληλότητα διοικητικού προστίμου για παράβαση των διατάξεων που αναφέρονται στο άρθρο 83 παράγραφοι 4 έως 6.

Πληροφορίες σχετικά με οφέλη που αποκτήθηκαν εξαιτίας παράβασης μπορεί να είναι ιδιαίτερα σημαντικές για τις εποπτικές αρχές, καθώς το οικονομικό όφελος που αποκτήθηκε εξαιτίας της παράβασης δεν μπορεί να αντισταθμιστεί μέσω μέτρων που δεν περιλαμβάνουν χρηματικό στοιχείο. Ως εκ τούτου, το γεγονός ότι ο υπεύθυνος επεξεργασίας αποκόμισε όφελος εξαιτίας της παράβασης του κανονισμού μπορεί να αποτελεί ισχυρή ένδειξη ότι θα πρέπει να επιβληθεί πρόστιμο.

Συμπεράσματα:

Λαμβανομένου υπόψη του πλαισίου που παρέχεται από την αξιολόγηση, η εποπτική αρχή θα προσδιορίζει το πλέον αποτελεσματικό, αναλογικό και αποτρεπτικό διορθωτικό μέτρο που πρέπει να επιβάλει για την παράβαση.

Το άρθρο 58 παρέχει ορισμένες κατευθύνσεις όσον αφορά τα μέτρα που μπορεί να επιλέξει η εποπτική αρχή, καθώς τα διορθωτικά μέτρα καθαυτά έχουν διαφορετικό χαρακτήρα και είναι κυρίως κατάλληλα για την επίτευξη διαφορετικών σκοπών. Ορισμένα από τα μέτρα του άρθρου 58 μπορούν ενδεχομένως να επιβληθούν σωρευτικά, με αποτέλεσμα η κανονιστική δράση να συνίσταται σε περισσότερα του ενός διορθωτικά μέτρα.

Δεν είναι πάντα απαραίτητο να συμπληρώνεται το μέτρο με την επιβολή άλλου διορθωτικού μέτρου. Για παράδειγμα: Η αποτελεσματικότητα και η αποτρεπτικότητα της παρέμβασης της εποπτικής αρχής, η οποία έχει λάβει δεόντως υπόψη τι είναι αναλογικό στη συγκεκριμένη περίπτωση, μπορεί να επιτευχθεί και με μόνη την επιβολή προστίμου.

Ουσιαστικά, οι αρχές οφείλουν να αποκαθιστούν τη συμμόρφωση μέσω όλων των διαθέσιμων σʼ αυτές διορθωτικών μέτρων. Οι εποπτικές αρχές θα πρέπει επίσης να επιλέγουν τον πλέον κατάλληλο δίαυλο για την επιδίωξη κανονιστικής δράσης. Για παράδειγμα, τούτο θα μπορούσε να περιλαμβάνει ποινικές κυρώσεις (εφόσον είναι διαθέσιμες σε εθνικό επίπεδο).

Η πρακτική της συνεπούς επιβολής διοικητικών προστίμων σε όλη την Ευρωπαϊκή Ένωση αποτελεί διαδικασία εν εξελίξει. Θα πρέπει να λαμβάνονται μέτρα από εποπτικές αρχές που βρίσκονται σε συνεργασία μεταξύ τους με σκοπό τη βελτίωση της συνεκτικότητας σε συνεχή βάση. Αυτό μπορεί να επιτευχθεί μέσω τακτικών επαφών με την πραγματοποίηση συναντήσεων εργασίας ή άλλων εκδηλώσεων για τη διαχείριση περιπτώσεων που δίνουν τη δυνατότητα σύγκρισης υποθέσεων σε υποεθνικό, εθνικό και διασυνοριακό επίπεδο. Για τη στήριξη της συνεχιζόμενης αυτής δραστηριότητας, προτείνεται η δημιουργία μόνιμης υποομάδας που θα είναι υπάγεται σε αρμόδιο τμήμα του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων.

Ο Κανονισμός στα Ελληνικά: GDPR Regulation - ST-5419-2016 (EL) (693 downloads)

Η σχετική καταχώρηση της Ομάδας Εργασίας 29

 

 

Summary
GDPR και Πρόστιμα: Οι κατευθυντήριες γραμμές της Ομάδας Εργασίας 29 προς τις εποπτικές αρχές και τα σημεία προσοχής για την εφαρμογή και τον καθορισμό διοικητικών προστίμων υπό τον GDPR.
Article Name
GDPR και Πρόστιμα: Οι κατευθυντήριες γραμμές της Ομάδας Εργασίας 29 προς τις εποπτικές αρχές και τα σημεία προσοχής για την εφαρμογή και τον καθορισμό διοικητικών προστίμων υπό τον GDPR.
Description
GDPR και Πρόστιμα: Οι κατευθυντήριες γραμμές της Ομάδας Εργασίας 29 προς τις εποπτικές αρχές και τα σημεία προσοχής για την εφαρμογή και τον καθορισμό διοικητικών προστίμων υπό τον GDPR.
Author
Publisher Name
Niriis S.A.
Publisher Logo

Comments are closed.