Zasady obliczania wymiaru kar administracyjnych na gruncie RODO

Zgodnie z Ogólnym Rozporządzeniem o Ochronie Danych Osobowych („RODO”, „Rozporządzenie”), które zacznie obowiązywać z dniem 25 maja 2018 r., krajowe organy nadzorcze będą uprawnione do nakładania kar administracyjnych za przypadki naruszeń Rozporządzenia. Wobec zalewu materiałów prasowych straszących surowymi karami sięgającymi aż 20 000 000 euro lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, informacja ta nie powinna już dziś nikogo dziwić. Co ciekawe, przeważająca większość opracowań poświęconych RODO poprzestaje na wskazaniu maksymalnego wymiaru kar i nie wyjaśnia od czego zależy to, czy w danym przypadku przedsiębiorca zostanie zobowiązany  do zapłaty np. 20 milionów czy też 20 tysięcy euro. Kwestia ta, o fundamentalnym znaczeniu dla każdego podmiotu analizującego ryzyka prawne prowadzonej przez siebie działalności, będzie przedmiotem niniejszego artykułu.

Wytyczne RODO

Podstawowych wytycznych w zakresie wymiaru kar administracyjnych dostarcza już samo Rozporządzenie. Po pierwsze, RODO wprowadza generalną zasadę indywidualizacji kary, czyli takiego jej doboru, aby w danym przypadku była skuteczna, odstraszająca i proporcjonalna. Po drugie, RODO w sposób niewyczerpujący wylicza okoliczności, które należy wziąć pod uwagę przy ustalaniu wysokości kary:

  1. charakter, wagę i czas trwania naruszenia przy uwzględnieniu charakteru, zakresu lub celu danego przetwarzania, liczby poszkodowanych osób, których dane dotyczą, oraz rozmiaru poniesionej przez nie szkody;
  2. umyślny lub nieumyślny charakter naruszenia;
  3. działania podjęte przez administratora lub podmiot przetwarzający w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą;
  4. stopień odpowiedzialności administratora lub podmiotu przetwarzającego z uwzględnieniem środków technicznych i organizacyjnych wdrożonych przez nich na mocy art. 25 i 32;
  5. wszelkie stosowne wcześniejsze naruszenia ze strony administratora lub podmiotu przetwarzającego;
  6. stopień współpracy z organem nadzorczym w celu usunięcia naruszenia oraz złagodzenia jego ewentualnych negatywnych skutków;
  7. kategorie danych osobowych, których dotyczyło naruszenie;
  8. sposób, w jaki organ nadzorczy dowiedział się o naruszeniu, w szczególności, czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosili naruszenie;
  9. jeżeli wobec administratora lub podmiotu przetwarzającego, których sprawa dotyczy, zostały wcześniej zastosowane w tej samej sprawie środki, o których mowa w art. 58 ust. 2 – przestrzeganie tych środków;
  10. stosowanie zatwierdzonych kodeksów postępowania na mocy art. 40 lub zatwierdzonych mechanizmów certyfikacji na mocy art. 42; oraz
  11. wszelkie inne obciążające lub łagodzące czynniki mające zastosowanie do okoliczności sprawy, takie jak osiągnięte bezpośrednio lub pośrednio w związku z naruszeniem korzyści finansowe lub uniknięte straty.

Wytyczne te wskazują jedynie jakie okoliczności są istotne dla wymiaru kary, natomiast nie dostarczają żadnych wskazówek w zakresie przypisywania określonych wag poszczególnym okolicznościom. Przykładowo, informacja o tym że przy ustalaniu wysokości kary należy brać pod uwagę umyślny lub nieumyślny charakter naruszenia nie daje żadnych wytycznych w zakresie wysokości kary poza tym, że kara będzie wyższa w przypadku naruszenia umyślnego niż w przypadku naruszenia nieumyślnego. Brak uregulowania tej kwestii w Rozporządzeniu oznacza, że przypisanie poszczególnym okolicznościom odpowiednich wag będzie zależało od krajowego organu nadzorczego, który zadecyduje o tym w granicach przysługującego mu uznania administracyjnego.

Dotychczasowe doświadczenia Prezesa UOKiK wytyczną dla GIODO?

Regulacja podobna do RODO, czyli wprowadzająca bardzo szerokie widełki kar oraz katalog ogólnie sformułowanych czynników, które należy brać pod uwagę przy ich nakładaniu, znajduje się w ustawie o ochronie konkurencji i konsumentów („Ustawa”). Art. 106 ust. 1 Ustawy stanowi, iż Prezes UOKiK może nałożyć na przedsiębiorcę, w drodze decyzji, karę pieniężną w wysokości nie większej niż 10% obrotu osiągniętego w roku obrotowym poprzedzającym rok nałożenia kary, podczas gdy art. 111 Ustawy wylicza czynniki, które należy wziąć pod uwagę przy ustalaniu wysokości kary. Z uwagi na fakt, iż pomimo wyliczenia zawartego w art. 111 Ustawy metodologia ustalania wysokości kar za naruszenia wciąż pozostawała niejasna, Prezes UOKiK w maju 2013 r. opublikował „Wyjaśnienia w sprawie ustalania wysokości kar pieniężnych za stosowanie praktyk naruszających zbiorowe interesy konsumentów”, w których szczegółowo odniósł się do wpływu poszczególnych okoliczności na ostateczną wysokość kary. Jak wskazał Prezes UOKiK, wyjaśnienia pozwalają na dokonanie przez przedsiębiorcę wstępnego oszacowania kary, którą mogłoby być zagrożone działanie niezgodne z przepisami ustawy. Kwotą bazową dla ustalenia wysokości kary – tak jak ma to miejsce na gruncie RODO w przypadku kar nakładanych na przedsiębiorstwa – jest wysokość przychodu osiągniętego w roku obrotowym poprzedzającym rok nałożenia kary.

W pierwszej kolejności Prezes UOKiK wyróżnił trzy kategorie naruszeń: na etapie przedkontraktowym, na etapie zawierania kontraktu oraz na etapie wykonywania kontraktu, przypisując im wagi w wysokości odpowiednio: od 0,02 do 0,3 % przychodu, od 0,05% do 0,6% przychodu oraz od 0,1% do 0,7% przychodu. Dodatkowo Prezes Urzędu wprowadził katalog okoliczności łagodzących, zmniejszających kwotę kary w przypadku:

  • zaniechania przez przedsiębiorcę stosowania praktyki naruszającej zbiorowe interesy konsumentów– zmniejszenie do 30%;
  • aktywnego współdziałania z Prezesem UOKiK w trakcie postępowania, w szczególności przyczynienia się do szybkiego i sprawnego przeprowadzenia postępowania – zmniejszenie do 20%;
  • pozytywnej reakcja na wszczęcie postępowania poprzez podjęcie działań mających na celu zaprzestanie praktyki, jakkolwiek nie stanowiących pełnego zaprzestania – zmniejszenie o 10%-20%;
  • dobrowolnej rekompensaty osobom poszkodowanym szkody poniesionej na skutek naruszenia – zmniejszenie o 10%-20%;

oraz katalog okoliczności obciążających, zwiększających kwotę kary:

  • umyślność naruszenia – zwiększenie o 50%;
  • uprzednie stosowanie praktyki naruszającej zbiorowe interesy konsumentów, przy czym jako okoliczność szczególnie obciążającą uznaje się powtórne, umyślne naruszenie tego samego rodzaju – zwiększenie o 25%-35%;
  • znaczny zasięg naruszenia – zwiększenie do 20 %;
  • znaczne korzyści uzyskane w związku ze stosowaniem stwierdzonej praktyki naruszającej zbiorowe interesy konsumentów – zwiększenie o 10%-20%.

Pomimo tego, że Wyjaśnienia nie mają charakteru prawnie wiążącego, to w istotny sposób zwiększają transparentność i pewność prawa oraz umożliwiają dokładniejszą analizę ryzyk poszczególnych przedsięwzięć. Z uwagi na istotne zalety tego rozwiązania przy jednoczesnym braku wad należy wskazać, iż podobne wytyczne powinny zostać przyjęte na gruncie RODO, w szczególności w pierwszych latach obowiązywania Rozporządzenia, kiedy nie będzie jeszcze wykształconej odpowiedniej praktyki urzędniczej w zakresie ustalania wysokości kar.

Share This:

Dodaj komentarz