Πως υπολογίζονται τα πρόστιμα για παραβίαση του GDPR

Εισαγωγή

Ο Κανονισμός (ΕΕ) 2016/679 («ΓΚΠΔ»), ο οποίος τέθηκε σε ισχύ τον Μάιο του 2018, εισήγαγε ένα συνεκτικό πλαίσιο προστίμων σε ολόκληρη την Ευρωπαϊκή Ένωση ως μέσο επιβολής της συμμόρφωσης με το δικαϊκό πλαίσιο προστασίας δεδομένων. Ωστόσο, η αύξηση των εξουσιών των εποπτικών αρχών δεν ήταν όμοια μεταξύ των διαφόρων δικαιοδοσιών, αλλά διέφερε ανάλογα με το αν η αρμόδια αρχή απολάμβανε τέτοιων εξουσιών ήδη δυνάμει  της προϋφιστάμενης νομοθεσίας. Για παράδειγμα, στο Ηνωμένο Βασίλειο, ο νόμος περί προστασίας δεδομένων του 1998 προέβλεπε μέγιστο πρόστιμο για μη συμμόρφωση ύψους 500.000 λιρών στερλινών και στην Ισπανία μέγιστο πρόστιμο 600.000 ευρώ, ενώ συγκρίσιμες ρυθμιστικές αρχές στην Πολωνία και το Βέλγιο δεν διέθεταν τέτοιες εξουσίες επιβολής προστίμων. Περίπου πέντε χρόνια αργότερα, στις 24 Μαΐου 2023 το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων («ΕΣΠΔ») δημοσίευσε νέες κατευθυντήριες γραμμές σχετικά με τον υπολογισμό των διοικητικών προστίμων βάσει του ΓΚΠΔ («Νέες Κατευθυντήριες Γραμμές»). Αυτές οι νέες κατευθυντήριες γραμμές αποσκοπούν στην παροχή σαφήνειας και συνέπειας στον υπολογισμό των προστίμων σε όλα τα κράτη μέλη της ΕΕ και, σύμφωνα με το ΕΣΠΔ, «αποσκοπούν στην εναρμόνιση της μεθοδολογίας που χρησιμοποιούν οι Αρχές Προστασίας Δεδομένων («ΑΠΔ») για τον υπολογισμό των προστίμων και περιλαμβάνουν εναρμονισμένα «σημεία εκκίνησης».

Σημειώνεται ότι οι Νέες Κατευθυντήριες Γραμμές προορίζονται να λειτουργήσουν παράλληλα με τις προγενέστερες Κατευθυντήριες Γραμμές για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του Κανονισμού 2016/679 (WP253).

Σκοπός του παρόντος άρθρου είναι να δοθεί μία σύντομη επισκόπηση του περιεχομένου των Νέων Κατευθυντήριων Γραμμών, σε σύγκριση και με τις κατευθύνσεις που έχουν δοθεί από την Ελληνική Αρχή Προστασίας Δεδομένων σχετικά με τον υπολογισμό των διοικητικών προστίμων.

Η επιβολή προστίμων από τον ΓΚΠΔ

Η εισαγωγή μηχανισμού επιβολής προστίμων από τον ΓΚΠΔ τον Μάιο του 2018 αποτέλεσε σημαντική εξέλιξη στον κόσμο της ρύθμισης της προστασίας δεδομένων. Στο πλαίσιο του ΓΚΠΔ, προβλέπεται επιβολή προστίμων για μια σειρά από παραβιάσεις των διατάξεών του. Η πρώτη κατηγορία δύναται να επισύρει μέγιστο πρόστιμο 10 εκατομμυρίων ευρώ ή 2% του ετήσιου κύκλου εργασιών της επιχείρησης, ανάλογα με το ποιο είναι υψηλότερο, ενώ η δεύτερη κατηγορία μέγιστο πρόστιμο 20 εκατομμυρίων ευρώ ή 4% του ετήσιου κύκλου εργασιών της επιχείρησης, ανάλογα με το ποιο είναι υψηλότερο.

Η εισαγωγή προστίμων βάσει του ΓΚΠΔ είχε ως στόχο να διασφαλίσει ότι οι οργανισμοί λαμβάνουν σοβαρά υπόψη την προστασία των δεδομένων. Η απειλή σημαντικών οικονομικών κυρώσεων για μη συμμόρφωση είχε ως στόχο να ενθαρρύνει τους οργανισμούς να εφαρμόσουν κατάλληλα μέτρα για την προστασία των δεδομένων προσωπικού χαρακτήρα των ατόμων και, σε ορισμένες περιπτώσεις, η απειλή τέτοιων κυρώσεων ήταν αυτή που έδωσε κίνητρα για την έγκριση ολοκληρωμένων προγραμμάτων συμμόρφωσης με την προστασία των δεδομένων.

Όπως συμβαίνει συχνά με τη θέσπιση κανονιστικής νομοθεσίας που παρέχει τη δυνατότητα επιβολής σημαντικών οικονομικών κυρώσεων, η επιβολή προστίμων ακολουθεί μια διαδικασία τριών σταδίων:

• μια αρχική περίοδο ανησυχίας και συζήτησης μεταξύ νομικών και επαγγελματιών συμμόρφωσης, η οποία καθοδηγεί τα προγράμματα συμμόρφωσης και την εφαρμογή πολιτικών και διαδικασιών πριν από τη θέσπιση σχετικών νόμων·
• αντιληπτή «υστέρηση» στη δραστηριότητα επιβολής αμέσως μετά την εφαρμογή·
• αργή αλλά σταθερή υιοθέτηση από τις ρυθμιστικές αρχές που οδηγεί σε αύξηση τόσο του όγκου όσο και του ύψους των κυρώσεων.

Περίπου πέντε χρόνια μετά την εφαρμογή του ΓΚΠΔ, βρισκόμαστε στο τρίτο στάδιο αυτής της διαδικασίας, με τις Εποπτικές Αρχές σε όλη την Ε.Ε. να επιβάλλουν πρόστιμα με ολοένα αυξανόμενη εμπιστοσύνη και με τη σειρά τους εταιρείες να υπόκεινται σε τέτοια πρόστιμα και τους συμβούλους τους να αναπτύσσουν στρατηγικές για την αποφυγή τους. Καθώς το ύψος των προστίμων συνεχίζει να αυξάνεται, οι οικονομικοί παράγοντες που ενεργούν ως μοχλός πίεσης προς τις επιχειρήσεις για να επενδύσουν περισσότερους πόρους σε ζητήματα συμμόρφωσης αυξάνονται παράλληλα. Η ολοένα αυξανόμενη επιβολή προστίμων οδηγεί στην ανάπτυξη νομολογίας εκ μέρους των αρχών αναφορικά με τον τρόπο υπολογισμού και ορθής επιβολής των προστίμων. Στο πλαίσιο αυτό, εφαρμόζονται οι Νέες Κατευθυντήριες Γραμμές.

Αξίζει επίσης να σημειωθεί ότι, ιδανικά, θα αναμενόταν καθοδήγηση σχετικά με τον καλύτερο υπολογισμό των προστίμων αυτών, ώστε να έχουν θεσπιστεί το 2018, όταν τέθηκε για πρώτη φορά σε ισχύ η εξουσία επιβολής τέτοιων προστίμων. Το γεγονός ότι το ΕΣΠΔ χρειάστηκε περίπου πέντε χρόνια για να αναπτύξει, να διαβουλευθεί και να δημοσιεύσει τις κατευθυντήριες γραμμές του αποτελεί σαφή ένδειξη του πόσο δύσκολη είναι στην πραγματικότητα η ανάπτυξη μιας προσέγγισης που λειτουργεί δίκαια και με συνέπεια σε πολλές δικαιοδοσίες και νομικά συστήματα.

Οι Νέες Κατευθυντήριες Γραμμές του ΕΣΠΔ

Οι Νέες Κατευθυντήριες Γραμμές παρέχουν την απαραίτητη σαφήνεια και συνέπεια στην επιβολή του ΓΚΠΔ. Στόχος τους είναι να διασφαλίσουν ότι τα πρόστιμα εφαρμόζονται με συνέπεια σε όλα τα κράτη μέλη της ΕΕ και ότι οι οργανισμοί τυγχάνουν δίκαιης μεταχείρισης. Ωστόσο, αφήνουν τον υπολογισμό του ποσού του προστίμου στη διακριτική ευχέρεια της εποπτικής αρχής, αναγνωρίζοντας ότι οι κατευθυντήριες γραμμές δεν χρειάζεται να είναι τόσο συγκεκριμένες ώστε να επιτρέπουν στον υπεύθυνο επεξεργασίας ή στον εκτελούντα την επεξεργασία να προβεί σε ακριβή μαθηματικό υπολογισμό του αναμενόμενου προστίμου. Το ΕΣΠΔ προβλέπει την εναρμόνιση των σημείων εκκίνησης και τη μεθοδολογία που χρησιμοποιούνται για τον υπολογισμό του προστίμου, παρά την εναρμόνιση των αποτελεσμάτων.

Με την επιφύλαξη των κανόνων που προβλέπονται στον ΓΚΠΔ, δηλαδή ότι το ύψος του προστίμου πρέπει σε κάθε μεμονωμένη περίπτωση να είναι αποτελεσματικό, αναλογικό και αποτρεπτικό (άρθρο 83 παράγραφος 1 του ΓΚΠΔ), καθώς και ότι κατά τον καθορισμό του ύψους του προστίμου, οι εποπτικές αρχές λαμβάνουν δεόντως υπόψη τη σοβαρότητα της παράβασης και τον χαρακτήρα του δράστη (άρθρο 83 παράγραφος 2 του ΓΚΠΔ),  οι νέες κατευθυντήριες γραμμές προβλέπουν μια προσέγγιση πέντε σταδίων για τον υπολογισμό των προστίμων. Οι εποπτικές αρχές δεν υποχρεούνται να ακολουθούν όλα τα βήματα εάν δεν εφαρμόζονται σε κάθε δεδομένη περίπτωση, ούτε να παρέχουν αιτιολόγηση σχετικά με πτυχές των νέων κατευθυντήριων γραμμών που δεν εφαρμόζονται· και παραμένουν ελεύθερα να εφαρμόζουν μεθοδολογία παρόμοια με εκείνη που περιγράφεται στα προτεινόμενα πέντε στάδια.

Βήμα 1ο: Προσδιορισμός των πράξεων επεξεργασίας και αξιολόγηση της εφαρμογής του άρθρου 83 παράγραφος 3 του ΓΚΠΔ για να διαπιστωθεί ποια θεωρείται η σοβαρότερη παράβαση. Το στάδιο αυτό απαιτεί από την αρχή ελέγχου να προσδιορίσει ποια συγκεκριμένη πράξη επεξεργασίας οδήγησε στην παράβαση και να αξιολογήσει τυχόν σύμπτωση αδικημάτων, ενότητα δράσης ή πλουραλισμό ενεργειών. Σημειώνεται ότι αυτές οι διαφορετικές κατηγορίες συμπτώσεων δεν θα πρέπει να συγκρούονται μεταξύ τους, αλλά να έχουν διαφορετικά πεδία εφαρμογής και να εντάσσονται σε ένα συνεκτικό συνολικό σύστημα.

Βήμα 2ο: Εύρεση του σημείου εκκίνησης για περαιτέρω υπολογισμό βάσει αξιολόγησης:

1. της ταξινόμησης στο άρθρο 83 παράγραφοι 4 έως 6 του ΓΚΠΔ·
2. της σοβαρότητας της παράβασης σύμφωνα με το άρθρο 83 παράγραφος 2 στοιχεία α), β) και ζ) του ΓΚΠΔ· και
3. του κύκλου εργασιών της επιχείρησης ως ένα σχετικό στοιχείο που πρέπει να λαμβάνεται υπόψη για την επιβολή αποτελεσματικού, αποτρεπτικού και αναλογικού προστίμου, σύμφωνα με το άρθρο 83 παράγραφος 1 του ΓΚΠΔ.

Μετά την αξιολόγηση της σοβαρότητας της παράβασης στο σύνολό της, η παράβαση θα θεωρηθεί:

1. χαμηλού επιπέδου σοβαρότητας – όταν το αρχικό ποσό για περαιτέρω υπολογισμό βρίσκεται μεταξύ 0 και 10 % του ισχύοντος νόμιμου ανώτατου ορίου·
2. μεσαίου επιπέδου σοβαρότητας – μεταξύ 10-20% του ισχύοντος νόμιμου ανώτατου ορίου· και
3. υψηλό επίπεδο σοβαρότητας – μεταξύ 20-100% του ισχύοντος νόμιμου ανώτατου ορίου.

Οι Νέες Κατευθυντήριες Γραμμές παρέχουν επίσης καθοδήγηση σχετικά με τα αρχικά ποσά που λαμβάνουν υπόψη τον κύκλο εργασιών μιας επιχείρησης – εξετάζονται προσαρμογές, για παράδειγμα, για πολύ μικρές, μικρές και μεσαίες επιχειρήσεις· Σημειώνεται κατά γενικό κανόνα ότι όσο υψηλότερος είναι ο κύκλος εργασιών της επιχείρησης εντός της εφαρμοστέας βαθμίδας της, τόσο υψηλότερο είναι πιθανό να είναι το αρχικό ποσό.

Βήμα 3ο: Αξιολόγηση της παρελθούσας ή παρούσας συμπεριφοράς του υπευθύνου επεξεργασίας/εκτελούντος την επεξεργασία και την ανάλογη προσαρμογή του προστίμου. Κάθε κριτήριο του άρθρου 83 παράγραφος 2 του ΓΚΠΔ θα πρέπει να λαμβάνεται υπόψη μόνο μία φορά. Η εκ προθέσεως παράβαση, οι προηγούμενες παραβάσεις, η μη συνεργασία με τις εποπτικές αρχές και η αδυναμία μετριασμού της ζημίας που υπέστησαν τα υποκείμενα των δεδομένων αποτελούν παραδείγματα επιβαρυντικών παραγόντων. Παραδείγματα ελαφρυντικών παραγόντων περιλαμβάνουν τη λήψη διορθωτικών μέτρων, τη συνεργασία με εποπτικές αρχές και την απόδειξη χαμηλού επιπέδου ενοχής. Η απουσία προηγούμενων παραβάσεων δεν αποτελεί ελαφρυντικό παράγοντα, καθώς η συμμόρφωση με τον ΓΚΠΔ αναμένεται να είναι ο κανόνας. Ο τρόπος με τον οποίο έγινε γνωστή η παράβαση και τυχόν οικονομικά οφέλη που αποκτήθηκαν ή ζημίες που αποφεύχθηκαν αποτελούν επίσης παράγοντες που πρέπει να ληφθούν υπόψη.

Βήμα 4ο: Προσδιορισμός των σχετικών νομικών μέγιστων ορίων για τις διάφορες πράξεις επεξεργασίας. Το βήμα αυτό απαιτεί από το ΕΣΠΔ να εξετάσει το μέγιστο ποσό των διοικητικών προστίμων που μπορούν να επιβληθούν για το συγκεκριμένο είδος παράβασης, όπως ορίζεται στο άρθρο 83 παράγραφοι 4 έως 6 του ΓΚΠΔ.

Βήμα 5ο: Ανάλυση του κατά πόσον το τελικό ποσό του υπολογιζόμενου προστίμου πληροί τις απαιτήσεις αποτελεσματικότητας, αποτρεπτικότητας και αναλογικότητας, όπως απαιτείται από το άρθρο 83 παράγραφος 1 του ΓΚΠΔ, και την ανάλογη αύξηση ή μείωση του προστίμου.

Οι νέες κατευθυντήριες γραμμές ενδέχεται να οδηγήσουν σε υψηλότερα πρόστιμα για τους οργανισμούς. Τα βασικά ποσά για παραβάσεις είναι γενικά υψηλότερα και οι προσαρμογές για επιβαρυντικούς ή ελαφρυντικούς παράγοντες ενδέχεται να αυξήσουν σημαντικά τα πρόστιμα σε ολόκληρη την ΕΕ. Υπάρχει μια γενική τάση «πληθωρισμού προστίμων» με την πάροδο του χρόνου, η οποία δημιουργεί μεγαλύτερο σώμα εξουσίας για τις ρυθμιστικές αρχές να συγκρίνουν σενάρια και αντίστοιχες κυρώσεις. Μολονότι οι κατευθυντήριες γραμμές του ΕΣΠΔ δεν είναι νομικά δεσμευτικές, είναι πειστικές και ενδέχεται να επηρεάσουν την επιβολή προστίμων σε ολόκληρη την ΕΕ. Οι οργανισμοί θα πρέπει να τις λαμβάνουν υπόψη κατά την αξιολόγηση της συμμόρφωσής τους με τον ΓΚΠΔ και τις συνέπειες της μη συμμόρφωσης.

Κριτήρια που λαμβάνει υπόψη η ΑΠΔ

Η ΑΠΔ σε μια σειρά αποφάσεων της συμπεριέλαβε συγκεκριμένα κριτήρια στα οποία βασιζόταν για την επιβολή προστίμων λαμβάνοντας υπόψη τα κριτήρια επιμέτρησης που ορίζει η παράγραφος 2 του άρθρου 83 ΓΚΠΔ σε συνδυασμό με τις ως άνω αναφερόμενες κατευθυντήριες γραμμές καθώς και τις Κατευθυντήριες Γραμμές «για την εφαρμογή και τον καθορισμό διοικητικών προστίμων για τους σκοπούς του Κανονισμού 2016/679». Ειδικότερα:

1. Τη διασφάλιση της συμμόρφωσης της υπό εξέτασης επεξεργασίας με τις επιταγές του ΓΚΠΔ ήδη από το σχεδιασμό και εξ’ ορισμού.
2. Το πλήθος των υποκειμένων των δεδομένων που μπορεί να επηρεάστηκαν από την παράνομη επεξεργασία.
3. Την ύπαρξη υπαιτιότητας εκ μέρους του Υπευθύνου Επεξεργασίας καθώς και τον βαθμό επιμέλειας του.
4. Την λήψη τεχνικών και οργανωτικών μέτρων από τον Υπεύθυνο Επεξεργασίας.
5. Εάν επρόκειτο για συστημικό σφάλμα ή για έλλειψη λήψης υιοθέτησης πολιτικών, διαδικασιών κλπ.
6. Αν υπήρχαν παρελθούσες αντίστοιχες παραβιάσεις από τον υπό εξέταση υπεύθυνο επεξεργασίας.
7. Το γεγονός ότι η παραβίαση του ΓΚΠΔ δεν αφορά ειδική κατηγορία δεδομένων κατ’ άρθρα 9 και 10 ΓΚΠΔ.
8. Εάν πρόκειται για παραβίαση, εάν η ΑΠΔ ενημερώθηκε από τον Υπεύθυνο Επεξεργασίας ή μέσω καταγγελίας.
9. Αν ο Υπεύθυνος αποκόμισε κάποιο όφελος από την  υπό εξέταση παράνομη επεξεργασία.
10. Εάν προέκυψε υλική ζημία,
11. Τον κύκλο εργασιών του εξεταζομένου για το προηγούμενο έτος.

Συμπέρασμα

Οι Νέες Κατευθυντήριες Γραμμές σε συνδυασμό με τα κριτήρια που έχει λαμβάνει υπόψη η ΑΠΔ μπορούν να αποτελέσουν έναν χρήσιμο οδηγό για τους δικηγόρους, που αναλαμβάνουν την εκπροσώπηση Δημοσίων Φορέων ή Επιχειρήσεων ενώπιον της τελευταίας. Έχοντας υπόψη τα κριτήρια αυτά, είναι δυνατό ένας επαγγελματίας να αξιολογήσει με σχετική ασφάλεια τις πιθανότητες επιβολής διοικητικού προστίμου από την ΑΠΔ αλλά και άλλων αρχών ή/και του ΕΣΠΔ καθώς και το ύψος αυτού.