Na gruncie przyjętych przez Grupę Roboczą art. 29 wytycznych w sprawie stosowania i ustalania administracyjnych kar pieniężnych z 3 października 2017 r. kary finansowe stanowią zasadnicze narzędzie umożliwiające egzekwowanie nowo wprowadzonego prawa przez właściwe organy nadzorcze. Co więcej, akt wskazuje na kompetencje Europejskiej Rady Ochrony Danych (EROD) do kształtowania systemu nakładania kar finansowych, które są konsekwencją naruszenia przepisów RODO. Mimo upływu blisko roku od rozpoczęcia obowiązywania europejskiego rozporządzenia EROD nie ustanowiła dotychczas żadnych zasad obliczania kar pieniężnych. W związku z tym organ nadzorczy w Holandii postanowił wydać własne ogólne przepisy administracyjne dotyczące ustalania wysokości tych sankcji (rozporządzenie organu ochrony danych w sprawie administracyjnych kar pieniężnych 2019). Holendrzy są prekursorami tego rodzaju instrukcji, jednak nie ulega wątpliwości, że organy nadzorcze pozostałych krajów będą czerpać z podanego im na tacy cennika – przynajmniej do momentu pojawienia się kolejnych, podobnych opracowań. Wobec tego warto przybliżyć reguły, którymi najprawdopodobniej będzie kierować się również polski Prezes Urzędu Ochrony Danych Osobowych przy nakładaniu kolejnych kar finansowych.
Czytaj także: Pierwsza kara za RODO – milion złotych
Kategorie kluczem
Newralgicznym elementem struktury aktu wydanego przez holenderski organ jest kategoryzacja poszczególnych przepisów oraz ich odniesienie do określonych stawek kar pieniężnych. Przepisy RODO, a także szeregu aktów krajowych, których naruszenie grozi karą grzywny, sklasyfikowano według maksymalnej wysokości. Potencjalne działania zagrożone grzywną podzielono na cztery kategorie, z uwzględnieniem wagi naruszonej normy. Ustala się ją na podstawie obiektywnej oceny wartości przepisów, ich miejsca w hierarchii ustawodawczej, jak również realizowanych przez nie celów i interesów publicznych, którym służą konkretne unormowania. Do każdej z kategorii przyporządkowano zaś określone stawki kar pieniężnych.
Tylko milion?
W toku analizy taryfikatora szczególną uwagę zwraca dysproporcja pomiędzy maksymalną stawką kary przyjętą przez holenderski organ nadzorczy (1 milion euro) a tą przewidzianą przez RODO (20 milionów euro). Czy oznacza to, że przedmiotowe rozporządzenie uniemożliwia nałożenie kary wyższej niż milion euro? Bynajmniej – jeśli jest to uzasadnione okolicznościami, a maksymalna stawka przewidziana przez rozporządzenie w danej sytuacji nie będzie w opinii organu nadzorczego odpowiednia, dopuszczalne jest zastosowanie sankcji w wymiarze przekraczającym wskazaną kwotę. W konkluzji należy stwierdzić, że oznaczone stawki są jedynie wartościami sugerowanymi, niedeterminującymi ostatecznie kształtu decyzji wydawanych przez organy nadzorcze.