25 maja 2018 r. we wszystkich państwach członkowskich UE wejdzie w życie Ogólne rozporządzenie o ochronie danych („RODO" / „Rozporządzenie"). RODO ma zapewnić jednolite postępowanie z danymi osobowymi w Europie, doprowadzić do istotnej harmonizacji wymogów i standardów w zakresie ochrony danych osobowych w całej UE. Kluczowe znaczenie dla zapewnienia funkcjonowania zharmonizowanego systemu ochrony danych osobowych ma konsekwentne egzekwowanie zasad, między innymi poprzez nakładanie administracyjnych kar pieniężnych przez organy nadzorcze. Grupa robocza ds. ochrony osób fizycznych w zakresie przetwarzania danych osobowych, powołana na mocy dyrektywy 95/46/WE Parlamentu Europejskiego i Rady z 24 października 1995 r. („Grupa Robocza 29"/ „GR 29"), wydała wytyczne w sprawie stosowania i ustalania administracyjnych kar pieniężnych do celów rozporządzenia nr 2016/679.
Kluczowe zasady dla organow nadzorczych
Zgodnie z tekstem Rozporządzenia o ochronie danych oraz wytycznymi Grupy Roboczej 29, gdy zostanie stwierdzone naruszenie RODO, właściwy organ nadzorczy obowiązany będzie do reakcji na takie naruszenie przez zastosowanie najbardziej odpowiedniego środka naprawczego. W fazie wybierania środka naprawczego organy nadzorcze powinny zastosować się do kilku kluczowych zasad. Jedna z nich wskazuje na to, że naruszenie rozporządzenia powinno prowadzić do nałożenia „równoważnych kar".
Przez pojęcie „równoważności", zgodnie z motywem 10 RODO, należy rozumieć zapewnienie przez wszystkie państwa członkowskie równorzędnego stopnia stosowania przepisów Rozporządzenia. Wspomniana równorzędność ma zasadnicze znaczenie dla określenia zakresu obowiązków organów nadzorczych w celu zapewnienia spójności w korzystaniu z uprawnień naprawczych, w tym kar (administracyjnych). Należy przy tym pamiętać, że samo Rozporządzenie, ani wytyczne Grupy Roboczej 29 nie zawierają katalogu kar przypisanych do danego przewinienia. Rozporządzenie posługuje się wyłącznie maksymalnymi pułapami, dostosowanie wysokości kary do przewinienia pozostawiono organom nadzoru.
Indywidualnie w każdym przypadku
Kolejnymi równie ważnymi zasadami mającymi znaczenie przy nakładaniu administracyjnych kar pieniężnych przez organ nadzorczy jest charakter środka naprawczego, który zgodnie z art. 83 ust. 1 powinien być „skuteczny, proporcjonalny i odstraszający", a także zgodnie z art. 83 ust. 2 dokonywanie oceny powinno być rozpatrywane indywidualnie w każdym przypadku. Organ nadzorczy, dokonując oceny, co w danym przypadku jest skuteczne, proporcjonalne i odstraszające, będzie musiał mieć na uwadze cel wybranego środka naprawczego, którym jest przywrócenie zgodności z przepisami lub ukaranie za bezprawne zachowanie. Najprawdopodobniej dopiero praktyka i wykładnia orzecznicza wykształci jednoznaczne albo dokładniejsze znaczenie niedookreślonych pojęć.
Organ nadzorczy jest odpowiedzialny za wybór najodpowiedniejszego środka. Wybór musi uwzględniać wszystkie środki naprawcze, w tym nałożenie odpowiedniej administracyjnej kary pieniężnej, czy to towarzyszącej środkowi naprawczemu na mocy art. 58 ust. 2, czy też występującej samodzielnie. Indywidualny przypadek należy rozpatrywać w kategoriach proporcjonalności i skuteczności, nie zapominając o odstraszającym charakterze zastosowanego środka. Jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna mogłaby stanowić dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Jednakże, zgodnie ze stanowiskiem Grupy Roboczej 29 „celem nie jest tu traktowanie kar pieniężnych jako ostateczności albo powstrzymanie się od ich stosowania", a jedynie zwrócenie uwagi na to, że organy nadzorcze powinny bardzo dokładnie rozpoznać i zbadać dane naruszenie, po to by uniemożliwić podważenie skuteczności ich działania.