В продължение на серията публикации относно GDPR днес ще се запознаем с най-чувствителната тема, свързана с Регламента, а именно глобите и санкциите.
Ще обърнем внимание на праговете на тези административни наказания[1], на критериите, съгласно които се определя размерът им, както и на това какви са особеностите при определяне на този размер в случай на предприятия и как тези особености засягат груповите корпоративни структури.
Регламентът определя два прага на административните наказания в зависимост от вида на установеното нарушение:
- За нарушения на някое от задълженията на администратора/обработващия (а именно на вмененото с чл. 8, 11, 25-39 и 42 и 43 GDPR), глобата или имуществената санкция би могла да бъде в размер на до 10,000,000 евро или до 2% от общия годишен световен оборот на предприятието за предходната година;
- За нарушения, свързани със заложените в Регламента принципи за обработване на лични данни, правата на субектите на данните, предаването на лични данни на получател в трета държава, задълженията, произтичащи от правото на държавите членки, касаещи особени ситуации на обработване, както и с неспазване на разпореждания или ограничения, наложени от надзорния орган, глобата или имуществената санкция би могла да бъде в размер на до 20,000,000 евро или до 4% от общия годишен световен оборот на предприятието.
Описаните по-горе размери представляват максималните стойности, които глобите или имуществените санкции могат да достигнат. В зависимост от конкретното нарушение и съотношението между дължима и положена грижа, размерът би могъл да варира съществено. Различни обстоятелства ще оказват влияние при преценката на този размер. Така например, в случай на нарушение на няколко разпоредби на Регламента при една и съща операция по обработване или при свързани операции, общият размер на административното наказание не би могъл да надвишава сумата, определена за най-тежкото такова. При леки нарушения пък или ако глобата, която може да бъде наложена, представлява несъразмерна тежест за физическо лице, вместо глоба може да бъде отсъдено порицание.
Възниква въпросът какви са критериите за определяне на размера на наказанието. Регламентът оставя място за редица интерпретации, но мнението на Работната група по чл. 29 е, че преценката зависи от степента на необходимост от намеса и корекция на виновното поведение и от това дали в конкретния случай тази намеса или корекция е от възпитателен или наказателен характер.
Що се отнася до общите правила и условията за налагане на глоба или имуществена санкция, тези правила са посочени в чл. 83 от Регламента. Важен елемент е нуждата от налагане на ефективна и пропорционална глоба или санкция. Такава би могла да бъде определена въз основа на множество обстоятелства, а именно:
- Оценка на естеството на нарушението и на неговата продължителност;
- Оценка на основанието за съответното обработване, както и категориите лични данни, засегнати от нарушението. Някои особени лични данни като напр. такива, засягащи расов или етнически произход, политически и религиозни възгледи, се ползват с по-висока защита.[2]
- Оценка на обстоятелствата около нарушението, по-конкретно оценка на вината, т.е. умишлено или по небрежност е извършено то;
- Оценка на дължимата и положената грижа от страна на администратора/обработващия лични данни при установяване на нарушението и след прекратяването му. Уведомяването на надзорния орган и оказването на сътрудничество при поправяне на нарушението са смекчаващи обстоятелства.
- Значение имат и всякакви други смекчаващи или утежняващи фактори, като напр. предишни нарушения, финансови облаги от нарушението и други.
Размерът на санкциите, наложени на предприятия, може да бъде значително голям. Във връзка с това възниква въпросът какво визира Регламентът под „предприятие“. Тук законодателят е спестил ресурс, като е направил препратка към чл. 101 и 102 от Договора за функционирането на Европейския Съюз (ДФЕС).
Макар да не е изрично дефинирано в тези разпоредби, понятието е тълкувано разширително в установената практика на Съда на ЕС, според която за целите на чл. 101 и 102 от ДФЕС, понятието „предприятие“ следва да се разбира като икономическа единица, която може да бъде образувана от дружество-майка и всички негови дъщерни дружества. За едно предприятие се считат и структури, в които едно дружество упражнява контрол върху друго дружество, като двете са тясно свързани икономически и организационно. Това разбиране за понятието „предприятие“ би могло да доведе до значително увеличаване на санкциите, чиито размер би могъл да бъде определен въз основа на годишния световен оборот на цялата корпоративна група, а не на оборота на конкретното юридическо лице, извършило нарушението.
В заключение, уточняваме, че обсъжданите размери на административните наказания, заложени в Регламента, представляват максималния размер на глобите или санкциите, които могат да бъдат наложени в случай на най-груби нарушения. В Регламента се посочва, че е необходимо да се прави подробна преценка на всеки конкретен случай и възможните смекчаващи или утежняващи обстоятелства.[3] Припомняме, че поради разширителното тълкуване на термина „предприятие“, при определяне на размера на санкцията може да бъде взет предвид годишният оборот на цяла група от дружества, което значително да увеличи размера на санкцията. Затова и съобразяването на дейността с изискванията на Регламента е от изключителна важност.
Екипът на „Димитров Петров и Ко.“
[1] Административните санкции са два вида – „глоба“, която се налага на администратор-физическо лице, и „имуществена санкция“, която се налага на администратор-юридическо лице
[2] Член 9 и 10 от Регламента описват тези специални категории.
[3] Становище на Работна група 29 относно административните глоби за целите на Регламент 2016/679.