Dwa z 28 krajów Unii: Holandia i Niemcy przygotowały i opublikowały zasady obliczania kar za naruszenie RODO, tzw. taryfikatory. Holenderski przewiduje, że najwyższa może wynieść milion euro, niemiecki uzależnił wysokość od wielkości firmy. Eksperci nie mają wątpliwości, że to krok w dobrym kierunku, na który powinien się też zdecydować polski Urząd Ochrony Danych Osobowych. – Dzięki temu wzrosłoby zaufanie do UODO – uważa Marcin Zadrożny, adwokat w ODO 24.  – Obecnie firmy nie mają możliwości oszacowania wysokości kary, w przeciwieństwie np. do kierowców, którzy wiedzą, co grozi za przekroczenie prędkości – podkreśla ekspert.

 


Jawne zasady wyliczania kar w Holandii i Niemczech

Jako pierwszy, w lutym 2019 roku, „taryfikator” opracował holenderski organ nadzorczy. Składa się on z dwóch elementów: stawek i kategorii naruszeń. Poszczególnym przepisom RODO przypisano kategorie - od I do IV, a także wydzielono w sumie cztery pułapy kar, które można maksymalnie nałożyć za ich naruszenie - maksymalne z RODO (do 10 lub 20 mln euro lub do wysokości 2 lub 4 proc. obrotu), do 1 mln euro, do 900 tys euro oraz do 830 tys. euro. W efekcie wiadomo za złamanie, których przepisów grozi najwyższa kara z RODO. Przykładowo jako naruszenie najpoważniejsze uznano brak poinformowania organu o naruszeniu. Z kolei do tych mieszczących się w pułapie do 900 tys. euro zaliczono nie wyznaczenia inspektora ochrony danych (art. 37 RODO, kat.  I). Do każdej kategorii przyporządkowali maksymalną i minimalną karę, a także określili jej podstawową wysokość:

To oznacza, że za nie wyznaczenie IOD nie powinna grozić kara wyższa niż 250 tys. euro. - Wskazane stawki to jedynie wartości sugerowane – tłumaczy Marcin Zadrożny. – Jeśli będzie to uzasadnione, holenderski odpowiednik naszego UODO może nałożyć wyższą karę – dodaje. 

Nieco inaczej do sprawy podeszła grupa zrzeszająca niemieckie organy nadzorcze (zarówno federalny, jak i te na poziomie poszczególnych krajów związkowych), która w październiku 2019 roku przedstawiła swój projekt wytycznych. Przede wszystkim nasi zachodni sąsiedzi uwzględnili w nim cztery kategorie przedsiębiorców w zależności od wysokość rocznego obrotu: mikroprzedsiębiorstwa, małe, średnie i duże przedsiębiorstwa. W każdej z nich wyróżniono dodatkowo podkategorie, a także wyliczono średni obrót dla danej kategorii i tzw. stawkę dzienną (obrót dzielony na 360 dni).

Naruszenia RODO również podzielono na cztery kategorie: lekkie, średnie, poważne i bardzo poważne i przypisano im mnożniki od 1 do 12, zależnie od tego, czy dane naruszenie podlega pod niższą karę (do 2 proc. rocznego obrotu) czy wyższą (do 4 proc. obrotu). Dodatkowo brane są pod uwagę 11 czynniki z art. 83 pkt. 2 RODO, m.in. umyślność naruszenia, stopień współpracy z urzędem, itp., ale nie tylko. -  Pod uwagę może być brana potencjalna niewypłacalność przedsiębiorcy - zauważa Łukasz Drożdżowski, radca prawny. Te parametry mają zaś służyć do wyliczenia wysokości kary.

Różne kary w różnych krajach

Christpher Schmidt, prawnik i ekspert od ochrony danych na tej podstawie zaś przygotował kalkulator. Nie biorąc pod uwagę dodatkowych czynników oszacował on, że biorąc pod uwagę obroty za 2018 rok przeliczone na euro przy kursie 4,3 zł morele.net mogłoby zapłacić w Niemczech średnio ok. 3 mln euro kary (kara nałożona przez UODO to 660 tys. euro), a Bisnode 100 tys. euro (kara nałożona przez UODO to 220 tys. euro). Czy taki taryfikator, a także kalkulator powinien powstać w Polsce? Eksperci nie mają wątpliwości, że tak, ale dr Maciej Kawecki, dziekan warszawskiej Wyższej Szkoły Biznesu, uważa, że taryfikator powinien być wspólny dla krajów Unii. - Na etapie tworzenia krajowej ustawy rozważano  wprowadzenie przepisu zobowiązującego do wydania taryfikatora, ale zrezygnowano z niego. RODO ma być bowiem stosowana spójnie i jednolicie w całej Unii, w tym zasady nakładania kar. Nie powinno się więc ograniczać możliwości wypracowania ich w porozumieniu z innymi państwami. Niestety praktyka pokazuje, że krajowi regulatorzy przyjmują własne modele. W praktyce można sobie wyobrazić, że za podobne naruszenie wymiar kary będzie różny w różnych krajach - tłumaczy Maciej Kawecki, współautor ustawy o ochronie danych osobowych.

 


Polskie firmy też potrzebują taryfikatora

Mec. Zadrożny zwraca jednak uwagę, że kryteria ustalania finansowych kar administracyjnych określone w RODO (art. 83 ust. 2 ) są nieostre, a ich górne pułapy dla podmiotów z sektora prywatnego wręcz w astronomiczne.  - W Polsce tak naprawdę przedsiębiorcy nie są nawet w stanie szacunkowo określić za jakie naruszenie, jaka realna kara finansowa może grozić. Dlatego też prezes UODO powinien przygotować, mówiąc kolokwialnie „taryfikator”. Działanie w tym obszarze na pewno było dobrze odebrane przez przedsiębiorców i pogłębiłoby ich zaufanie do organu  – uważa Marcin Zadrożny.

Podobnego zdania jest Adam Klimowski, główny specjalista ds. ochrony danych osobowych z firmy JAMANO. - Tworząc taryfikator organ nadzorczy jasno komunikuje, co będzie brane pod uwagę przy ustalaniu odpowiedzialności. Dzięki temu administratorzy danych są w stanie większym stopniu zrozumieć za co może im grozić kara. Inspektorzy ochrony danych zyskują zaś cenne narzędzie szkoleniowe – podkreśla. Dlatego jego zdaniem warto pomyśleć nad wprowadzeniem podobnego taryfikatora z uwzględnieniem warunków lokalnych (jak obroty naszych przedsiębiorstw) i przy założeniu, że Europejska Rada Ochrony Danych nie zdecyduje się na wydanie wiążących wskazówek w zakresie wysokości nakładanych kar. Obaj eksperci wskazują, że wzorem powinien być niemiecki taryfikator. 

Łukasz Drożdżowski zaznacza, że w Niemczech każda kara i tak ma być  ustalana w drodze analizy każdego indywidualnego przypadku. - Tworzenie prognoz z góry skazane jest na niepowodzenie, choć taki kalkulator może być  przydatny do oceny ryzyka - zauważa Łukasz Drożdżowski.

Jednakowe tylko zasady ogólne

Od 25 maja zasady nakładania kar są takie same w Unii Europejskiej. Wynikają z art. 83 RODO. Zgodnie z nim, kary mają być skuteczne, proporcjonalne i odstraszające, ale dostosowane do indywidualnego przypadku. Mogą wynieść w przypadku mniej poważnych naruszeń do 10 mln euro lub 2 proc. rocznego obrotu, a poważnych do 20 mln euro lub do 4 proc. rocznego obrotu. Z danych serwisu www.enforcementtracker.com, który upublicznia kary widać, że wynoszą one od stu paru euro do 50 mln euro. Jak dokładnie zostały obliczone nie wiadomo. Żadnych wspólnych zasad obliczania kar nie ma też wiele innych krajów, o ich przygotowanie nie pokusiła się też Europejska Rada Ochrony Danych.