Dne 12. května 2022 přijal Evropský sbor pro ochranu osobních údajů (EDPB) nové pokyny k výpočtu správních pokut. Zatím však zveřejnil jen prvotní verzi, jelikož se ještě musí vypořádat se připomínkami členských států, podávanými do 27. června 2022. Těch byla podána celá řada.
Na rozdíl od stávajících pokynů nová úprava při výpočtu správních pokut za porušení GDPR se již nespoléhá na obecné zásady, ale přichází s pětikrokovou metodikou, která zahrnuje:
- Určení operací zpracování v daném případě a vyhodnocení použití čl. 83 GDPR.
- Zjištění výchozího bodu pro další výpočet na základě vyhodnocení:
- klasifikace podle čl. 83 odst. 4 až 6 obecného nařízení o ochraně osobních údajů;
- závažnost protiprávního jednání podle čl. 83 odst. 2 písm. a), b) a g) GDPR;
- obratu podniku jako jeden z relevantních prvků, který je třeba vzít v úvahu za účelem uložení účinné, odrazující a přiměřené pokuty podle čl. 5 odst. 1 písm. a) nařízení (ES) č. 1266/2007 čl. 83 odst. 1 obecného nařízení o ochraně osobních údajů.
- Vyhodnocení přitěžujících a polehčujících okolností souvisejících s minulým nebo současným chováním správce/zpracovatele a podle toho zvýšení nebo snížení pokuty.
- Určení příslušných zákonných maxim pro různé operace zpracování (zvýšení použité v předchozích nebo následujících krocích nesmí tuto částku překročit).
- Analýzu, zda konečná výše vypočtené pokuty splňuje požadavky na účinnost, odrazující účinek a přiměřenost, jak vyžaduje čl. 83 odst. 1 GDPR, a odpovídající zvýšení nebo snížení pokuty.
Nové pokyny mají za cíl harmonizovat ukládání správních pokut za porušení GDPR v jednotlivých členských státech. Orgány dozoru však pro účely uložení pokuty nemusí dodržet všechny předepsané kroky. Svůj postup však musí pečlivě odůvodnit. Členské státy mají navíc tu možnost vymezit konkrétní případy porušení GDPR a stanovit za ně pokuty v pevných částkách.