Ghidul privind aplicarea și stabilirea unor amenzi administrative în sensul Regulamentului nr. 2016/679

Sursa oficială: http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=611237

GRUPUL DE LUCRU PENTRU PROTECȚIA PERSOANELOR ÎN CEEA CE PRIVEȘTE PRELUCRAREA DATELOR CU CARACTER PERSONAL

instituit prin Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995,
având în vedere articolele 29 și 30 din directiva respectivă,
având în vedere regulamentul său de procedură,

ADOPTĂ PREZENTUL GHID
3 octombrie 2017

_____________________________________________________________________________________________________________________

CUPRINS

I. Introducere

II. Principii

III. Criteriile de evaluare prevăzute la articolul 83 alineatul (2)

IV. Concluzie

_____________________________________________________________________________________________________________________

I. Introducere

UE a finalizat un program cuprinzător de reformă a reglementărilor în materie de protecție a datelor în Europa. Reforma se bazează pe mai mulți piloni (elemente-cheie): norme coerente, proceduri simplificate, acțiuni coordonate, implicarea utilizatorilor, informații mai eficace și consolidarea competențelor de aplicare.
Operatorii de date și persoanele împuternicite de operatori au responsabilități sporite pentru a se asigura faptul că datele cu caracter personal ale persoanelor sunt protejate în mod eficace. Autoritățile de supraveghere au competența de a garanta că principiile prevăzute în Regulamentul general privind protecția datelor (denumit în continuare „regulamentul”), precum și drepturile persoanelor fizice în cauză sunt apărate, în conformitate cu litera și spiritul regulamentului.
Aplicarea consecventă a normelor în materie de protecție a datelor este esențială pentru un regim de protecție a datelor armonizat. Amenzile administrative sunt un element central în cadrul noului sistem de punere în aplicare introdus de regulament, fiind o componentă importantă a setului de instrumente de aplicare ale autorităților de supraveghere, împreună cu celelalte măsuri prevăzute la articolul 58.
Prezentul document este destinat utilizării de către autoritățile de supraveghere pentru a asigura o mai bună aplicare și respectare a regulamentului și exprimă înțelegerea comună de către acestea a dispozițiilor articolului 83 din regulament, precum și a interacțiunii sale cu articolele 58 și 70, precum și cu considerentele corespunzătoare acestora.
În special, în conformitate cu articolul 70 alineatul (1) litera (e), Comitetul european pentru protecția datelor (denumit în continuare „CEPD”) este împuternicit să publice orientări, recomandări și cele mai bune practici pentru a încuraja aplicarea consecventă a regulamentului, iar articolul 70 alineatul (1) litera (k) precizează dispoziția referitoare la orientări privind calcularea amenzilor administrative.
Prezentele orientări nu sunt nici exhaustive și nici nu vor oferi explicații cu privire la diferențele dintre sistemele juridice administrative, civile sau penale atunci când se aplică sancțiuni administrative în general.
Pentru a obține o abordare coerentă cu privire la impunerea de amenzi administrative, care să reflecte în mod adecvat toate principiile enunțate în prezentele orientări, CEPD a convenit asupra unei înțelegeri comune a criteriilor de evaluare prevăzute la articolul 83 alineatul (2) din regulament și, prin urmare, CEPD și autoritățile de supraveghere individuale sunt de acord să utilizeze prezentele orientări drept o abordare comună.

II. Principii

După ce a fost stabilită o încălcare a regulamentului pe baza evaluării situației de fapt în speță, autoritatea de supraveghere competentă trebuie să identifice cele mai adecvate măsuri corective pentru a aborda încălcarea. Dispozițiile articolului 58 alineatul (2) literele (b)-(j)[1] indică instrumentele pe care autoritățile de supraveghere le pot utiliza pentru a soluționa cazurile de neconformitate din partea unui operator sau a unei persoane împuternicite de operator. Atunci când utilizează aceste competențe, autoritățile de supraveghere trebuie să respecte următoarele principii:

1. Încălcarea regulamentului ar trebui să conducă la impunerea unor „sancțiuni echivalente”.

Conceptul de „echivalență” este esențial în stabilirea sferei obligațiilor autorităților de supraveghere în vederea asigurării coerenței în ceea ce privește utilizarea de către acestea a competențelor corective în conformitate cu articolul 58 alineatul (2) în general și aplicarea de amenzi administrative în special[2].
Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii, nivelul protecției ar trebui să fie echivalent în toate statele membre (considerentul 10). Considerentul 11 precizează faptul că un nivel echivalent de protecție a datelor cu caracter personal în întreaga Uniune necesită, printre altele, „competențe echivalente pentru monitorizarea și asigurarea conformității cu normele de protecție a datelor cu caracter personal și sancțiuni echivalente pentru infracțiuni în statele membre”. În plus, sancțiunile echivalente în toate statele membre, precum și cooperarea efectivă între autoritățile de supraveghere din diferitele state membre sunt considerate o modalitate de a „preîntâmpina discrepanțele care împiedică libera circulație a datelor în cadrul pieței interne”, în conformitate cu considerentul 13 din regulament.
Regulamentul stabilește o bază mai solidă decât Directiva 95/46/CE pentru un grad mai ridicat de coerență, întrucât regulamentul este direct aplicabil în statele membre. În timp ce autoritățile de supraveghere își desfășoară activitatea în „deplină independență” (articolul 52) în ceea ce privește guvernele naționale, operatorii sau persoane împuternicite de operatori, acestea sunt obligate să coopereze „pentru a asigura coerența aplicării și respectării prezentului regulament” [articolul 57 alineatul (1) litera (g)].
Regulamentul solicită o mai mare coerență decât Directiva 95/46 atunci când se impun sancțiuni. În cazurile transfrontaliere, coerența se realizează în primul rând prin mecanismul de cooperare („ghișeul unic”) și, într-o anumită măsură, prin mecanismul pentru asigurarea coerenței prevăzut în noul regulament.
În cazurile naționale vizate de regulament, autoritățile de supraveghere vor aplica prezentele orientări în spiritul cooperării, în conformitate cu articolul 57 alineatul (1) litera (g) și cu articolul 63 pentru a asigura coerența aplicării și a respectării regulamentului. Deși autoritățile de supraveghere rămân independente în alegerea măsurilor corective prezentate la articolul 58 alineatul (2), acestea ar trebui să evite să aleagă măsuri corective diferite în cazuri similare.
Același principiu se aplică în cazul în care astfel de măsuri corective sunt impuse sub forma unor amenzi.

2. 2. La fel ca toate măsurile corective alese de autoritățile de supraveghere, amenzile administrative ar trebui să fie „eficace, proporționale și disuasive”.

La fel ca toate măsurile corective în general, amenzile administrative ar trebui să țină seama în mod corespunzător de natura, gravitatea și consecințele încălcării, iar autoritățile de supraveghere trebuie să evalueze toate circumstanțele speței într-un mod coerent și justificat în mod obiectiv. Evaluarea a ceea ce este eficace, proporțional și disuasiv în fiecare caz va trebui să reflecte, de asemenea, obiectivul urmărit de măsura corectivă aleasă, și anume fie să restabilească conformitatea cu normele, fie să sancționeze un comportament ilegal (sau ambele).
Autoritățile de supraveghere ar trebui să identifice o măsură corectivă care să fie „eficace, proporțională și disuasivă” [articolul 83 alineatul (1)], atât în cazurile naționale (articolul 55), cât și în cazurile care implică prelucrarea datelor cu caracter personal la nivel transfrontalier [în sensul articolului 4 alineatul (23)].
Prezentele orientări recunosc faptul că legislația națională poate stabili cerințe suplimentare privind procedura de executare care trebuie urmată de către autoritățile de supraveghere. Aceasta poate include, de exemplu, adresarea de notificări, formulare, termene-limită pentru prezentarea de observații, cale de atac, executare, plată[3].
Aceste cerințe nu ar trebui însă să împiedice realizarea în practică a eficacității, proporționalității sau caracterului disuasiv.
O determinare mai precisă a eficacității, proporționalității sau caracterului disuasiv va fi generată de practicile emergente în cadrul autorităților de supraveghere (în materie de protecție a datelor, precum și lecțiile învățate din alte sectoare de reglementare), și de jurisprudența rezultată în momentul interpretării acestor principii.
Pentru a impune sancțiuni eficace, proporționale și disuasive, autoritatea de supraveghere utilizează definirea noțiunii de întreprindere, astfel cum este prevăzută de Curtea de Justiție a Uniunii Europene în sensul aplicării articolelor 101 și 102 din TFUE, și anume că prin noțiunea de „întreprindere” se înțelege o unitate economică, care poate fi formată din societatea-mamă și toate filialele implicate. În conformitate cu legislația și jurisprudența UE[4], o întreprindere trebuie să fie înțeleasă ca fiind o unitate economică, care se angajează în activități economice/comerciale, indiferent de persoana juridică în cauză (considerentul 150).

3. Autoritatea de supraveghere competentă va efectua o evaluare „în fiecare caz în parte”.

Amenzile administrative pot fi impuse ca răspuns la o gamă largă de încălcări. Articolul 83 din regulament prevede o abordare armonizată a încălcărilor obligațiilor enumerate în mod explicit la alineatele (4)-(6). Legislația unui stat membru poate extinde aplicarea articolului 83 la autoritățile și organismele publice stabilite în statul membru respectiv. În plus, legislația unui stat membru poate permite sau chiar impune aplicarea unei amenzi pentru încălcarea altor dispoziții decât cele specificate la articolul 83 alineatele (4)-(6).
Regulamentul impune evaluarea fiecărui caz în mod individual[5]. Articolul 83 alineatul (2) reprezintă punctul de plecare pentru o astfel de evaluare individuală. Alineatul prevede că „[a]tunci când se ia decizia dacă să se impună o amendă administrativă și decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acordă atenția cuvenită următoarelor aspecte…” În consecință și având în vedere, de asemenea, considerentul 148[6], autoritatea de supraveghere are responsabilitatea de a alege cea (cele) mai adecvată (adecvate) măsură (măsuri). În cazurile menționate la articolul 83 alineatele (4)-(6), această alegere trebuie să includă analiza tuturor măsurilor corective, care ar include luarea în considerare a impunerii unei amenzi administrative adecvate, fie însoțind o măsură corectivă în temeiul articolului 58 alineatul (2), fie de sine stătătoare.
Amenzile sunt un instrument important pe care autoritățile de supraveghere ar trebui să îl folosească în circumstanțe adecvate. Autoritățile de supraveghere sunt încurajate să utilizeze o abordare chibzuită și echilibrată în utilizarea măsurilor corective, pentru a obține o reacție eficace și disuasivă, dar și proporțională la respectivele încălcări. Scopul este acela de a nu califica amenzile drept soluție de ultimă instanță, nici de a evita impunerea de amenzi, însă, pe de altă parte, de a nu le utiliza într-un mod care să reducă eficacitatea acestora ca instrument.
CEPD, în cazul în care este competent, în conformitate cu articolul 65 din regulament, va emite o decizie cu caracter obligatoriu privind litigiile dintre autorități referitoare în special la stabilirea existenței unei încălcări. În cazul în care obiecția relevantă și motivată ridică problema conformității măsurii corective cu RGPD, decizia CEPD va aborda, de asemenea, modul în care sunt respectate principiile eficacității, proporționalității și efectului disuasiv în ceea ce privește amenda administrativă propusă în cadrul propunerii de decizie a autorității de supraveghere competente. Ulterior, CEPD va emite separat orientări privind aplicarea articolului 65 pentru mai multe detalii cu privire la tipul de decizie care urmează să fie luată de CEPD.

4. O abordare armonizată în ceea ce privește amenzile administrative în domeniul protecției datelor necesită o participare activă și schimb de informații între autoritățile de supraveghere

Prezentele orientări recunosc faptul că, pentru unele autorități naționale de supraveghere, competența de a impune amenzi reprezintă o noutate în domeniul protecției datelor, ridicând numeroase probleme în ceea ce privește resursele, organizarea și procedura. În special, deciziile în cadrul cărora autoritățile de supraveghere își exercită competența de a impune amenzi care le-a fost conferită vor face obiectul unei căi de atac în fața instanțelor naționale.
Autoritățile de supraveghere cooperează între ele și, după caz, cu Comisia Europeană prin intermediul mecanismelor de cooperare, astfel cum se prevede în regulament, în scopul de a sprijini schimburile de informații oficiale și neoficiale, cum ar fi prin intermediul atelierelor de lucru periodice. Această cooperare se va axa pe experiența și practica lor în ceea ce privește aplicarea competenței de a impune amenzi pentru a atinge, în cele din urmă, un grad mai mare de coerență.
Acest schimb de informații proactiv, pe lângă jurisprudența emergentă cu privire la utilizarea acestor competențe, poate să conducă la revizuirea principiilor sau a detaliilor specifice ale prezentelor orientări.

III. Criteriile de evaluare prevăzute la articolul 83 alineatul (2)

Articolul 83 alineatul (2) prevede o listă de criterii pe care autoritățile de supraveghere ar trebui să le utilizeze atât în evaluarea oportunității impunerii unei amenzi, cât și în evaluarea cuantumului acesteia. Acest lucru nu presupune o nouă evaluare a acelorași criterii, ci o evaluare care ia în considerare toate circumstanțele fiecărui caz în parte, în conformitate cu articolul 83[7].
Concluziile la care s-a ajuns în prima etapă a evaluării pot fi utilizate în a doua parte, referitoare la cuantumul amenzii, evitându-se astfel necesitatea de a evalua de două ori pe baza acelorași criterii.
Prezenta secțiune oferă orientări pentru autoritățile de supraveghere cu privire la modul de interpretare a faptelor individuale ale cazului având în vedere criteriile prevăzute la articolul 83 alineatul (2).

(a) natura, gravitatea și durata încălcării

Aproape toate obligațiile operatorilor și ale persoanelor împuternicite de operatori în conformitate cu regulamentul sunt clasificate, în funcție de natura lor, în cadrul dispozițiilor articolului 83 alineatele (4)-(6). Regulamentul, prin stabilirea a două cuantumuri maxime diferite ale amenzilor administrative (10/20 milioane EUR), indică deja că o încălcare a anumitor dispoziții din regulament poate fi mai gravă decât în cazul altor dispoziții. Cu toate acestea, autoritatea de supraveghere competentă, prin evaluarea situației de fapt în speță având în vedere criteriile generale prevăzute la articolul 83 alineatul (2), poate decide că, într-un anumit caz, există o nevoie mai mare sau mai redusă de a reacționa cu o măsură corectivă sub forma unei amenzi. În cazul în care a fost aleasă o amendă ca fiind măsura corectivă sau una dintre măsurile corective adecvate, se va aplica sistemul pe niveluri prevăzut de regulament [articolul 83 alineatele (4)-(6)], în vederea identificării cuantumului maxim al amenzii care poate fi impus în funcție de natura încălcării în cauză.
Considerentul 148 introduce noțiunea de „încălcări minore”. Astfel de încălcări pot constitui încălcări ale uneia sau mai multor dispoziții din regulament enumerate la articolul 83 alineatul (4) sau (5). Evaluarea criteriilor de la articolul 83 alineatul (2) poate determina însă autoritatea de supraveghere să considere că, în împrejurările concrete ale cazului, încălcarea nu reprezintă, de exemplu, o amenințare semnificativă la adresa drepturilor persoanelor vizate în cauză și nu afectează esența obligației în cauză. În astfel de cazuri, amenda poate fi înlocuită (însă nu întotdeauna) cu un avertisment.
Considerentul 148 nu conține o obligație pentru autoritatea de supraveghere de a înlocui întotdeauna o amendă cu un avertisment în cazul unei încălcări minore („poate fi emis un avertisment în locul unei amenzi”), ci mai degrabă o posibilitate disponibilă, în urma unei evaluări concrete a tuturor circumstanțelor cazului.
Considerentul 148 oferă aceeași posibilitate de înlocuire a unei amenzi cu un avertisment, în cazul în care operatorul de date este o persoană fizică, iar amenda susceptibilă de a fi impusă ar constitui o sarcină disproporționată. Punctul de plecare îl reprezintă faptul că autoritatea de supraveghere trebuie să evalueze dacă, având în vedere circumstanțele speței, este necesară impunerea unei amenzi. În cazul în care aceasta se pronunță în favoarea impunerii unei amenzi, autoritatea de supraveghere trebuie să evalueze, de asemenea, dacă amenda care urmează a fi impusă ar constitui o sarcină disproporționată pentru o persoană fizică.
Anumite încălcări nu sunt asociate cu o anumită valoare în cadrul regulamentului, ci doar cu un plafon (valoarea maximă). Acest lucru poate indica un grad relativ mai scăzut de gravitate a încălcării obligațiilor enumerate la articolul 83 alineatul (4), comparativ cu cele prevăzute la articolul 83 alineatul (5). Reacția eficace, proporțională și disuasivă la o încălcare a articolului 83 alineatul (5) va depinde însă de circumstanțele cazului.
Ar trebui remarcat că încălcările regulamentului care prin natura lor ar putea intra în categoria de „până la 10 milioane EUR sau de până la 2 % din cifra de afaceri mondială totală anuală”, astfel cum se prevede la articolul 83 alineatul (4), s-ar putea califica în cele din urmă la o categorie de nivel superior (20 de milioane EUR) în anumite circumstanțe. Acest lucru ar putea fi valabil în cazul în care astfel de încălcări au fost abordate deja în cadrul unui ordin emis de autoritatea de supraveghere, ordin[8] pe care operatorul sau persoana împuternicită de operator nu l-a respectat[9] [articolul 83 alineatul (6)]. Dispozițiile de drept intern pot influența în practică această evaluare[10]. Natura încălcării, dar și „domeniul de aplicare, scopul prelucrării în cauză, precum și numărul persoanelor vizate afectate și nivelul prejudiciilor suferite de acestea” vor fi un indicator al gravității încălcării. Apariția mai multor încălcări diferite comise împreună într-un anumit caz înseamnă că autoritatea de supraveghere poate să aplice amenzile administrative la un nivel care să fie eficace, proporțional și disuasiv în limita celei mai grave încălcări. Prin urmare, în cazul în care s-a descoperit o încălcare a articolului 8 și a articolului 12, autoritatea de supraveghere poate să aplice măsurile corective astfel cum sunt stabilite la articolul 83 alineatul (5) care corespund categoriei cu cele mai grave încălcări, și anume articolul 12. Prezentarea mai multor detalii în această etapă nu intră sub incidența prezentelor orientări specifice (întrucât calculele detaliate ar urma să constituie elementul central al unei posibile etape ulterioare a prezentelor orientări).
Factorii de mai jos ar trebui să fie evaluați în combinație, de exemplu numărul persoanelor vizate, împreună cu posibilul impact asupra lor.
Ar trebui să fie evaluat numărul persoanelor vizate implicate pentru a stabili dacă acesta este un eveniment izolat sau indiciul unei încălcări de natură mai sistemică sau al lipsei de instituire a unor rutine adecvate. Aceasta nu înseamnă că evenimentele izolate nu ar trebui să poată fi executabile, întrucât un eveniment izolat ar putea afecta un număr mare de persoane vizate. În funcție de circumstanțele cazului, acest lucru va fi în raport, de exemplu, cu numărul total de solicitanți ai înregistrării în baza de date în cauză, numărul de utilizatori ai unui serviciu, numărul de clienți, sau în raport cu populația țării, după caz.
De asemenea, trebuie să fie evaluat scopul prelucrării. Avizul GL 29 privind „limitarea scopului”[11] a analizat anterior cele două elemente principale ale acestui principiu în legislația privind protecția datelor: specificarea scopului și compatibilitatea utilizării. Atunci când evaluează scopul prelucrării în contextul articolului 83 alineatul (2), autoritățile de supraveghere ar trebui să analizeze măsura în care prelucrarea respectă cele două componente principale ale acestui principiu[12]. În anumite situații, autoritatea de supraveghere ar putea considera necesar să ia în calcul o analiză mai aprofundată a scopului prelucrării în sine în cadrul analizei articolului 83 alineatul (2).
În cazul în care persoanele vizate au suferit un prejudiciu, trebuie luat în considerare nivelul prejudiciului. Prelucrarea datelor cu caracter personal poate genera riscuri pentru drepturile și libertățile persoanelor fizice, astfel cum se arată la considerentul 75:

Riscul pentru drepturile și libertățile persoanelor fizice, prezentând grade diferite de probabilitate de materializare și de gravitate, poate fi rezultatul unei prelucrări a datelor cu caracter personal care ar putea genera prejudicii de natură fizică, materială sau morală, în special în cazurile în care: prelucrarea poate conduce la discriminare, furt sau fraudă a identității, pierdere financiară, compromiterea reputației, pierderea confidențialității datelor cu caracter personal protejate prin secret profesional, inversarea neautorizată a pseudonimizării sau la orice alt dezavantaj semnificativ de natură economică sau socială; persoanele vizate ar putea fi private de drepturile și libertățile lor sau împiedicate să-și exercite controlul asupra datelor lor cu caracter personal; datele cu caracter personal prelucrate sunt date care dezvăluie originea rasială sau etnică, opiniile politice, religia sau convingerile filozofice, apartenența sindicală; sunt prelucrate date genetice, date privind sănătatea sau date privind viața sexuală sau privind condamnările penale și infracțiunile sau măsurile de securitate conexe; sunt evaluate aspecte de natură personală, în special analizarea sau previzionarea unor aspecte privind randamentul la locul de muncă, situația economică, starea de sănătate, preferințele sau interesele personale, fiabilitatea sau comportamentul, locația sau deplasările, în scopul de a se crea sau de a se utiliza profiluri personale; sunt prelucrate date cu caracter personal ale unor persoane vulnerabile, în special ale unor copii; sau prelucrarea implică un volum mare de date cu caracter personal și afectează un număr larg de persoane vizate.

În cazul în care au fost sau pot fi suferite prejudicii ca urmare a încălcării regulamentului, autoritatea de supraveghere ar trebui să ia în considerare acest aspect în alegerea măsurii corective, cu toate că autoritatea de supraveghere nu este în sine competentă să acorde compensații specifice pentru prejudiciul suferit.
Impunerea unei amenzi nu depinde de capacitatea autorității de supraveghere de a stabili o legătură de cauzalitate între încălcare și prejudiciul material [a se vedea, de exemplu, articolul 83 alineatul (6)].
Durata încălcării poate indica, de exemplu:
a) un comportament intenționat din partea operatorului de date, sau
b) incapacitatea de a lua măsuri preventive adecvate, sau
c) incapacitatea de a pune în aplicare măsurile tehnice și organizatorice necesare.

(b) încălcarea a fost comisă intenționat sau din neglijență

În general, „intenția” include atât cunoștințe, cât și premeditare în raport cu caracteristicile unei infracțiuni, în timp ce „neintenționat” înseamnă că nu a existat nicio intenție de a cauza încălcarea deși operatorul/persoana împuternicită de operator și-a încălcat obligația de diligență prevăzută de lege.
Este în general admis că încălcările intenționate, care dau dovadă de dispreț față de dispozițiile legii, sunt mai grave decât cele neintenționate și, prin urmare, sunt mai susceptibile să justifice aplicarea unei amenzi administrative. Concluziile relevante în legătură cu premeditarea sau neglijența vor fi formulate pe baza identificării elementelor obiective de conduită colectate în urma analizării situației de fapt în speță. În plus, jurisprudența și practica emergente în domeniul protecției datelor în temeiul aplicării regulamentului vor ilustra circumstanțe care indică praguri mai clare pentru evaluarea faptului dacă o încălcare a fost sau nu intenționată.
Circumstanțele care indică încălcări intenționate ar putea fi prelucrarea ilegală autorizată în mod explicit de către conducerea superioară ierarhic a operatorului, sau în pofida recomandărilor primite din partea responsabilului cu protecția datelor sau cu nerespectarea politicilor existente, de exemplu obținerea și prelucrarea de date privind angajații unui concurent cu intenția de a discredita concurentul respectiv pe piață.
Alte exemple în acest sens ar putea fi:
● modificarea datelor cu caracter personal pentru a oferi o impresie înșelătoare (pozitivă) cu privire la faptul dacă au fost îndeplinite obiectivele – practică observată în contextul obiectivelor referitoare la timpii de așteptare în spital
● schimbul de date cu caracter personal în scopuri comerciale, și anume vânzarea datelor cu mențiunea „acceptat” fără a se verifica/a ține cont de opiniile persoanelor vizate cu privire la modul în care ar trebui utilizate datele lor
Alte circumstanțe, cum ar fi neluarea la cunoștință și nerespectarea politicilor existente, erorile umane, lipsa de verificare a datelor cu caracter personal în informațiile publicate, neaplicarea actualizărilor tehnice în timp util, neadoptarea de politici (mai degrabă decât pur și simplu neaplicarea acestora) pot să ofere indicii referitoare la neglijență.
Întreprinderile ar trebui să fie responsabile de adoptarea unor structuri și resurse adecvate în funcție de natura și complexitatea activității lor. Astfel, operatorii și persoanele împuternicite de operatori nu pot să legitimeze încălcări ale legislației privind protecția datelor prin susținerea existenței unui deficit de resurse. Procedurile și documentația aferente activităților de prelucrare urmează o abordare bazată pe riscuri în conformitate cu regulamentul.
Există zone gri care vor afecta procesul de luare a deciziilor referitor la impunerea sau nu a unei măsuri corective și ar putea fi necesar ca autoritatea să depună eforturi mai ample de investigare pentru a constata faptele în speță și pentru a se asigura că toate circumstanțele specifice ale fiecărui caz în parte au fost suficient luate în considerare.

(c) orice acțiuni întreprinse de operator sau de persoana împuternicită de operator pentru a reduce prejudiciul suferit de persoanele vizate;

Operatorii de date și persoanele împuternicite de operatori au obligația de a pune în aplicare măsuri tehnice și organizatorice pentru a asigura un nivel de securitate adecvat riscului, de a efectua evaluări ale impactului în ceea ce privește protecția datelor și de a atenua riscurile care decurg din prelucrarea datelor cu caracter personal pentru drepturile și libertățile persoanelor fizice. Cu toate acestea, atunci când are loc o încălcare și dacă persoana vizată a suferit prejudicii, partea responsabilă ar trebui să facă tot posibilul pentru a reduce consecințele încălcării pentru persoana (persoanele) în cauză. Un astfel de comportament responsabil (sau lipsa acestuia) ar fi luat în considerare de către autoritatea de supraveghere în momentul alegerii măsurii (măsurilor) corective, precum și la calcularea sancțiunii care urmează a fi impusă în cazul respectiv.
Deși factorii agravanți sau atenuanți sunt deosebit de adecvați pentru a ajusta cuantumul unei amenzi la circumstanțele specifice în speță, rolul lor în alegerea măsurii corective corespunzătoare nu ar trebui să fie subestimat. În cazurile în care în urma evaluării bazate pe alte criterii autoritatea de supraveghere are în continuare îndoieli cu privire la caracterul adecvat al unei amenzi administrative, ca o măsură corectivă de sine stătătoare sau în combinație cu alte măsuri menționate la articolul 58, astfel de circumstanțe agravante sau atenuante pot contribui la alegerea măsurilor adecvate, înclinând balanța în favoarea a ceea ce se dovedește a fi mai eficace, proporțional și disuasiv în cazul respectiv.
Această dispoziție funcționează ca o evaluare a gradului de responsabilitate a operatorului, după ce încălcarea a avut loc. Aceasta poate să vizeze cazurile în care operatorul/persoana împuternicită de operator nu a adoptat în mod clar o abordare nechibzuită/neglijentă ci a făcut tot ce i-a stat în putință pentru a-și corecta acțiunile atunci când și-a dat seama de încălcare.
Experiența în materie de reglementare din partea autorităților de reglementare în temeiul Directivei 95/46/CE a arătat anterior că poate fi adecvat să se dea dovadă de un anumit grad de flexibilitate în cazul operatorilor de date/persoanelor împuternicite de aceștia care și-au admis încălcarea și care și-au asumat responsabilitatea de a corecta sau de a limita impactul acțiunilor lor. Acest lucru ar putea include exemple precum (deși nu ar conduce la o abordare mai flexibilă în fiecare caz):
● contactarea altor operatori/persoane împuternicite de operator care este posibil să fi fost implicați în cadrul unei extinderi a prelucrării, de exemplu în cazul în care au existat date partajate din greșeală cu părți terțe.
● acțiunile întreprinse la timp de către operator/persoana împuternicită de operator pentru a stopa continuarea sau extinderea încălcării la un nivel sau o etapă care ar fi avut un impact mult mai grav decât în forma actuală.

(d) gradul de responsabilitate al operatorului sau al persoanei împuternicite de operator ținându-se seama de măsurile tehnice și organizatorice puse în aplicare de aceștia în temeiul articolelor 25 și 32;

Regulamentul a introdus un nivel mult mai ridicat de responsabilizare a operatorului de date în comparație cu Directiva 95/46/CE privind protecția datelor.
Gradul de responsabilitate al operatorului sau al persoanei împuternicite de operator evaluat în contextul aplicării unei măsuri corective corespunzătoare poate include:
● A pus operatorul în aplicare măsuri tehnice care respectă principiile de asigurare a protecției datelor începând cu momentul conceperii și în mod implicit (articolul 25)?
● A pus operatorul în aplicare măsuri organizatorice care îndeplinesc principiile de asigurare a protecției datelor începând cu momentul conceperii și în mod implicit (articolul 25) la toate nivelurile organizației?
● A pus operatorul/persoana împuternicită de operator în aplicare un nivel adecvat de securitate (articolul 32)?
● Sunt procedurile/politicile relevante în materie de protecție a datelor cunoscute și aplicate la nivelul de conducere corespunzător în cadrul organizației? (articolul 24).
Articolele 25 și 32 din regulament prevăd că operatorii „au în vedere stadiul actual al tehnologiei, costurile implementării, și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscurile cu grade diferite de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice pe care le prezintă prelucrarea”. Mai curând decât să constituie o obligație în ceea ce privește obiectivul de atins, aceste dispoziții introduc obligații în ceea ce privește mijloacele, cu alte cuvinte operatorul trebuie să efectueze evaluările necesare și să formuleze concluziile corespunzătoare. Întrebarea la care trebuie să răspundă în continuare autoritatea de supraveghere este în ce măsură operatorul „a făcut ceea ce se așteaptă de la acesta să facă ”, având în vedere natura, scopurile sau dimensiunea prelucrării, privită din perspectiva obligațiilor impuse acesteia în temeiul regulamentului.
În cadrul acestei evaluări, trebuie să se țină seama în mod corespunzător de orice proceduri sau metode reprezentând „cea mai bună practică” acolo unde acestea există și se aplică. Este important să se aibă în vedere standardele industriale, precum și codurile de conduită în domeniul sau profesia respectivă. Codurile de practică ar putea oferi un indiciu referitor la ceea ce constituie o practică comună în domeniu și o indicație a nivelului de cunoștințe cu privire la diferitele mijloace pentru a aborda problemele tipice de securitate asociate prelucrării de date.
În timp ce cele mai bune practici ar trebui să fie idealul de urmat în general, trebuie luate în considerare circumstanțele speciale ale fiecărui caz în parte atunci când se efectuează evaluarea gradului de responsabilitate.

(e) eventualele încălcări anterioare relevante comise de operator sau de persoana împuternicită de operator;

Acest criteriu are scopul de a evalua istoricul entității care a comis încălcarea. Autoritățile de supraveghere ar trebui să aibă în vedere faptul că, în acest caz, domeniul de aplicare a evaluării poate fi destul de vast deoarece orice tip de încălcare a regulamentului, deși diferită ca natură de cea investigată în prezent de către autoritatea de supraveghere, ar putea fi „relevantă” pentru evaluare, întrucât ar putea oferi un indiciu referitor la nivelul general de cunoaștere insuficientă sau nerespectare a normelor de protecție a datelor.
Autoritatea de supraveghere ar trebui să verifice:
● A comis operatorul/persoana împuternicită de operator aceeași încălcare anterior?
● A comis operatorul/persoana împuternicită de operator o încălcare a regulamentului în același mod? (de exemplu, ca urmare a cunoașterii insuficiente a procedurilor existente în cadrul organizației sau ca o consecință a unei evaluări inadecvate a riscurilor, a faptului că nu răspunde în timp util la solicitările din partea persoanei vizate, întârzierile nejustificate în soluționarea solicitărilor și așa mai departe).

(f) gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea și a atenua posibilele efecte negative ale încălcării;

Articolul 83 alineatul (2) prevede că se poate acorda „atenția cuvenită” gradului de cooperare atunci când se decide dacă să se impună o amendă administrativă și atunci când se decide valoarea amenzii. Regulamentul nu oferă un răspuns precis la întrebarea referitoare la modul în care ar trebui să se țină seama de eforturile operatorilor sau ale persoanelor împuternicite de operatori în vederea remedierii unei încălcări deja stabilite de către autoritatea de supraveghere. În plus, este clar că aceste criterii s-ar aplica, de regulă, în momentul calculării cuantumului amenzii care urmează să fie aplicată.
Cu toate acestea, în cazul în care intervenția operatorului a avut drept efect faptul că urmările negative asupra drepturilor persoanelor fizice nu s-au mai produs sau au avut un impact mai limitat decât ar fi putut avea în caz contrar, acest lucru ar putea fi, de asemenea, luat în considerare în alegerea măsurii corective proporționale în cazul individual respectiv.
Un exemplu de caz în care cooperarea cu autoritatea de supraveghere ar putea fi relevantă pentru a fi luată în considerare ar putea fi:
● A răspuns entitatea într-un mod specific la cererile autorității de supraveghere pe parcursul etapei de investigare în cazul specific respectiv, care a avut drept rezultat limitarea în mod semnificativ a impactului asupra drepturilor persoanelor?
Acestea fiind spuse, nu ar fi adecvat să se acorde o atenție suplimentară cooperării care este deja impusă prin lege, de exemplu o entitate este obligată în orice caz să ofere autorității de supraveghere acces la incintele sale pentru efectuarea auditurilor/inspecțiilor.

(g) categoriile de date cu caracter personal afectate de încălcare;

Câteva exemple de întrebări-cheie la care autoritatea de supraveghere ar putea considera necesar să răspundă cu privire la acest aspect, dacă este cazul în speță, sunt următoarele:
● Se referă încălcarea la prelucrarea unor categorii speciale de date prevăzute la articolele 9 sau 10 din regulament?
● Sunt datele identificabile în mod direct/identificabile în mod indirect?
● Implică prelucrarea date a căror diseminare ar cauza prejudicii /neplăceri imediate persoanei fizice (care nu intră în categoria prevăzută la articolul 9 sau 10)?
● Sunt datele disponibile în mod direct fără măsuri de protecție tehnică sau sunt criptate[13]?

(h) modul în care încălcarea a fost adusă la cunoștința autorității de supraveghere, în special dacă și în ce măsură operatorul sau persoana împuternicită de operator a notificat încălcarea;

O autoritate de supraveghere ar putea să ia cunoștință despre încălcare în urma unei investigații, a unor plângeri, a unor articole de presă, a unor indicații anonime sau a unei notificări din partea operatorului de date. Operatorul are obligația, conform regulamentului, să notifice autoritatea de supraveghere cu privire la încălcările securității datelor cu caracter personal. În cazul în care operatorul doar îndeplinește această obligație, respectarea obligației nu poate fi interpretată drept o circumstanță atenuantă. În mod similar, un operator de date/persoană împuternicită de operator care a acționat în mod neglijent fără să-și îndeplinească obligația de notificare sau, cel puțin, fără să notifice toate detaliile încălcării ca urmare a lipsei unei evaluări adecvate a amplorii încălcării poate fi considerat, de asemenea, de către autoritatea de supraveghere ca meritând o sancțiune mai gravă, și anume este puțin probabil ca aceasta să fie clasificată drept o încălcare minoră.

(i) în cazul adoptării măsurilor prevăzute la articolul 58 alineatul (2) au fost dispuse anterior împotriva operatorului sau persoanei împuternicite de operator în cauză cu privire la același obiect, respectarea acestor măsuri;

Operatorul sau persoana împuternicită de operator poate fi deja în atenția autorității de supraveghere în vederea monitorizării conformității sale în urma unei încălcări anterioare și este posibil ca legăturile cu responsabilul pentru protecția datelor, în cazul în care există, să fi fost extensive. Prin urmare, autoritatea de supraveghere va ține seama de legăturile stabilite anterior.
Spre deosebire de criteriile de la litera (e), acest criteriu de evaluare urmărește doar să reamintească autorităților de supraveghere să se raporteze la măsurile pe care ele însele le-au emis anterior în cazul aceluiași operator sau acelorași persoane împuternicite de operator „cu privire la același subiect”.

(j) aderarea la coduri de conduită aprobate, în conformitate cu articolul 40, sau la mecanisme de certificare aprobate, în conformitate cu articolul 42;

Autoritățile de supraveghere „monitorizează și asigură aplicarea prezentului regulament [articolul 57 alineatul (1) litera (a)]”. Aderarea la coduri de conduită aprobate poate fi utilizată de operator sau de persoana împuternicită de operator ca o modalitate de a demonstra conformitatea, astfel cum se prevede la articolul 24 alineatul (3), articolul 28 alineatul (5) sau articolul 32 alineatul (3).
În caz de încălcare a uneia dintre dispozițiile regulamentului, aderarea la un cod de conduită aprobat ar putea oferi un indiciu referitor la cât de curpinzătoare este necesitatea de a interveni cu o amendă administrativă eficace, proporțională și disuasivă sau cu alte măsuri corective din partea autorității de supraveghere. Codurile de conduită aprobate vor conține, în conformitate cu articolul 40 alineatul (4), „mecanisme care permit organismului (de monitorizare) menționat să efectueze monitorizarea obligatorie a respectării dispozițiilor acestuia”.
În cazul în care operatorul sau persoana împuternicită de operator a aderat la un cod de conduită aprobat, autoritatea de supraveghere trebuie să se asigure că o comunitate care face obiectul codului și care este responsabilă de administrarea acestuia ia măsurile adecvate împotriva membrului său, de exemplu prin sistemele de monitorizare și de executare ale codului de conduită în sine. Prin urmare, autoritatea de supraveghere ar putea considera că astfel de măsuri sunt suficient de eficace, proporționale și disuasive în cazul particular respectiv fără a fi nevoie să impună ea însăși măsuri suplimentare. Anumite forme de sancționare a comportamentului neconform pot fi aplicate prin intermediul sistemului de monitorizare, în conformitate cu articolul 41 alineatul (2) litera (c) și articolul 42 alineatul (4), inclusiv suspendarea sau excluderea respectivului operator sau a respectivei persoane împuternicite de operator din cadrul comunității codului. Cu toate acestea, competențele organismului de monitorizare sunt îndeplinite „fără a aduce atingere sarcinilor și competențelor autorității de supraveghere competente”, ceea ce înseamnă că autoritatea de supraveghere nu are obligația de a lua în considerare sancțiunile impuse anterior care țin de sistemul de autoreglementare.
Nerespectarea măsurilor de autoreglementare ar putea indica, de asemenea, neglijența sau comportamentul intenționat de nerespectare din partea operatorului/persoanei împuternicite de operator.

(k) orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma încălcării.

Dispoziția în sine oferă exemple de alte elemente care ar putea fi luate în considerare atunci când se decide cu privire la caracterul adecvat al unei amenzi administrative pentru o încălcare a dispozițiilor menționate la articolul 83 alineatele (4)-(6).
Informațiile privind profitul obținut ca rezultat al unei încălcări pot fi deosebit de importante pentru autoritățile de supraveghere, întrucât câștigul economic de pe urma încălcării nu poate fi compensat prin măsuri care nu au o componentă pecuniară. Prin urmare, faptul că operatorul a obținut profit de pe urma încălcării regulamentului poate oferi un indiciu clar că ar trebui să fie aplicată o amendă.

IV. Concluzie

Reflecțiile asupra întrebărilor precum cele prezentate în secțiunea anterioară vor ajuta autoritățile de supraveghere să identifice, din situația de fapt relevantă în speță, acele criterii care sunt cele mai utile în luarea unei decizii cu privire la oportunitatea impunerii unei amenzi administrative adecvate, pe lângă alte măsuri în temeiul articolului 58 sau în locul acestora. Având în vedere contextul furnizat de o astfel de evaluare, autoritatea de supraveghere va identifica măsura corectivă cea mai eficace, proporțională și disuasivă pentru a răspunde la încălcare.
Articolul 58 oferă anumite orientări referitoare la măsurile pe care o autoritate de supraveghere le-ar putea alege, întrucât măsurile corective în sine sunt diferite prin natura lor și sunt adecvate în principal pentru atingerea unor scopuri diferite. Unele dintre măsurile prevăzute la articolul 58 pot fi chiar cumulate, realizând astfel o acțiune de reglementare care conține mai multe măsuri corective.
Nu este întotdeauna necesar să se completeze măsura prin utilizarea unei alte măsuri corective. De exemplu: Eficacitatea și caracterul disuasiv al intervenției autorității de supraveghere, cu luarea în considerare în mod corespunzător a ceea ce este proporțional în cazul specific respectiv, pot fi realizate doar prin intermediul unei amenzi.
În esență, autoritățile trebuie să restabilească conformitatea prin toate măsurile corective pe care le au la dispoziție. Autoritățile de supraveghere vor avea, de asemenea, obligația să aleagă cel mai adecvat mijloc de continuare a acțiunii de reglementare. De exemplu, acest lucru ar putea include sancțiuni penale (în cazul în care acestea sunt disponibile la nivel național).
Practica aplicării de amenzi administrative în mod uniform în cadrul Uniunii Europene este un domeniu în continuă evoluție. Ar trebui întreprinse acțiuni de către autoritățile de supraveghere în conlucrare pentru a îmbunătăți coerența în mod constant. Acest lucru poate fi realizat prin schimburi regulate prin intermediul atelierelor de soluționare a cazurilor sau al altor evenimente care permit realizarea de comparații între situațiile de la nivel subnațional, național și transfrontalier. Pentru a sprijini această activitate în curs de desfășurare, este recomandată crearea unui subgrup permanent atașat la o parte relevantă a Comitetului european pentru protecția datelor.

_____________________________________________________________________________________________________________________

[1] Articolul 58 alineatul (2) litera (a) prevede că pot fi adresate avertismente atunci când „operațiunile de prelucrare sunt susceptibile să încalce dispozițiile prezentului regulament”. Cu alte cuvinte, în cazul care intră sub incidența acestei dispoziții, nu a avut încă loc o încălcare a regulamentului.
[2] Inclusiv în cazul în care sistemele juridice din unele țări din UE nu permit impunerea unor amenzi administrative, astfel cum se prevede în regulament, o astfel de aplicare a normelor în statele membre respective trebuie să aibă un efect echivalent amenzilor administrative impuse de autoritățile de supraveghere (considerentul 151). Instanțele au obligații în temeiul regulamentului, însă nu și în temeiul prezentelor orientări ale CEPD.
[3] De exemplu, cadrul constituțional și proiectul de lege privind protecția datelor din Irlanda impun pronunțarea unei decizii oficiale privind existența încălcării în sine, care este comunicată părților relevante, înainte de a se evalua a nivelul sancțiunii (sancțiunilor). Decizia privind existența încălcării în sine nu poate fi revizuită în etapa de evaluare a nivelului sancțiunii (sancțiunilor).
[4] Definiția din jurisprudența CJUE este: „noțiunea de întreprindere cuprinde orice entitate care exercită o activitate economică, indiferent de statutul juridic al entității și de modul în care aceasta este finanțată” (cauza Höfner și Elsner, punctul 21, ECLI:EU:C:1991:161). O întreprindere „trebuie să fie înțeleasă în sensul că desemnează o unitate economică, chiar dacă din punct de vedere juridic această unitate economică este constituită din mai multe persoane fizice sau juridice” (cauza Confederación Española de Empresarios de Estaciones de Servicio, punctul 40, ECLI:EU:C:2006:784).
[5] În plus față de aplicarea criteriilor prevăzute la articolul 83, există și alte dispoziții care consolidează bazele acestei abordări, cum ar fi:
– considerentul 141 „Investigația în urma unei plângeri ar trebui să fie efectuată, sub control judiciar, în măsura în care este necesar, în funcție de caz.”
– considerentul 129 „Competențele autorităților de supraveghere ar trebui exercitate în conformitate cu garanții procedurale adecvate prevăzute în dreptul Uniunii și în dreptul intern, în mod imparțial, echitabil și într-un termen rezonabil. În special, fiecare măsură ar trebui să fie adecvată, necesară și proporțională în scopul de a asigura conformitatea cu dispozițiile prezentului regulament, luând în considerare circumstanțele fiecărui caz în parte…”.
– articolul 57 alineatul (1) litera (f) „tratează plângerile depuse de o persoană vizată, un organism, o organizație sau o asociație în conformitate cu articolul 80 și investighează într-o măsură adecvată obiectul plângerii”.
[6] „Pentru a consolida respectarea aplicării normelor prevăzute în prezentul regulament, ar trebui impuse sancțiuni, inclusiv amenzi administrative, pentru orice încălcare a prezentului regulament, pe lângă sau în locul măsurilor adecvate impuse de autoritatea de supraveghere în temeiul prezentului regulament. În cazul unei încălcări minore sau în cazul în care amenda susceptibilă de a fi impusă ar constitui o sarcină disproporționată pentru o persoană fizică, poate fi emis un avertisment în locul unei amenzi. Cu toate acestea, ar trebui să se ia în considerare în mod corespunzător natura, gravitatea și durata încălcării, caracterul deliberat al încălcării, acțiunile întreprinse pentru a reduce prejudiciul cauzat, gradul de răspundere sau orice încălcări anterioare relevante, modul în care încălcarea a fost adusă la cunoștința autorității de supraveghere, conformitatea cu măsurile adoptate împotriva operatorului sau a persoanei împuternicite de operator, aderarea la un cod de conduită și orice alt factor agravant sau atenuant. Impunerea de sancțiuni, inclusiv de amenzi administrative, ar trebui să facă obiectul unor garanții procedurale adecvate, în conformitate cu principiile generale ale dreptului Uniunii și cu carta, inclusiv o protecție judiciară eficientă și un proces echitabil”.
[7] Evaluarea sancțiunii care urmează a fi aplicată poate avea loc separat după evaluarea existenței unei încălcări din cauza normelor procedurale naționale care decurg din cerințele constituționale în unele țări. Prin urmare, acest lucru poate limita conținutul și nivelul de detaliu al unui proiect de decizie emis de autoritatea de supraveghere principală din țările respective.
[8]Ordinele prevăzute la articolul 58 alineatul (2) sunt:
● de a da dispoziții operatorului sau persoanei împuternicite de operator să respecte cererile persoanei vizate de a-și exercita drepturile în temeiul prezentului regulament;
● de a da dispoziții operatorului sau persoanei împuternicite de operator să asigure conformitatea operațiunilor de prelucrare cu dispozițiile prezentului regulament, specificând, după caz, modalitatea și termenul-limită pentru aceasta;
● de a obliga operatorul să informeze persoana vizată cu privire la o încălcare a protecției datelor cu caracter personal;
● de a impune o limitare temporară sau definitivă, inclusiv o interdicție asupra prelucrării
● de a dispune rectificarea sau ștergerea datelor cu caracter personal sau restricționarea prelucrării, în temeiul articolelor 16, 17 și 18, precum și notificarea acestor acțiuni destinatarilor cărora le-au fost divulgate datele cu caracter personal, în conformitate cu articolul 17 alineatul (2) și cu articolul 19;
● de a obliga organismul de certificare să retragă o certificare eliberată în temeiul articolelor 42 și 43 sau de a obliga organismul de certificare să nu elibereze o certificare în cazul în care cerințele de certificare nu sunt sau nu mai sunt îndeplinite;
● de a dispune suspendarea fluxurilor de date către un destinatar dintr-o țară terță sau către o organizație internațională.
[9]Aplicarea articolului 83 alineatul (6) trebuie, în mod necesar, să țină seama de legislația națională privind procedura. Legislația națională stabilește modul în care este emis un ordin, modul în care acesta este notificat, momentul de la care acesta produce efecte, dacă există o perioadă de grație pentru a asigura conformitatea. În special, ar trebui avut în vedere efectul unei căi de atac asupra executării unui ordin.
[10]Dispozițiile legale privind prescripția pot avea drept efect faptul că este posibil ca un ordin anterior al unei autorități de supraveghere să nu mai fie luat în considerare ca urmare a perioadei de timp care a trecut de la momentul emiterii acestuia. În unele jurisdicții, normele prevăd că, după perioada de prescriere aferentă unui ordin, nu poate fi impusă nicio amendă pentru nerespectarea ordinului respectiv în temeiul articolului 83 alineatul (6). Fiecărei autorități de supraveghere din fiecare jurisdicție îi revine sarcina de a stabili modul în care aceste impacturi o va afecta.
[11]  GL 203, Avizul nr. 03/2013 privind limitarea scopului, disponibil la adresa: http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf
[12] A se vedea, de asemenea, GL 217, Avizul 6/2014 privind noțiunea de interes legitim al operatorului de date în temeiul articolului 7, pagina 24, cu privire la întrebarea: «Ce face ca un interes să fie „legitim” sau „nelegitim”?»
[13] Nu ar trebui să se considere întotdeauna drept o circumstanță atenuantă „bonus” faptul că încălcarea nu privește decât date identificabile în mod indirect sau chiar date sub pseudonim/criptate. Pentru aceste încălcări,
o evaluare globală a celorlalte criterii ar putea oferi o indicație moderată sau clară cu privire la faptul că ar trebui să fie impusă o amendă.