Ποιες είναι οι κυρώσεις για τη μη συμμόρφωση με τον Gdpr;

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) θεσπίζει ένα σύστημα προστίμων δύο επιπέδων για τη μη συμμόρφωση, που καθορίζεται κυρίως από τη σοβαρότητα, όπως περιγράφεται στα Άρθρα 82-84. Τα πρόστιμα του κατώτερου επιπέδου εφαρμόζονται σε λιγότερο σοβαρές παραβάσεις, με ποινές που φτάνουν έως και τα 10 εκατομμύρια ευρώ ή το 2% του ετήσιου παγκόσμιου κύκλου εργασιών της εταιρείας από το προηγούμενο οικονομικό έτος, όποιο από τα δύο είναι υψηλότερο. Τα πρόστιμα του ανώτερου επιπέδου αφορούν σοβαρότερες παραβάσεις και μπορούν να ανέλθουν έως και τα 20 εκατομμύρια ευρώ ή το 4% των ετήσιων παγκόσμιων εσόδων, και πάλι, ανάλογα με το ποιο ποσό είναι μεγαλύτερο.

Οι παράγοντες που επηρεάζουν το ακριβές πρόστιμο περιλαμβάνουν:

• Η σοβαρότητα της μη συμμόρφωσης
• Ο αριθμός και η κλίμακα των παραβιάσεων δεδομένων
• Η έκταση της παραβίασης των δικαιωμάτων των υποκειμένων των δεδομένων
• Ο βαθμός συνεργασίας με τις εποπτικές αρχές

Είναι σημαντικό να σημειωθεί ότι δεν οδηγούν όλες οι παραβιάσεις του GDPR σε χρηματικές ποινές. Οι Αρχές Προστασίας Δεδομένων (ΑΠΔ) έχουν διακριτική ευχέρεια να επιβάλλουν εναλλακτικά διορθωτικά μέτρα όπως:

• Επιπλήξεις και προειδοποιήσεις
• Προσωρινές απαγορεύσεις δραστηριοτήτων επεξεργασίας
• Αναστολή ή περιορισμός της διαβίβασης δεδομένων σε τρίτες χώρες

Αυτές οι κυρώσεις συμπληρώνουν τα πρόστιμα και αποσκοπούν στη διασφάλιση της συμμόρφωσης χωρίς απαραίτητα να επιβάλλουν οικονομικές επιβαρύνσεις σε κάθε περίπτωση.

Η δομή δύο επιπέδων αποσκοπεί στη βαθμονόμηση των ποινών αναλογικά, αντικατοπτρίζοντας τη φύση και τον αντίκτυπο των παραβιάσεων στα υποκείμενα των δεδομένων και την οργανωτική ευθύνη (Voigt & Von dem Bussche, 2017). Η εμπειρική ανάλυση υποδεικνύει μια αυξανόμενη τάση για πρόστιμα ανώτερου επιπέδου για συστημικές αποτυχίες ή εκ προθέσεως παραπτώματα, υπογραμμίζοντας την έμφαση του κανονισμού στην προστασία της ακεραιότητας και της ιδιωτικότητας των προσωπικών δεδομένων (Kuner et al., 2020).

Σύνοψη ποινών:

Η αναλογικότητα και η διακριτική ευχέρεια που ενσωματώνονται στους μηχανισμούς επιβολής του GDPR αντικατοπτρίζουν μια ισορροπημένη προσέγγιση στη διακυβέρνηση της προστασίας δεδομένων, προωθώντας τη συμμόρφωση μέσω τόσο τιμωρητικών όσο και διορθωτικών εργαλείων.