2022年5月12日,EDPB通过了关于GDPR下行政罚款计算的指南V2.1《Guidelines 04/2022 on the calculation of administrative fines under the GDPR(Version 2.1)》(下称“04/2022号指南”),以统一监管机构在计算罚款金额时使用的方法。04/2022号指南是对2017年第29条工作组关于行政罚款申请和设定的指南(WP253)的补充。而WP253指南侧重于罚款的适用情形。
EDPB制定了以下方法用于计算违反GDPR的行政罚款,包括五个步骤:
步骤一:确定违规行为的具体情况,并评估是否适用GDPR第83条第3款的规定。这一步需要详细了解违规行为的性质、范围、持续时间等具体情况,以确定后续计算的基础。
步骤二:根据违规行为的分类、严重程度和企业营业额,确定起始罚款点。
步骤三:评估与控制者/处理者过去或现在的行为有关的从重和从轻情节,并相应地增加或减少罚款。
步骤四:确定不同违法行为的相关法定上限。在上一步或下一步中适用的增加额不得超过该最高限额。
步骤五:最后,需要分析计算出的最终金额是否符合有效性、劝阻性和相称性的要求。罚款额仍可作相应调整,但不得超过相关法定上限。
在上述所有步骤中,必须牢记的是,罚款的计算并非单纯的数学计算。相反,具体案件的情况是决定最终罚款金额的决定因素,在任何情况下,罚款金额都可以是法定最高限额以下的任何金额。
指南中对同时发生的多项违法行为和GDPR第83(3)条的适用情况做了以下解释:
第83(3)条旨在避免因同一处理操作导致的多个违规而使处罚过轻。但各违规行为都应计入罚款计算。 该指南从法理角度明确了不同情况下第83(3)条的适用范围,以确保处罚决定的一致性和公平性。
指南中关于行政罚款计算起点的主要内容包括:
1.起点的确定应具有一致性,以促进监管一致性。但起点不应被视为固定数额。
2.起点的确定考虑三个因素:
3.严重程度起点范围:
4.考虑企业规模后调整严重程度起点范围:
该指南从法律条文分类、违规严重程度和企业规模三个维度确定了起点计算的参考范围,为监管一致提供了方法论保障。
指南中详细解释了如何评估aggravating(加重)和mitigating(减轻)因素,并相应增加或减少罚款数额:
以上过程旨在全面客观评估所有影响因素,保证决定的公平合理性。
该指南中关于法定最高罚款限额的规定如下:
指南通过明确法定限额的概念和计算方法,明确规定了罚款数额的上限,这一点符合GDPR的要求,有利于各机构做出一致公平的决定。
该指南强调考虑企业实际罚款支付能力,以确保罚款对企业是有效和成比例的,主要表现在以下几点:
通过上述方式充分考虑企业规模和实际支付能力,指南确保了罚款决定同时兼顾有效性、威慑性与成比例原则,给予中小企业一定照顾,体现了公平合理的精神。这与GDPR的要求是一致的。
该指南明确要求在确定罚款数额后,还需要进行最后一次评估,判断罚款数额是否具有:
如果通过评估认为当前罚款数额无法满足上述三项原则,指南明确允许在此基础上进行最后调整:
但调整后罚款数额不得超过法定最大限额。
通过此项最后评估,指南确保罚款决定能够在保证法律限制的前提下,充分满足GDPR对罚款数额的有效性、成比例性和威慑性要求,这一设计符合GDPR的精神。
指南强调各监管机构应该在方法论和起始点上保持一致,但考虑到不同国家法律体系的差异,在具体案件处理细节上还是可能有一定差异。重要的是保持原则一致,结果相对公平合理。
指南不旨在替代或修改任何国家法律。如果国家法律与指南在某些细节上存在差异,应优先适用国家法律。但在原则和方法论上,各国监管机构应致力践行指南的精神,以实现GDPR的目的。
答:指南明确表明将持续评估并根据实践经验不断修订,以确保指南在不同时期都能高效有效地执行GDPR。一般来说,随着案例累积,指南将逐步细化和完善。
答:可以通过比较不同监管机构案例,评估其是否在方法论和结果上趋于一致;也可以调研企业是否感知到指南产生了阻吓效果。长期来看,是否能更好地保护个人数据权利也是一个重要指标。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。
原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。
如有侵权,请联系 cloudcommunity@tencent.com 删除。