2022年5月12日,EDPB通过了关于GDPR下行政罚款计算的指南V2.1《Guidelines 04/2022 on the calculation of administrative fines under the GDPR(Version 2.1)》(下称“04/2022号指南”),以统一监管机构在计算罚款金额时使用的方法。04/2022号指南是对2017年第29条工作组关于行政罚款申请和设定的指南(WP253)的补充。而WP253指南侧重于罚款的适用情形。
该指南中GDPR行政罚款金额的计算方法?
EDPB制定了以下方法用于计算违反GDPR的行政罚款,包括五个步骤:
步骤一:确定违规行为的具体情况,并评估是否适用GDPR第83条第3款的规定。这一步需要详细了解违规行为的性质、范围、持续时间等具体情况,以确定后续计算的基础。
步骤二:根据违规行为的分类、严重程度和企业营业额,确定起始罚款点。
- 根据GDPR第83条第4-6款将违规行为分类。
- 根据违规行为的性质、影响范围等评估严重程度,从低、中、高三个等级确定起始点范围。
- 参考企业营业额,给出不同规模企业的起始罚款点范围。
步骤三:评估与控制者/处理者过去或现在的行为有关的从重和从轻情节,并相应地增加或减少罚款。
步骤四:确定不同违法行为的相关法定上限。在上一步或下一步中适用的增加额不得超过该最高限额。
步骤五:最后,需要分析计算出的最终金额是否符合有效性、劝阻性和相称性的要求。罚款额仍可作相应调整,但不得超过相关法定上限。
在上述所有步骤中,必须牢记的是,罚款的计算并非单纯的数学计算。相反,具体案件的情况是决定最终罚款金额的决定因素,在任何情况下,罚款金额都可以是法定最高限额以下的任何金额。
同时发生多项违法行为及GDPR第83(3)条的适用情况?
指南中对同时发生的多项违法行为和GDPR第83(3)条的适用情况做了以下解释:
- 同一犯罪行为(concurrence of offences):指一个行为构成多个法律条文,但一个条文被另一个排除或包含。这种情况下应适用最严重条文。
- 同一处理操作或相关处理操作(same or linked processing operations):指GDPR第83(3)条规定的情况,即控制器或处理者因同一或相关处理操作意外或故意违反多个GDPR条文。这种情况下罚款总额不超过最严重违规的法定上限。
- 多个犯罪行为(plurality of actions):指一个行为构成多个法律条文,但不属于1和2情况。这种情况下可以分别处以罚款,罚款总额不受法定上限限制。
- 如果一个行为构成同一法律条文的多次违规,应将其视为第83(3)条情况适用相应。
第83(3)条旨在避免因同一处理操作导致的多个违规而使处罚过轻。但各违规行为都应计入罚款计算。 该指南从法理角度明确了不同情况下第83(3)条的适用范围,以确保处罚决定的一致性和公平性。
指南中关于行政罚款计算起点的规定?
指南中关于行政罚款计算起点的主要内容包括:
1.起点的确定应具有一致性,以促进监管一致性。但起点不应被视为固定数额。
2.起点的确定考虑三个因素:
- GDPR第83(4)-83(6)条对不同违规行为类型的分类;
- 违规行为的严重程度(轻微、中等、严重);
- 企业的年度营业额,以确保处罚成本效益。
3.严重程度起点范围:
- 轻微:法定上限的0-10%
- 中等:法定上限的10-20%
- 严重:法定上限的20-100%
4.考虑企业规模后调整严重程度起点范围:
- 年营业额200万欧元以下企业:起点调整为0.2%-0.4%
- 年营业额200-1000万欧元企业:起点调整为0.3%-2%
- 年营业额1000-5000万欧元企业:起点调整为1.5%-10%
- 年营业额5000-10000万欧元企业:起点调整为8%-20%
- 年营业额10000-25000万欧元企业:起点调整为15%-50%
- 年营业额25000-50000万欧元企业:起点调整为40%-100%
- 年营业额超过50000万欧元企业:监管机构可考虑不调整已确定的起始金额
该指南从法律条文分类、违规严重程度和企业规模三个维度确定了起点计算的参考范围,为监管一致提供了方法论保障。
如何评估从重(Aggravating)和从轻(Mitigating)处罚因素?
指南中详细解释了如何评估aggravating(加重)和mitigating(减轻)因素,并相应增加或减少罚款数额:
- 识别可能的加重和减轻因素,包括数据主体损害补救措施、责任程度、前科等。
- 数据主体损害补救措施足够有力时可以作为减轻因素。
- 责任程度一般作为加重或中性因素考虑,只有在超额履责的情况下才可能作为减轻因素。
- 前科按时间、主题等因素判断其影响程度。时间越近,影响越大,可作为加重因素。
- 与监管机构合作程度不同程度上可以作为减轻因素。
- 违规如何被发现也可能影响判断。主动报告可作为减轻因素。
- 是否遵守过去监管措施也将纳入考量。
- 还可以考虑违规是否获利等其他因素。
- 加减分无固定比例,需根据个案全面权衡决定。
- 加减分不得超过法定上限。
- 考虑所有因素后判断罚款是否仍符合有效、惩戒和成比例原则进行调整。
以上过程旨在全面客观评估所有影响因素,保证决定的公平合理性。
该指南中如何对法定最高罚款限额进行规定?
该指南中关于法定最高罚款限额的规定如下:
- GDPR明确了不同类型违规行为的法定最高罚款限额,如83条第4-6款。
- 限额分静态限额和动态限额两种。静态限额为固定金额,动态限额根据企业年度营业额百分比计算。
- 需要根据个案确定适用的限额,如考虑83条第3款规定的累计违规行为。
- 限额为罚款数额的上限,不得超过限额数额。
- 在确定起始罚款点和考虑各项因素后增加/减少罚款数额过程中,不得使得最终罚款超过限额。
- 动态限额高于静态限额时,应以动态限额为准。
- 限额规定明确约束和限定了罚款决定的范围,保证决定符合法律规定。
指南通过明确法定限额的概念和计算方法,明确规定了罚款数额的上限,这一点符合GDPR的要求,有利于各机构做出一致公平的决定。
强调考虑企业实际罚款支付能力,如何确保罚款对企业是有效和比例适当的?
该指南强调考虑企业实际罚款支付能力,以确保罚款对企业是有效和成比例的,主要表现在以下几点:
- 指南明确提出应考虑企业年度营业额,作为反映企业规模和经济实力的一个指标。
- 根据企业营业额设定不同起始罚款点调整幅度,给予中小企业一定优惠。
- 在最后审查罚款是否有效、威慑和成比例时,可以考虑企业实际支付能力进行调整。
- 指南明确规定,在极端情况下,可以考虑企业实际无法支付的主张进行减轻,但要严格证明无法支付将导致企业无法持续经营。
- 考虑企业特殊社会经济环境影响实际支付能力,如行业危机等。
通过上述方式充分考虑企业规模和实际支付能力,指南确保了罚款决定同时兼顾有效性、威慑性与成比例原则,给予中小企业一定照顾,体现了公平合理的精神。这与GDPR的要求是一致的。
该指南对罚款数额进行最后评估的意义和要求?
该指南明确要求在确定罚款数额后,还需要进行最后一次评估,判断罚款数额是否具有:
- 有效性:能够实现惩戒违规和确保遵守数据保护规则的目的;
- 成比例性:罚款数额应与违规行为的严重程度成比例,也应考虑企业规模;
- 威慑性:罚款数额需要起到阻止未来同类违规的威慑作用。
如果通过评估认为当前罚款数额无法满足上述三项原则,指南明确允许在此基础上进行最后调整:
- 如果认为不足以有效,可以增加罚款数额;
- 如果认为不成比例,可以相应减少罚款数额;
- 如果认为不具有足够威慑力,也可以增加罚款以强化威慑。
但调整后罚款数额不得超过法定最大限额。
通过此项最后评估,指南确保罚款决定能够在保证法律限制的前提下,充分满足GDPR对罚款数额的有效性、成比例性和威慑性要求,这一设计符合GDPR的精神。
其他常见问题
1.不同监管机构在执行指南时可能出现差异吗?
指南强调各监管机构应该在方法论和起始点上保持一致,但考虑到不同国家法律体系的差异,在具体案件处理细节上还是可能有一定差异。重要的是保持原则一致,结果相对公平合理。
2.指南与各国相关法律有冲突吗?
指南不旨在替代或修改任何国家法律。如果国家法律与指南在某些细节上存在差异,应优先适用国家法律。但在原则和方法论上,各国监管机构应致力践行指南的精神,以实现GDPR的目的。
3.指南更新频率如何?
答:指南明确表明将持续评估并根据实践经验不断修订,以确保指南在不同时期都能高效有效地执行GDPR。一般来说,随着案例累积,指南将逐步细化和完善。
4.指南执行效果如何评估?
答:可以通过比较不同监管机构案例,评估其是否在方法论和结果上趋于一致;也可以调研企业是否感知到指南产生了阻吓效果。长期来看,是否能更好地保护个人数据权利也是一个重要指标。