Atunci când se ia decizia dacă să se impună o amendă administrativă și decizia cu privire la valoarea amenzii administrative în fiecare caz în parte, se acordă atenția cuvenită următoarelor aspecte:
- natura, gravitatea și durata încălcării, ținându-se seama de natura, domeniul de aplicare sau scopul prelucrării în cauză, precum și de numărul persoanelor vizate afectate și de nivelul prejudiciilor suferite de acestea;
- dacă încălcarea a fost comisă intenționat sau din neglijență;
- natura, gravitatea și durata încălcării, ținându-se seama de natura, domeniul de aplicare sau scopul prelucrării în cauză, precum și de numărul persoanelor vizate afectate și de nivelul prejudiciilor suferite de acestea;
- orice acțiuni întreprinse de operator sau de persoana împuternicită de operator pentru a reduce prejudiciul suferit de persoana vizată;
- gradul de responsabilitate al operatorului sau al persoanei împuternicite de operator ținându-se seama de măsurile tehnice și organizatorice implementate de aceștia;
- eventualele încălcări anterioare relevante comise de operator sau de persoana împuternicită de operator;
- gradul de cooperare cu autoritatea de supraveghere pentru a remedia încălcarea și a atenua posibilele efecte negative ale încălcării;
- categoriile de date cu caracter personal afectate de încălcare;
- modul în care încălcarea a fost adusă la cunoștința autorității de supraveghere, în special dacă și în ce măsură operatorul sau persoana împuternicită de operator a notificat încălcarea;
- respectarea măsurilor dispuse de autoritatea de supraveghere;
- aderarea la coduri de conduită aprobate sau la mecanisme de certificare aprobate;
- orice alt factor agravant sau atenuant aplicabil circumstanțelor cazului, cum ar fi beneficiile financiare dobândite sau pierderile evitate în mod direct sau indirect de pe urma încălcării.
În cazul în care un operator sau o persoană împuternicită de operator încalcă în mod intenționat sau din neglijență, pentru aceeași operațiune de prelucrare sau pentru operațiuni de prelucrare conexe, mai multe dispoziții din prezentul regulament, cuantumul total al amenzii administrative nu poate depăși suma prevăzută pentru cea mai gravă încălcare.
Astfel, pentru încălcările dispozițiilor următoare, potrivit art. 83 alin. (4) din RGPD se aplică amenzi administrative de până la 10 000 000 EUR sau, în cazul unei întreprinderi, de până la 2 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare:
- obligațiile operatorului și ale persoanei împuternicite de operator în conformitate cu art. 8, 11, 25-39, 42 și 43;
- obligațiile organismului de certificare în conformitate cu art. 42 și 43;
- obligațiile organismului de monitorizare în conformitate cu articolul 41 alineatul (4). Totodată, potrivit alin. (5) al art. 83 din RGPD, pentru încălcările dispozițiilor următoare,
se aplică amenzi administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare:
- principiile de bază pentru prelucrare, inclusiv condițiile privind consimțământul, în conformitate cu art. 5, 6, 7 și 9;
- drepturile persoanelor vizate în conformitate cu art. 12-22;
- transferurile de date cu caracter personal către un destinatar dintr-o țară terță sau o organizație internațională, în conformitate cu art. 44-49;
- orice obligații în temeiul legislației naționale adoptate în temeiul capitolului IX;
- nerespectarea unui ordin sau a unei limitări temporare sau definitive asupra prelucrării, sau a suspendării fluxurilor de date, emisă de către autoritatea de supraveghere sau neacordarea accesului
Așa cum se dispune prin art. 83 alin. (6) din RGPD, pentru încălcarea unui ordin emis de autoritatea de supraveghere în conformitate cu art. 58 alin. (2) se aplică, amenzi administrative de până la 20 000 000 EUR sau, în cazul unei întreprinderi, de până la 4 % din cifra de afaceri mondială totală anuală corespunzătoare exercițiului financiar anterior, luându-se în calcul cea mai mare valoare.
În conformitate cu art. 83 alin. (7) din RGPD, fără a aduce atingere competențelor corective ale autorităților de supraveghere astfel cum sunt menționate la art. 58 alineatul (2), fiecare stat membru poate prevedea norme prin care să se stabilească dacă și în ce măsură pot fi impuse amenzi administrative autorităților publice și organismelor publice stabilite în statul membru respectiv.
Potrivit art. 83 alin. (9) din RGPD, în cazul în care sistemul juridic al statului membru nu prevede amenzi administrative, prezentul articol poate fi aplicat astfel încât amenda să fie inițiată de autoritatea de supraveghere competentă și impusă de instanțele naționale competente, garantându- se, în același timp, faptul că aceste căi de atac sunt eficiente și au un efect echivalent cu cel al amenzilor administrative impuse de autoritățile de supraveghere. În orice caz, amenzile impuse trebuie să fie eficace, proporționale și disuasive. Respectivele state membre informează Comisia cu privire la dispozițiile de drept intern pe care le adoptă în temeiul prezentului alineat până la 25 mai 2018, precum și, fără întârziere, cu privire la orice act legislativ de modificare sau orice modificare ulterioară a acestora.
În conformitate cu art. 84 din RGPD, statele membre stabilesc normele privind alte sancțiunile aplicabile în caz de încălcare a regulamentului, în special pentru încălcări care nu fac obiectul unor amenzi administrative în temeiul articolului 83, și iau toate măsurile necesare pentru a
garanta faptul că acestea sunt puse în aplicare. Sancțiunile respective sunt eficace, proporționale și disuasive.
Totodată, fiecare stat membru are obligația să informeze Comisia cu privire la dispozițiile de drept intern pe care le adoptă până la 25 mai 2018, precum și, fără întârziere, cu privire la orice modificare ulterioară a acestora.