Avrupa Veri Koruma Kurulu (EDPB), ihlal eden şirketlere verilen para cezalarını daha iyi yönetmek için 24 Mayıs’ta yeni yönergeler kabul etti …
Avrupa Veri Koruma Kurulu (EDPB), Genel Veri Koruma Yönetmeliğini (GDPR) ihlal eden şirketlere verilen cezaları daha iyi yönetmek için 24 Mayıs’ta yeni yönergeleri kabul etti. Fransa’da, bu mali yaptırımların verilip verilmeyeceğine karar veren Ulusal Bilgi İşlem ve Özgürlükler Komisyonu’dur (CNIL).
EDPS, Avrupalı düzenleyicilerin görevi kötüye kullanan şirketlere haklı olarak yaptırım uygulamasına yardımcı olur
İki yönergeden ilki, “ulusal makamlarca verilebilecek idari para cezalarının hesaplanmasına ilişkin yöntemleri uyumlu hale getirmek, » yani Fransız topraklarındaki CNIL. Bir basın bülteninde belirtildiği gibi, ilk sürüm ilk olarak 12 Mayıs 2022’de onaylandı. Beş adımlı bir hesaplama yönteminin sunumunu içeriyordu:
- Bir veya daha fazla ihlale yol açıp açmadıklarını bilmek için tüm cezalandırılabilir davranış vakalarının oluşturulması;
- Para cezasının hesaplanmasında başlangıç noktası olarak kabul edilen ve ulusal otorite tarafından tanımlanan asgari bir meblağın belirlenmesi;
- Ağırlaştırıcı veya hafifletici faktörleri dikkate alın;
- Para cezalarının yasal tavanlarını, verilen miktarları aşmayacak şekilde belirleyin;
- Bağlama ve şirkete bağlı olarak nihai miktarın etkililik, caydırıcılık ve orantılılık gerekliliklerini karşılayıp karşılamadığını analiz edin. Gerekirse değeri ayarlayın.
Bu beş adım, idari para cezalarının hesaplanmasına ilişkin kılavuzun temelini oluşturuyorsa, Avrupa Komitesi, Avrupa halkının görüş bildirebilmesini istedi. Sonuç olarak, 12 Mayıs – 27 Haziran 2022 tarihleri arasında bir kamuoyu yoklaması başlatıldı. Bu, yetkililerin hedef şirketin cirosu ile bağlantılı olarak bir suçun ciddiyetini daha iyi analiz etmesine yardımcı olacak bir referans tablosunun sağlanmasıyla sonuçlandı.
Ulusal yetkililer, bir yaptırım taslağı hakkında görüş bildirme fırsatına sahiptir.
İkinci kılavuz, EDPS tarafından bağlayıcı bir karar alma prosedürüne ışık tutmaktadır. Nisan 2021’de Komite, ” veri koruma makamları arasındaki anlaşmazlıkları çözme prosedürünü açıklığa kavuşturmak “.
Ulusal makamları GDPR’nin 65.1.a maddesine uymaya şiddetle teşvik eder. Somut olarak, bir veya daha fazla ulusal düzenleyici, baş makamın, yani şirketin Avrupa tescilli ofisinin bulunduğu yerdeki karar taslağına ilgili ve gerekçeli bir itiraz formüle ettiğinde, bağlayıcı bir karar kabul edilir. Bu, lider otoritenin nihai kararını vermek için tüm itirazları dikkate almasını zorunlu kılar.
Ancak, yaptırımların tesis edilmesinde son sözü söyleyen daima bu düzenleyicidir. Benzer bir şekilde, Avrupa Birliği Adalet Divanı (CJEU), KommAustria’nın onları daha katı bir şekilde düzenleme arzusunun ardından yakın zamanda büyük teknoloji lehine karar verdi. Artık AB üyesi ülkelerin düzenleyicileri, teknoloji devinin genel merkezinin bulunduğu ülkede yürürlükte olanlardan daha ağır yükümlülükler dayatamayacak.