Jasno je da GDPR sa sobom nosi i više kazne. No koliko visoke? Analitičari iz NCC grupe nude odgovor na to pitanje.
Kao predložak koristili su kazne koje je ICO izrekao 2016. godine, ukupnog iznosa od 800 500 funti. Prema trenutno važećoj legislativi u Ujedinjenom Kraljevstvu, ICO može kazniti prekršitelje s do 500 tisuća funti po prekršaju.
GDPR nadzornim tijelima daje znatno više slobode, pa tako ona mogu izreći kazne u visini i do 20 milijuna eura ili 4 % ukupnog godišnjeg prometa na svjetskoj razini, ovisno o tome što je veće.
Najveću je kaznu 2016. dobio TalkTalk, u iznosu od 400 tisuća funti, za neadekvatnu zaštitu osobnih podataka od povrede i propusta koji se tiču obavještavanja nadzornog tijela i javnosti. NCC grupa smatra da bi se ta kazna pod GDPR-om popela na 59 milijuna funti. Usput budi rečeno, TalkTalk ima prilično neslavnu reputaciju što se sigurnosti podataka tiče. U kolovozu 2017. dobili su još jednu kaznu, ovoga puta 100 tisuća funti.
NCC ukupno procjenjuje da bi tvrtke u britanski proračun, da je GDPR bio na snazi, za svoje prekršaje uplatile oko 68 milijuna funti – što je povećanje od preko 73 puta. Situacija za 2015. također je slična: predviđa se da bi kazne iznosile oko 35 milijuna funti naspram stvarno naplaćenih 1 milijuna.
No jasno je da su ovi izračuni samo nagađanja i da kao takvi pružaju samo okvirni pregled. Izračuni u obzir uzimaju najgori mogući scenarij po tvrtke, onaj u kojem je nadzorno tijelo odlučio izreći najveće zakonske kazne. Uzevši u obzir činjenicu da ICO nevoljko izdaje maksimalne kazne, nije za očekivati da bi se na sve tvrtke udarilo kaznama od 4 % godišnjeg prometa.
S druge strane, moglo bi doći do aktivacije mehanizma konzistentnosti koji bi ujednačio tretman prekršiteljima u svim članicama EU. To bi nadzorna tijela moglo natjerati da izdaju više kazne, iako istima možda sami i nisu skloni. Svejedno, smatramo da će prekršitelji kojima je ovo prvi put i dalje dobivati samo upozorenja umjesto kazni.
Nadzorna tijela, naime, imaju i savjetodavnu funkciju, i redovito se naglašava da ona ne bi smjela biti isključivo ‘policajci’ čije se aktivnosti svode na puko izricanje kazni.
Čak i ako kazne ne budu velike kao što to predviđa NCC, ne može se osporiti da će kazne zaista biti znatno veće. Tvrtke kojima suradnja s nadzornim tijelima očito teško pada – kao što je TalkTalk – sigurno će, ako nastave po starom, e zaraditi kazne od kojih vam se zavrti u glavi.
Premda Ujedinjeno Kraljevstvo napušta Europsku uniju, GDPR će se i tamo početi primjenjivati od 25. svibnja 2018. ICO je u nekoliko navrata napomenuo da namjeravaju zakonodavcima predložiti sličan skup mjera koji bi zamijenio GDPR nakon napuštanja EU-a. Za očekivati je da mjere neće biti ništa blaže od onih koje propisuje GDPR.
