深度分析：EDPB关于GDPR下行政罚款计算的指南V2.1

2022年5月12日，EDPB通过了关于GDPR下行政罚款计算的指南V2.1《Guidelines 04/2022 on the calculation of administrative fines under the GDPR（Version 2.1）》（下称“04/2022号指南”），以统一监管机构在计算罚款金额时使用的方法。04/2022号指南是对2017年第29条工作组关于行政罚款申请和设定的指南（WP253）的补充。而WP253指南侧重于罚款的适用情形。

该指南中GDPR行政罚款金额的计算方法？

EDPB制定了以下方法用于计算违反GDPR的行政罚款，包括五个步骤：

步骤一：确定违规行为的具体情况，并评估是否适用GDPR第83条第3款的规定。这一步需要详细了解违规行为的性质、范围、持续时间等具体情况，以确定后续计算的基础。

步骤二：根据违规行为的分类、严重程度和企业营业额，确定起始罚款点。

1. 根据GDPR第83条第4-6款将违规行为分类。
2. 根据违规行为的性质、影响范围等评估严重程度，从低、中、高三个等级确定起始点范围。
3. 参考企业营业额，给出不同规模企业的起始罚款点范围。

步骤三：评估与控制者/处理者过去或现在的行为有关的从重和从轻情节，并相应地增加或减少罚款。

步骤四：确定不同违法行为的相关法定上限。在上一步或下一步中适用的增加额不得超过该最高限额。

步骤五：最后，需要分析计算出的最终金额是否符合有效性、劝阻性和相称性的要求。罚款额仍可作相应调整，但不得超过相关法定上限。

在上述所有步骤中，必须牢记的是，罚款的计算并非单纯的数学计算。相反，具体案件的情况是决定最终罚款金额的决定因素，在任何情况下，罚款金额都可以是法定最高限额以下的任何金额。

同时发生多项违法行为及GDPR第83(3)条的适用情况？

指南中对同时发生的多项违法行为和GDPR第83(3)条的适用情况做了以下解释：

1. 同一犯罪行为(concurrence of offences):指一个行为构成多个法律条文，但一个条文被另一个排除或包含。这种情况下应适用最严重条文。
2. 同一处理操作或相关处理操作(same or linked processing operations):指GDPR第83(3)条规定的情况，即控制器或处理者因同一或相关处理操作意外或故意违反多个GDPR条文。这种情况下罚款总额不超过最严重违规的法定上限。
3. 多个犯罪行为(plurality of actions):指一个行为构成多个法律条文，但不属于1和2情况。这种情况下可以分别处以罚款，罚款总额不受法定上限限制。
4. 如果一个行为构成同一法律条文的多次违规，应将其视为第83(3)条情况适用相应。

第83(3)条旨在避免因同一处理操作导致的多个违规而使处罚过轻。但各违规行为都应计入罚款计算。

该指南从法理角度明确了不同情况下第83(3)条的适用范围，以确保处罚决定的一致性和公平性。

指南中关于行政罚款计算起点的规定？

指南中关于行政罚款计算起点的主要内容包括：

1.起点的确定应具有一致性，以促进监管一致性。但起点不应被视为固定数额。

2.起点的确定考虑三个因素：

• GDPR第83(4)-83(6)条对不同违规行为类型的分类;
• 违规行为的严重程度(轻微、中等、严重);
• 企业的年度营业额，以确保处罚成本效益。

3.严重程度起点范围：

• 轻微：法定上限的0-10%
• 中等：法定上限的10-20%
• 严重：法定上限的20-100%

4.考虑企业规模后调整严重程度起点范围：

• 年营业额200万欧元以下企业：起点调整为0.2%-0.4%
• 年营业额200-1000万欧元企业：起点调整为0.3%-2%
• 年营业额1000-5000万欧元企业：起点调整为1.5%-10%
• 年营业额5000-10000万欧元企业：起点调整为8%-20%
• 年营业额10000-25000万欧元企业：起点调整为15%-50%
• 年营业额25000-50000万欧元企业：起点调整为40%-100%
• 年营业额超过50000万欧元企业：监管机构可考虑不调整已确定的起始金额

该指南从法律条文分类、违规严重程度和企业规模三个维度确定了起点计算的参考范围，为监管一致提供了方法论保障。

如何评估从重（Aggravating）和从轻（Mitigating）处罚因素？

指南中详细解释了如何评估aggravating(加重)和mitigating(减轻)因素，并相应增加或减少罚款数额：

1. 识别可能的加重和减轻因素，包括数据主体损害补救措施、责任程度、前科等。
2. 数据主体损害补救措施足够有力时可以作为减轻因素。
3. 责任程度一般作为加重或中性因素考虑，只有在超额履责的情况下才可能作为减轻因素。
4. 前科按时间、主题等因素判断其影响程度。时间越近，影响越大，可作为加重因素。
5. 与监管机构合作程度不同程度上可以作为减轻因素。
6. 违规如何被发现也可能影响判断。主动报告可作为减轻因素。
7. 是否遵守过去监管措施也将纳入考量。
8. 还可以考虑违规是否获利等其他因素。
9. 加减分无固定比例，需根据个案全面权衡决定。
10. 加减分不得超过法定上限。
11. 考虑所有因素后判断罚款是否仍符合有效、惩戒和成比例原则进行调整。

以上过程旨在全面客观评估所有影响因素，保证决定的公平合理性。

该指南中如何对法定最高罚款限额进行规定？

该指南中关于法定最高罚款限额的规定如下：

1. GDPR明确了不同类型违规行为的法定最高罚款限额，如83条第4-6款。
2. 限额分静态限额和动态限额两种。静态限额为固定金额，动态限额根据企业年度营业额百分比计算。
3. 需要根据个案确定适用的限额，如考虑83条第3款规定的累计违规行为。
4. 限额为罚款数额的上限，不得超过限额数额。
5. 在确定起始罚款点和考虑各项因素后增加/减少罚款数额过程中，不得使得最终罚款超过限额。
6. 动态限额高于静态限额时，应以动态限额为准。
7. 限额规定明确约束和限定了罚款决定的范围，保证决定符合法律规定。

指南通过明确法定限额的概念和计算方法，明确规定了罚款数额的上限，这一点符合GDPR的要求，有利于各机构做出一致公平的决定。

强调考虑企业实际罚款支付能力，如何确保罚款对企业是有效和比例适当的？

该指南强调考虑企业实际罚款支付能力，以确保罚款对企业是有效和成比例的，主要表现在以下几点：

1. 指南明确提出应考虑企业年度营业额，作为反映企业规模和经济实力的一个指标。
2. 根据企业营业额设定不同起始罚款点调整幅度，给予中小企业一定优惠。
3. 在最后审查罚款是否有效、威慑和成比例时，可以考虑企业实际支付能力进行调整。
4. 指南明确规定，在极端情况下，可以考虑企业实际无法支付的主张进行减轻，但要严格证明无法支付将导致企业无法持续经营。
5. 考虑企业特殊社会经济环境影响实际支付能力，如行业危机等。

通过上述方式充分考虑企业规模和实际支付能力，指南确保了罚款决定同时兼顾有效性、威慑性与成比例原则，给予中小企业一定照顾，体现了公平合理的精神。这与GDPR的要求是一致的。

该指南对罚款数额进行最后评估的意义和要求？

该指南明确要求在确定罚款数额后，还需要进行最后一次评估，判断罚款数额是否具有：

1. 有效性：能够实现惩戒违规和确保遵守数据保护规则的目的;
2. 成比例性：罚款数额应与违规行为的严重程度成比例，也应考虑企业规模;
3. 威慑性：罚款数额需要起到阻止未来同类违规的威慑作用。

如果通过评估认为当前罚款数额无法满足上述三项原则，指南明确允许在此基础上进行最后调整：

• 如果认为不足以有效，可以增加罚款数额;
• 如果认为不成比例，可以相应减少罚款数额;
• 如果认为不具有足够威慑力，也可以增加罚款以强化威慑。

但调整后罚款数额不得超过法定最大限额。

通过此项最后评估，指南确保罚款决定能够在保证法律限制的前提下，充分满足GDPR对罚款数额的有效性、成比例性和威慑性要求，这一设计符合GDPR的精神。

其他常见问题

1.不同监管机构在执行指南时可能出现差异吗?

指南强调各监管机构应该在方法论和起始点上保持一致，但考虑到不同国家法律体系的差异，在具体案件处理细节上还是可能有一定差异。重要的是保持原则一致，结果相对公平合理。

2.指南与各国相关法律有冲突吗?

指南不旨在替代或修改任何国家法律。如果国家法律与指南在某些细节上存在差异，应优先适用国家法律。但在原则和方法论上，各国监管机构应致力践行指南的精神，以实现GDPR的目的。

3.指南更新频率如何?

答：指南明确表明将持续评估并根据实践经验不断修订，以确保指南在不同时期都能高效有效地执行GDPR。一般来说，随着案例累积，指南将逐步细化和完善。

4.指南执行效果如何评估?

答：可以通过比较不同监管机构案例，评估其是否在方法论和结果上趋于一致;也可以调研企业是否感知到指南产生了阻吓效果。长期来看，是否能更好地保护个人数据权利也是一个重要指标。