Регламент GDPR – система штрафов

Регламент GDPR устанавливает систему штрафов, которая сама по себе служит мотивацией для соблюдения правил и предписаний. О видах штрафа и о том, какие факторы могут повлиять на его размеры, читайте в статье.

Есть много аспектов, которые должны быть учтены для полного соответствия GDPR. Общий регламент о защите данных (GDPR) был принят Европейским союзом в 2016 году. Документ заменил Директиву ЕС о защите данных. Новое регулирование предполагает введение дополнительных обязательств, связанных с контролем и обработкой данных, в том числе и для компаний, которые размещены вне территории ЕС. Нормативно-правовой документ вступил в силу в мае 2018 года.

Главной целью создания регламента GDPR является гармонизация обработки конфиденциальных данных. GDPR имеет экстерриториальный эффект, то есть он применим не только к обработчикам данных, которые находятся на территории стран Европейского союза, но и к компаниям, которые предлагают товары или услуги гражданам ЕС. Его нормами регулируются различные отрасли. Особенное внимание уделяется тем, которые хранят внушительные объемы информации – персональные данные.

Из специфических требований:

• отдельные лица обязуются давать согласие на использование данных в конкретных целях;
• право физических лиц осуществлять запрос на получение подробной информации об удалении или хранении данных.

Таким образом, компаниям необходимо провести оценку, обеспечить эффективные процедуры, а также нанять сотрудника, в ведении которого будет защита данных и приведение в соответствие новым требованиям регламента GDPR.

Читайте также: Регламент GDPR: в каких странах он действует? 

GDPR предполагает два уровня штрафов. Первый – €10 млн или 2% от годового оборота компании за истекший финансовый год. Санкция зависит от того, какой из показателей выше. Второй вариант предполагает штраф в размере €20 млн или 4% годового оборота компании. Так как потенциальная сумма штрафа является существенной, данная система наказания выступает дополнительной мотивацией для компаний по части соблюдения регламента.

Изначально в требованиях парламента фигурировала цифра €100 млн или 5% от годовой прибыли. Утвержденный штраф является проявлением достигнутого компромисса.

В случае нарушения каждый конкретный прецедент будет рассмотрен в отдельности, с учетом ряда критериев. Самыми важными из них являются: преднамеренность характера нарушения, количество затронутых объектов, наличие нарушений в прошлом.

Штраф размером до €10 млн или 2% от годового оборота компании начисляется за нарушения, перечисленные в статье 83 (4) GDPR. А именно связанные с предумышленной интеграцией данных, сотрудничеством с органом надзора, небезопасностью обработки данных, персональными данными субъекта, сертификацией, предварительным консультированием или оценкой воздействия на защиту данных.

Штраф за нарушение GDPR может превысить уровень в €20 млн или 4% от оборота компании. Полный перечень нарушений, за которые его могут начислить, изложен в статье 83 (5) GDPR. Как правило, речь идет о несоблюдении базовых принципов обработки данных, таких как законность факта обработки или обработка специальных категорий персональных данных. Кроме того, штраф может быть применен при нарушении прав субъекта данных или в случае передачи данных третьей стороне (или международной организации).

Читайте также: Сфера деятельности постановления GDPR 25.05.2018 

Критерии, по которым будет определяться сумма, подлежащая уплате:

1. характер нарушения (может быть преднамеренным или осуществленным по небрежности);
2. продолжительность нарушения (при учете характера, объема и цели, с которой осуществлялась обработка данных);
3. количество субъектов, затронутых в ходе нарушения;
4. уровень причиненного ущерба;
5. повторяющийся характер нарушения;
6. степень сотрудничества с органом надзора, обнаружившим нарушение, для минимизации нанесенного ущерба;
7. категория данных, затронутая нарушением;
8. способ, с помощью которого контролирующий орган был уведомлен о нарушении (сообщил ли виновный о нарушении самостоятельно).

Также учитывается любой другой смягчающий или отягощающий фактор, который имеет непосредственное отношение к делу. Подобным фактором может выступить получение финансовой выгоды или убытков, непосредственно или косвенно предотвращенных вследствие нарушения.

Читайте также: GDPR. Как отразится на гемблинг-индустрии? 

Если в ходе разбирательства было обнаружено несколько нарушений, общая сумма административного штрафа не должна превышать размер штрафа за наибольшее из них.

Каждое отдельное государство имеет право применять санкции за нарушение GDPR. Страны, внедряющие новую систему, несут ответственность за выбор методов наказания. Так, сообщается, что меры должны отличаться эффективностью, быть пропорциональными и иметь сдерживающий характер.

Кроме штрафов, перечисленных в регламенте, пострадавшая сторона имеет право потребовать компенсацию за ущерб, который был спровоцирован нарушением GDPR.

Напомним, что 23 октября депутат от политической партии «Единая Россия» Михаил Романов предложил ввести систему регулирования для обработки больших данных. Соответствующий законопроект уже подготовлен для рассмотрения и представлен в Госдуме. 

Читайте также: Беспрепятственные и безопасные: платежи в эпоху больших данных 

Читайте также: Партнерский маркетинг и его основные юридические особенности