Станіслав Коваленко, офіцер із захисту даних (DPO), розказав, за які порушення GDPR накладаються штрафи.
Закріпивши у своїх положеннях істотні розміри штрафів і надавши національним регуляторам право їх накладати на порушників, Загальний регламент про захист даних (далі — GDPR, Регламент) відразу став найбільш читаним нормативним актом ЄС. Та що там ЄС, певно далеко за його межами. Адже, як відомо, будь-якої норми можна не дотримуватися, якщо розумієш, що за недотримання не буде покарання. Тож з’ясуймо, що за штрафи, за що й на кого.
Як і раніше (до набрання чинності Регламентом), кожен суб’єкт даних має право на подання скарги до контролюючого органу в державі — члені ЄС за місцем проживання, місцем роботи чи місцем передбачуваного порушення, якщо суб’єкт даних уважає, що опрацювання його/її персональних даних порушує положення GDPR.
А ось сукупність прав будь-якої особи, яка зазнала матеріальної або моральної шкоди внаслідок порушення Регламенту, на отримання відшкодування від контролера або оператора за заподіяну шкоду, відповідно до статті 82 GDPR, з можливістю прямої реалізації судового заходу правового захисту є новим головним болем тих, хто опрацьовує персональні дані й зобов’язаний дотримуватися вимог Регламенту.
Тепер будь-який контролер, який виконує опрацювання, несе відповідальність за шкоду, заподіяну таким опрацюванням, що порушує положення Регламенту. При цьому оператор несе відповідальність за шкоду, заподіяну опрацюванням тільки тоді, коли він не дотримується своїх зобов’язань, спрямованих безпосередньо на оператора, або ж якщо він діє всупереч законним указівкам контролера даних.
Згідно зі статтею 58 Регламенту кожен контролюючий орган країни — учасниці ЄС наділено такими повноваженнями:
- надсилати попередження контролеру або оператору про те, що плановані операції опрацювання, найімовірніше, порушать положення Регламенту;
- виносити догану контролеру або оператору, якщо операції опрацювання порушують положення Регламенту;
- наказувати контролеру або оператору дотримуватися запитів суб’єкта даних для реалізації його прав відповідно до Регламенту;
- наказувати контролеру або оператору привести операції опрацювання у відповідність до положень Регламенту, а в разі потреби із зазначенням, у якому порядку та протягом якого періоду;
- наказувати контролеру повідомити суб’єкта даних про порушення персональних даних;
- накладати тимчасове чи остаточне обмеження, у тому числі заборону, на опрацювання;
- наказувати здійснити виправлення чи видалення персональних даних або застосувати обмеження опрацювання відповідно до статей 16, 17 і 18 Регламенту і повідомити про такі дії кожного одержувача, якому було розкрито (передано) персональні дані відповідно до статей 17 (2) і 19 Регламенту;
- відкликати сертифікацію чи наказати органу сертифікації відкликати сертифікацію, видану згідно зі статтями 42 і 43 Регламенту, або наказати органу сертифікації не видавати сертифікат, якщо вимоги для сертифікації не виконано або більше не виконуються;
- накладати адміністративні штрафи відповідно до статті 83 Регламенту як доповнення до чи замість заходів, указаних у цій статті Регламенту, залежно від обставин кожної індивідуальної справи;
- наказувати зупинити потоки даних одержувачу в третій країні чи міжнародній організації.
