Будь-яка організація, яка не дотримується Загальних правил захисту даних Європейського Союзу (GDPR), може бути оштрафована. Документ поширюється на будь-яку організацію — невелику чи багатонаціональну, що працює в кількох країнах — і регулює поведінку щодо персональних даних, яким клієнти довіряють цим компаніям. Якщо компанія не дотримується правил, вона може отримати певні штрафи, більшість із яких є відносно гнучкими.
Загалом порушення GDPR діляться на два види: менш серйозні та більш серйозні. Обидва є адміністративними порушеннями, за винятком випадків, коли клієнти вимагають компенсації від компанії, яка порушила безпеку їхніх даних.
Існують деякі порушення GDPR, які регулятори захисту даних вважають менш серйозними. GDPR пов’язує цей тип порушень з роботою контролерів даних, органів сертифікації та моніторингу. Детальніше можна послатися на такі статті GDPR:
Набір статей 25-39 регулює роботу компаній щодо безпеки даних, якими вони оперують.
Контролюючий орган може бути оштрафований, якщо він **не стежить за дотриманням кодексів поведінки ****або не виконує цього (стаття 41).
Припустимо, компанія виявила будь-яку діяльність, на яку накладено адміністративне стягнення такого роду. У цьому випадку йому доведеться заплатити до 10 мільйонів євро, або 2% від світового річного доходу за попередній фінансовий рік, якщо він вищий.
Порушення, описані нижче, вважаються більш серйозними, тому компанії доведеться сплатити штраф у подвійному розмірі, встановлений для менш суворих — €20 млн. Те ж саме з відсотком світового річного доходу за попередній фінансовий рік — він подвоюється вдвічі, досягаючи 4%. Тому компанії доведеться платити або фіксовану суму грошей, або відсоток — залежно від того, яка сума більша.
Коли перший тип порушення стосується лише невиконання принципів безпеки даних, другий тип включає порушення, які викликають порушення даних.
Основні принципи обробки, включаючи умови згоди, відповідно до статей 5, 6, 7 і 9;
Крім усього вищесказаного, тяжкі наслідки можуть зазнати підприємство ще у двох випадках:
Важко знати, на яку суму вас можуть оштрафувати за різні дії, тому що індивідуальні регулятори захисту даних в першу чергу беруться за визначення штрафів у кожній країні ЄС. Регулятори повинні оцінити, чи мало місце порушення і яку суму доведеться заплатити компанії.
Проте всі регулюючі органи повинні використовувати подібний набір критеріїв для своєї оцінки:
Сила тяжіння і природа. Команда регуляторів повинна була розглянути деталі порушення регулювання та його серйозний вплив.
Намір. Це сталося навмисно, чи компанія не знала про порушення правил захисту даних?
Пом'якшення. Якби компанія вжила певних заходів, щоб зменшити вплив порушення на постраждалих людей, регулятори могли б знайти причину, яка б пом’якшила тяжкість штрафу.
Запобіжні заходи. Чи дотримувалася команда норм GDPR до того, як сталося порушення, і наскільки була підготовлена?
Історія. Будь-які інші дії компанії щодо безпеки даних будуть зазначені в записах, що матиме наслідки у вигляді штрафів.
Співпраця. Якщо фірма дізналася про порушення та вирішила звернутися до третіх осіб для співпраці у його вирішенні, регулятор може подумати про пом’якшення міри штрафу.
Категорія даних. Інформація, яка стала предметом порушення, також бере участь в оцінці регуляторів.
Сповіщення. Це може бути менш ніж очевидно, але те, як ви повідомляєте про це
порушення також відіграє значну роль. Якщо компанія не повідомляє суб’єктам моніторингу, що помітила порушення, це можна вважати спробою його приховати.
Атестація. Якщо компанія отримала сертифікат раніше, вона дбає про безпеку даних, навіть якщо порушення сталося.
Фактори, що обтяжують/пом'якшують. Можуть бути й інші фактори, що впливають на рішення регуляторів.
Іноді регулятори можуть виявити більше одного порушення GDPR в одній компанії. Якщо це станеться, то вибере найсерйозніший і сплатить пов’язаний з ним штраф.
Як ви вже знаєте, за визначення штрафу за порушення GDPR відповідають регулятори. Захист даних – важлива і складна тема, тому будь-яка компанія ризикує отримати штраф. Навіть найвидатніші міжнародні фірми були там у минулому.
У 2018 році служба захисту даних Великобританії виявила, що особисті дані понад 400 000 клієнтів British Airways були зламані. Інформація включала імена, адреси та навіть номери CVV їхніх кредитних карток. Компанія повідомила про інцидент моніторингову організацію, але на неї все одно наклали штраф. Регулятори встановили, що British Airways не вжила достатніх заходів для захисту даних своїх клієнтів. У 2019 році компанія отримала штраф у розмірі €183 млн, але в 2020 році ця сума була зменшена до €20 млн через COVID-19.
У той час як попередня компанія отримала штраф за злам даних своїх клієнтів, ритейлер H&M порушив безпеку даних співробітників. Керівники магазину записували розмови співробітників і зберігали відео у вільному доступі своїм колегам, не повідомляючи їх про це. За це компанія отримала штраф у €35 млн.
У 2019 році пошукова компанія Google отримала штраф у розмірі 50 мільйонів євро за неналежне повідомлення клієнтів про збір і обробку їхніх даних. Компанія вже давно привертає увагу регуляторів своєю адресною рекламою, яка магічним чином знала, що може зацікавити шукача. І цей штраф не останній на їхньому рахунку. У січні 2022 року французькі регулятори безпеки даних оштрафували компанію на 150 мільйонів євро за порушення політики щодо файлів cookie.
У 2022 році ірландські регулятори безпеки даних оштрафували материнську компанію Facebook, Meta, за нездатність вжити належних технологічних та організаційних заходів для захисту конфіденційності даних своїх користувачів. Компанія отримала штраф у розмірі 17 мільйонів євро після того, як регуляторам було повідомлено про 12 порушень даних за 6 місяців.
Найбільший штраф у 2021 році отримав Amazon — 746 мільйонів євро. Було встановлено, що компанія неналежним чином обробляла дані клієнтів без згоди для цільової реклами. Крім того, французькі регулятори безпеки даних визнали Amazon винною з тієї ж причини ще в 2020 році та оштрафували компанію на 35 мільйонів євро. Однак компанія оскаржила звинувачення, заявивши, що її поведінка щодо безпеки даних ідеальна.
Безпека даних є однією з важливих частин управління компанією. Незалежно від того, чи то дані, які ви маєте, якими ви не хочете ділитися з конкурентами, чи інформація, якій ваші клієнти вам довіряють, ви повинні дуже ретельно стежити за нею. У випадку штрафних санкцій GDPR жодна компанія в світі не може їх уникнути без ретельної підготовки заходів захисту даних. Як би легко це не звучало, неправильне ставлення до правил призводить до того, що найбільші компанії світу платять колосальні штрафи. Ретельна підготовка тут не обійдеться без допомоги юриста. У AVITAR ми допоможемо вам бути на крок попереду, прорахувати всі ризики та надати консультацію щодо необхідних заходів для забезпечення безпеки даних у вашій компанії. Не соромтеся надіслати нам електронний лист на адресу business@avitar.legal, і ми налаштуємо для вас одного з наших спеціалістів.
LinkedIn
YouTube
Instagram
Facebook
Telegram
Medium
Зв'яжіться з нами:
