Максимальний розмір санкцій
За невиконання компанією вимог GDPR, європейськими контролюючими органами можуть бути застосовані доволі серйозні штрафні санкції по відношенню до такої компанії або ж до ресурсів, якими керує та управляє компанія.
Верхня межа санкцій, яка визначена в GDPR та про яку говорять майже всі, полягає у накладенні штрафів у розмірі від 10 до 20 мільйонів євро або ж у розмірі від 2 до 4 % річного обороту компанії. Такі штрафні санкції можуть застосовуватися у випадках, коли компанія повністю ігнорує вимоги GDPR або ж коли об’єм порушення приватності фізичних осіб має критично великий характер.
Наразі, випадків застосування санкцій, еквівалентним верхній межі не зафіксовано, однак, разом з тим, є дуже багато інших випадків, коли застосовуються санкції в менших розмірах.
Санкції, адаптовані до законодавства
Кожній країні – члену ЄС надано право адаптувати своє внутрішнє законодавство до вимог GDPR, а разом з тим і визначати розмір санкцій, що застосовуються до суб’єкта, який здійснює обробку персональних даних, закріпивши таку градацію відповідальності у своєму внутрішньому законодавстві.
Наприклад. Найменший штраф за порушення вимог GDPR, зафіксований станом на 2019 рік, складає 4 тисячі Євро. Прецедент застосування такої міри відповідальності мав місце в Австрії за порушення умов приватності в рамках розміщення відеоспостереження в публічному місці. Разом з тим, одні з найбільших штрафів, які зафіксовані на сьогоднішній день, це штрафи у справі про порушення компанією Facebook умов приватності тисяч користувачів соціальної мережі Facebook, які накладені Офісом Інформаційної Безпеки Великої Британії (ICO). Сума штрафів в цьому кейсі обраховується сотнями мільйонів євро.
Розмір будь-якого штрафу або іншої санкції, перед їх застосуванням, визначається в залежності від певної кількості обставин та факторів. Так, наприклад, при визначенні розміру санкції, повинні враховуватися розмір суб’єкта, сфера його діяльності та ступінь тяжкості порушення приватності фізичних осіб, в тому чи іншому випадку.
Специфічні санкції.
Поряд зі штрафами, законодавство ЄС, так само як і нормативні акти кожної окремо взятої країни – члена ЄС, може передбачати відповідальність і у вигляді певних обмежень діяльності компанії. В цьому випадку мова йде про можливість заблокувати, при необхідності, роботу певного веб-ресурсу компанії або обмежити фізичну діяльність компанії, зокрема, але не виключно, заблокувати роботу апаратно-технічних засобів компанії, з допомогою яких здійснюється обробка персональних даних.
Окрім цього, коли є факт порушення приватності фізичних осіб, законодавством може бути передбачена і кримінальні відповідальність для посадових осіб компанії, які не забезпечили належне вжиття технічних та організаційних заходів для можливості відповідати вимогам GDPR та іншого європейського законодавства.
В будь-якому випадку, вам потрібно бути обережними та уважними, забезпечуючи відповідність роботи вашої компанії вимогам європейського законодавства.
Для мінімізації ризиків в контексті застосування до вашої компанії штрафних санкцій, вам необхідно адаптувати діяльність вашої компанії до вимог GDPR та іншого законодавства ЄС у сфері захисту персональних даних належним чином.
Спеціалісти BSO Privacy Group як ніхто інший зможуть зрозуміти потреби вашої компанії у області захисту приватності персональних даних та адаптувати діяльність вашої компанії в якомога короткі строки.