В контексте с планируемым применением с мая 2018 года Всеобщей регулы защиты данных 2016/679 («Регула») стал актуальным вопрос о больших штрафах. Регула устанавливает значительно большие максимальные размеры штрафов, кроме того в ней определены конкретные критерии, которые надзирающим учреждениям надо будет принимать во внимание, решая о применении административного штрафа или его размере. В этой статье рассмотрим несколько установленных Регулой критериев, а также руководящие материалы Рабочей группы статьи 291 о применении административных штрафов. Критерии применения административных штрафов важно учитывать, как оценивая риски предприятия в области защиты данных, так и принимая решение о проведении мероприятий по защите данных.
По сравнению с Директивой 95/46/EK Регула устанавливает более строгое основание относительно наложения административного штрафа, так как Регула применима непосредственно. Согласно Регуле, надзорному учреждению надо обеспечить, чтобы в каждом конкретном случае применение административного штрафа было бы действенным, соразмерным и сдерживающим.
2 А именно, применяемый штраф должен быть соразмерным как по существу нарушения и тяжести, так и по его последствиям.
3
Сущность нарушения, тяжесть и продолжительность
Согласно подпункту (а) пункта 2 статьи 83 Регулы, принимая решение о применении административного штрафа или его размере, надо оценивать сущность нарушения, тяжесть и продолжительность, принимая во внимание соответствующий вид обработки данных, размер или цель, а также число затронутых субъектов данных и размер причинённого им ущерба.
В зависимости от совершённого нарушения Регула устанавливает два разных размера максимального штрафа:
-
10 миллионов евро или 2% от ежегодного мирового оборота;
-
20 миллионов евро или 4% от ежегодного мирового оборота.
Определение двух различных максимальных размеров штрафа может указывать на то, что нарушение отдельных положений Регулы считаются относительно более существенными, чем нарушение других положений Регулы. Однако, при оценке конкретного нарушения будут учитываться все обстоятельства дела, таким образом размер конкретного штрафа будет зависеть от обстоятельств дела.
Оценивая тяжесть нарушения, будет учитываться также число затронутых субъектов данных. Это позволит констатировать, возникло ли нарушение в результате отдельного случая или это является систематическим несоблюдением требований защиты данных.
Нарушения, совершённые по невнимательности или сознательно
Согласно руководящих материалов рабочей группы на сознательное нарушение может указывать незаконная обработка данных, которую непосредственно разрешило руководство предприятия, не учитывая рекомендации специалиста по защите данных (например, торговля личными данными в целях маркетинга, не учитывая желания субъекта данных об использовании данных).
В свою очередь, такие нарушения как невозможность своевременно произвести технические улучшения или невнимательное соблюдение введённой политики защиты данных может указывать на нарушение, совершённое по невнимательности.
Действия, направленные на уменьшение вреда
Сталкиваясь с нарушением, которое причинило вред субъектам данных, учитывается деятельность (или бездействия) заведующего системой личных данных и обработчика данных по уменьшению нанесённого вреда. Чтобы уменьшить вред, причинённый субъектам данных, заведующий данными или обработчик могут своевременно предотвратить нарушение, быстро отреагировав на возможное нарушение и не позволив ему развиться и создать существенные последствия.
Ответственность за проведение технических и организационных мероприятий
Согласно указанному в руководящих материалах рабочей группы ответственность заведующего данными или обработчика за проведение технических или организационных мероприятий может включать –
a) проведение технических и организационных мероприятий согласно требованиям, установленным статьёй 25 Регулы об общей защите данных и защите данных по умолчанию;
b) введение мероприятий соответствующего уровня защиты данных;
c) введение соответствующих политики и процедур защиты данных и их применение.
Предыдущие нарушения
Констатируя нарушение в области защиты данных, в соответствии с подпунктом (е) части 2 статьи 83 Регулы будет дана оценка, были ли у предприятия нарушения прежде. Рабочая группа поясняет, что надзирающему надо было бы оценить, допустило ли предприятие сходное или такого же рода с допущенным ранее нарушение. Это можно констатировать в случае, если предприятие не оценило соответственно свои риски или своевременно не дало ответа на требования субъекта данных, в результате чего нарушение могло совершиться повторно.
Сотрудничество с надзирающим учреждением
В соответствии с подпунктом (f) части 2 статьи 83 Регулы, оценивая нарушение, будет учитываться, сотрудничает ли предприятие с надзирающим учреждением, чтобы возместить нарушение и уменьшить его возможные негативные последствия. Как поясняет рабочая группа, будет оцениваться, как предприятие ответило на запросы надзирающего учреждения во время расследования, как в результате удалось уменьшить влияние на права субъекта данных.
Если предприятие сотрудничает с надзирающим учреждением, чтобы возместить нарушение и уменьшить его возможные негативные последствия, тогда надзирающее учреждение может принять решение о применении меньшего административного штрафа. Как поясняет рабочая группа, исполнение обязанностей, установленных нормативными актами не будет само по себе считаться сотрудничеством, которое обуславливает применение минимальных санкций. Таким образом в случае нарушения важно не только исполнить предписанные нормативными актами обязанности, но также производить дополнительные действия, чтобы продемонстрировать сотрудничество и достичь уменьшения негативных последствий и возмещения нарушения.
Категории личных данных
Тяжесть нарушения зависит от категории данных лиц, затронутых в результате нарушения. Как поясняет рабочая группа, оценивая категорию данных затронутых лиц, надзирающему учреждению надо будет учитывать следующие факторы:
-
затронуты ли личные данные лиц особой категории;
-
идентифицируемы ли затронутые личные данные непосредственно или косвенно;
-
включает ли обработка такие личные данные, распространение которых наносило бы немедленный ущерб;
-
данные являются непосредственно доступными или зашифрованными.
Сообщение о нарушении
Согласно подпункту (h) части 2 статьи 83 Регулы принимается во внимание то, каким образом надзирающему учреждению стало известно о нарушении, сообщили ли заведующий системой личных данных или обработчик о нарушении и в каком объёме произведено сообщение.
Сообщение о нарушении входит в обязанности заведующего системой личных данных согласно Регуле. Если заведующий, поступая безответственно, не сообщил о нарушении или сообщил только о некоторых обстоятельствах нарушения, имеется основание применить больший размер административного штрафа. Как поясняет рабочая группа, не произведя надлежащей оценки нарушения, заведующий системой личных данных может не знать его размера, в результате чего он не сможет предоставить надзирающему учреждению полную информацию. Поэтому важно не только сообщить о нарушении, но и должным образом его оценить, чтобы можно было сообщить о нём вовремя и в надлежащем объёме.
______________________
1 Эта рабочая группа по защите данных создана в соответствии со статьей 29 Директивы 95/46/ЕК.
2 Регула Парламента Европы и Совета (EС) 2017/679 (Всеобщая регула защиты данных)
3 В соответствии с руководящими материалами о применении и определении административного штрафа в целях Регулы 2016/679, которыe рабочая группa статьи 29 по защите данных приняла 3 октября 2017 года