Как рассчитываются штрафы за нарушение GDPR?

GDPR действует больше трех лет и за это время организациям, которые нарушали правила обработки персональных данных, насчитали 4,047,683,844 евро штрафов. Самыми большими среди них стали штрафы компании Meta, в размере 1,2 млрд. евро за передачу данных в США, компании Amazon, в размере 746 млн. евро за таргетированную рекламу без согласия пользователей, и компании Instagram, в размере 406 млн. евро за нарушение конфиденциальности детей.

Наши IT-юристы помогут разобраться от чего зависит размер GDPR штрафа и что предпринять, чтобы его уменьшить.

Критерии для определения штрафов по GDPR

Регламент определяет два уровня штрафов в зависимости от серьезности нарушения.

Менее серьезные нарушения, приводят к штрафам до 10 млн евро или до 2% от оборота организации за предыдущий финансовый год, в зависимости от того, что больше. Как правило, такие нарушения носят формальный характер и не имеют негативных последствий. Например, отсутствие Data protection officer в компании или нарушение технического шифрования информации.

Серьезные нарушения, размер штрафа может составлять до 20 миллионов евро или до 4% от оборота за предыдущий финансовый год, в зависимости от того, что больше. Вы можете получить такой штраф, если нарушили принципы GDPR compliance, не ответили на запросы клиентов, обрабатывали их персональные данные без согласия или другого законного основания, не предприняли технические меры для избежания утечки данных.

Самый большой штраф GDPR в размере 746 млн евро был наложен на Amazon Europe Национальной комиссией по защите данных Люксембурга (CNPD). Надзорный орган установил, что интернет-магазин не получал согласия пользователей перед сохранением рекламных файлов cookie.

Часто огромные штрафы состоят из нескольких отдельных, назначенных за разные нарушения. Если надзорный орган одновременно узнает о нескольких независимых нарушениях, за каждое из них назначают отдельный штраф, который рассчитывается индивидуально.

Что учитывает надзорный орган при определении санкции GDPR?

GDPR определяет 10 критериев, которые надзорный орган берет во внимание для определения суммы штрафа.

• Характер, тяжесть и продолжительность нарушения. Надзорный орган будет учитывать количество субъектов данных, пострадавших от нарушения, размер ущерба, характер нарушения, почему и как оно произошло, как долго продолжалось.

Например, Facebook допустил утечку личной информации 533 млн пользователей, которые могли стать субъектами мошенничества, рассылки спама, фишинга, смишинга, и риски были высокими. Нарушение продолжалось дольше года. Поэтому надзорный орган посчитал такой ущерб значительным и определил штраф в размере 256 млн евро.

• Намерение. Будет установлено было ли нарушение преднамеренным или это была халатность. 

В деле Facebook надзорный орган решил, что отсутствие технических и организационных мер в IT системе социальной сети было небрежностью.

• Снижение риска. Штраф будет уменьшен, если организация предприняла действия для уменьшения ущерба, нанесенного субъектам данных. 

Facebook сразу предпринял меры и снизил вероятность дальнейшего массового парсинга личных данных пользователей.

• Ответственность. Надзорный орган установит степень ответственности организации. 
• Предыдущие нарушения и история компании. Любые подобные предыдущие нарушения будет учитываться как отягчающие факторы. Кроме этого, во внимание берутся корректирующие меры для организации, которые принимались раньше по тому же вопросу.

В деле Facebook установлено, что аналогичных нарушений не было, и этот фактор стал смягчающим.

• Уровень сотрудничества с надзорным органом, который организация продемонстрировала для устранения нарушения и смягчения возможных последствий.
• Категории данных, затронутые нарушением.

Категории персональных данных, которые стали общедоступными через платформу Facebook, включали мобильные номера телефонов, имена, пол, местонахождение, род занятий и семейное положение пользователей. Эта личная информация по своему характеру несет риск нарушения прав субъектов данных, например риск мошенничества. Парсеры могли объединить те данные, которые стали общедоступными по вине социальной сети, и те, которые были размещены пользователями в открытых аккаунтах. Это увеличивает риски мошенничества и учитывается надзорным органом как отягчающий фактор.

• Уведомление о нарушении. Будет установлено, сообщила ли организация в надзорный орган о нарушении.
• Кодексы поведения. Надзорный орган установит придерживалась ли организация утвержденных кодексов поведения или механизмов сертификации.
• И другие отягчающие или смягчающие факторы. Например, были ли получены финансовые выгоды или предотвращены убытки.

Как минимизировать штраф?

Если вы допустили нарушение требований GDPR, советуем действовать на опережение, чтобы уменьшить штраф.

1. Сразу после выявления нарушения, предпримите технические, организационные и юридические меры, чтобы устранить нарушение и минимизировать ущерб. Не затягивайте с разрешением проблемы. Чем дольше тянется нарушение, тем выше штрафы.
2. Если нарушение стало известно надзорному органу, сотрудничайте с ним, чтобы продемонстрировать готовность оперативно устранить последствия, внедрить технические и организационные меры и гарантировать, что ситуация больше не повториться.
3. Сообщайте надзорному органу об утечке данных. За сокрытие надзорный орган определяет самые большие штрафы.