Як розраховуються штрафи за порушення GDPR?

GDPR діє більше трьох років і протягом цього часу організаціям, які порушували правила обробки персональних даних, нарахували 4,047,683,844 євро штрафів. Найбільшими серед них стали штрафи компанії Meta, у розмірі 1,2 млрд євро за передачу даних у США, компанії Amazon, у розмірі 746 млн євро за таргетовану рекламу без згоди користувачів, та компанії Instagram, у розмірі 406 млн євро за порушення конфіденційності дітей.

Наші IT-юристи допоможуть розібратися від чого залежить розмір GDPR штрафу та що варто зробити, щоб його зменшити.

Критерії для визначення штрафів за GDPR

Регламент встановлює два рівні штрафів в залежності від серйозності порушення.

Менш серйозні порушення, мають наслідком штраф до 10 млн євро або до 2% від обігу організації за попередній фінансовий рік, залежно від того, що більше. Як правило, це порушення формального характеру, що не мають негативних наслідків. Наприклад, відсутність Data protection officer у компанії або порушення технічного шифрування інформації. 

Серйозні порушення, розмір штрафу може складати до 20 мільйонів євро або до 4% від обігу за попередній фінансовий рік, залежно від того, що більше. Ви можете отримати такий штраф, якщо порушили принципи GDPR compliance, не відповіли на запити клієнтів, обробляли їх персональні дані без згоди або іншої законної підстави, не вжили технічних заходів для уникнення витоку даних. 

Найбільший штраф GDPR розміром 746 млн євро було накладено на Amazon Europe Національною комісією із захисту персональних даних Люксембургу (CNPD). Наглядовий орган встановив, що інтернет-магазин не отримував згоди користувачів перед збереженням рекламних файлів cookie.

Часто величезні штрафи складаються з декількох окремих, призначених за різні правопорушення. Якщо наглядовий орган одночасно дізнається про декілька незалежних порушень, за кожне з них встановлюється окремий штраф, який розраховується індивідуально. 

Що враховує наглядовий орган при визначенні санкції GDPR?

GDPR встановлює 10 критеріїв, які наглядовий орган бере до уваги при визначенні суми штрафу. 

• Характер, тяжкість та тривалість порушення. Наглядовий орган буде враховувати кількість суб’єктів даних, що постраждали від порушення, розмір збитків, характер порушення, чому та як воно відбулося, як довго тривало.

Наприклад, Facebook допустив витік особистої інформації 533 млн користувачів, які могли стати суб’єктами шахрайства, розсилки спаму, фішингу, смішингу, і ризики були високими. Порушення тривало більше року. Тому наглядовий орган вважав таку шкоду значною та встановив штраф розміром 256 млн євро.

• Наміри. Встановлюється, було порушення умисним чи вчиненим внаслідок недбалості.

У справі Facebook наглядовий орган вирішив, що відсутність технічних та організаційних заходів у IT-системі соціальної мережі була недбалістю. 

• Зниження ризику. Штраф буде зменшено, якщо організація запровадила заходи для зменшення збитків, завданих суб’єктам даних.

Facebook відразу вжив заходів та знизив вірогідність подального масового парсингу особистих даних користувачів. 

• Відповідальність. Наглядовий орган встановить ступінь відповідальності організації.  
• Попередні порушення та історія компанії. Будь-які схожі попередні порушення будуть враховуватися як обтяжуючі фактори. Крім цього, до уваги беруться коригувальні заходи для організації, що були прийняті раніше з цього ж питання. 

У справі Facebook встановлено, що аналогічних порушень не було, і цей фактор став пом’якшуючим.

• Рівень співпраці з наглядовим органом, який організація продемонструвала для усунення та пом’якшення можливих наслідків.
• Категорії даних, пов’язаних з порушенням.

Категорії персональних даних, що стали загальнодоступними через платформу Facebook, включали номери мобільних телефонів, імена, стать, місцезнаходження, рід занять та сімейний стан користувачів. Така особиста інформація за своїм характером несе ризик порушення прав суб’єктів даних, наприклад ризик шахрайства. Парсери можуть об’єднати ті дані, що стали загальнодоступними з вини соціальної мережі, та ті, що розміщені користувачами у відкритих акаунтах. Це збільшує ризик шахрайства та враховується наглядовим органом як обтяжуюча обставина. 

• Повідомлення про порушення. Буде встановлено, чи повідомила організація наглядовий орган про порушення.
• Кодекси поведінки. Наглядовий орган встановить чи притримувалася організація затверджених кодексів поведінки або механізмів сертифікації. 
• Та інші обтяжуючі або пом’якшуючі фактори. Наприклад, чи була отримана фінансова вигода або чи запобігли збиткам.

Як мінімізувати штраф?

Якщо ви допустили порушення вимог GDPR, радимо діяти на випередження, щоб зменшити штраф.

1. Відразу після виявлення порушення, вжийте технічних, організаційних та юридичних заходів, спрямованих на усунення порушення та мінімізацію збитків. Не затягуйте з вирішенням проблеми. Чим довше триває порушення, тим вищі штрафи. 
2. Якщо про порушення стало відомо наглядовому органу, співпрацюйте з ним, щоб продемонструвати готовність оперативно усунути наслідки, запровадити технічні та організаційні заходи та гарантувати, що ситуація більше не повториться. 
3. Повідомляйте наглядовому органу про витік даних. За приховування наглядовий орган встановлює найбільші штрафи.