Більшість організацій, на які поширюються вимоги GDPR, очікували плавного і м’якого запуску його норм в дію, однак не пройшло і півроку з моменту набрання чинності GDPR, як одна з компаній отримала максимальний штраф у розмірі 20 мільйонів євро. Які ж штрафи та чому було застосовано європейськими регуляторними органами?
20 000 євро
Одним із перших «під гарячу руку» GDPR потрапив німецький соціальний чат-сервіс Knuddels, який надає послуги онлайн-знайомств. Регуляторний орган німецького регіону Баден-Вюртемберг (LfDI) виявив, що веб-сайт зберігав інформацію у вигляді незашифрованих текстових файлів без вжиття додаткових заходів безпеки, що призвело до витоку в мережу даних щодо близько 808 000 електронних адрес та більш ніж 1,8 мільйона користувачів та їхніх паролів.
Порівняно незначний розмір штрафу обумовлений тим, що порушник самостійно повідомив про витік даних згідно з вимогами GDPR та оперативно запровадив додаткові заходи безпеки для захисту інформації.
400 000 євро
У вересні 2018 року португальська комісія щодо захисту даних (CNPD) притягнула до відповідальності заклад охорони здоров’я, в системі збереження медичних записів якого був виявлений недолік, що дозволяв отримувати доступ до даних пацієнтів за допомогою фальшивих профілів працівників. Як було виявлено регуляторним органом, у системі було зареєстровано 985 аккаунтів, при цьому лише 296 з них належали співробітникам лікарні.
20 мільйонів євро
Максимальний штраф доведеться виплатити канадській консалтинговій компанії Aggregate IQ. Штраф було накладено британським регулятором за незаконний збір і обробку даних користувачів соціальних мереж для проведення цільових агітаційних кампаній у разі невиконання припису британського регулятора. Наразі вказаний припис оскаржується компанією.
Нагадуємо, що ст. 83 GDPR визначено дві категорії штрафів: до 10 мільйонів євро або до 2% сукупного річного обороту компанії за попередній фінансовий рік; та до 20 мільйонів євро або до 4% сукупного річного обороту компанії за попередній фінансовий рік.
При цьому правила визначення розміру санкцій за GDPR є дуже гнучкими та залежать, в тому числі, від: дій, вжитих порушником для виправлення негативних наслідків; ступеню взаємодії порушника з наглядовим органом; категорії персональних даних, щодо якої сталось порушення; способу, у який стало відомо регуляторному органу про правопорушення, зокрема, чи повідомив про це сам порушник.
У зв’язку із зазначеним рекомендуємо компаніям та відповідальним за комплаєнс працівникам переглянути свої внутрішні акти щодо обробки та захисту персональних даних на предмет їх відповідності GDPR та налагодити оперативну систему повідомлень у разі виникнення порушень. Такі прості дії збережуть нерви та мільйони.Зв'язатись із автором: Наталія Абрамович, юрист ЮК "Правовий Альянс", abramovych@l-a.com.ua
Подія присвячена трансформації сфери інтелектуальної власності України на шляху до євроінтеграції.
Покращення доступу населення України до безпечних та доступних лікарських засобів є одним із пріоритетів Уряду країни. Проєкт SAFEMed (2017-2025) підтримав такі зусилля через застосування найкращих практик вдосконалення системи охорони здоров’я.
30 років LA Law Firm — це насамперед історія людей. Від перших студентських перемог у судах до масштабних реформ, що змінюють країну. «Юридична Газета» зібрала розповіді команди, яка зростала разом із фірмою та зберегла головне — віру в професію й бездоганну репутацію.
30 років LA Law Firm — це насамперед історія людей. Від перших студентських перемог у судах до масштабних реформ, що змінюють країну. «Юридична Газета» зібрала розповіді команди, яка зростала разом із фірмою та зберегла головне — віру в професію й бездоганну репутацію.
