5 способів для компаній обмежити штрафи за порушення правил обробки персональних даних в ЄС

5 способів для компаній обмежити штрафи за порушення правил обробки персональних даних в ЄС

Тім Вейбітул

Органи ЄС щодо захисту даних вводять підвищені штрафи відповідно до GDPR, з великою кількістю проваджень, прогнозованих на 2019 рік.

Загальний регламент захисту персональних даних (GDPR; Regulation (EU) 2016/679 – правила, що уніфікують обробку персональних даних в Європейському Союзі), діє з травня 2018 року. Хоча Французький орган із захисту даних (CNIL) наклав найвищий на сьогоднішній день штраф – 50 мільйонів євро 21 січня 2019 року – німецькі федеральні органи із захисту даних вже наклали штрафи за порушення GDPR в 41 випадку по всій країні і кажуть, що у них « дуже багато» додаткових штрафів у провадженні. Ця перша хвиля штрафів надійшла від п’яти німецьких властей, причому 11 властей ще не накладали ніяких штрафів відповідно до GDPR.

Згідно з колишнім німецьким законом про захист даних, компанії зазнали максимального штрафу в розмірі 300 000 євро за порушення. Проте, GDPR надає владі різні дисциплінарні заходи, і тепер вона може накладати штрафи в розмірі до 20 мільйонів євро або більше. Максимальний штраф може становити до 4% світового річного обороту. Таким чином, корпорації з річним доходом понад 500 мільйонів євро можуть зазнати штрафів, які перевищують поріг у 20 мільйонів євро.

Що повинні зробитикомпанії, щоб підготуватись і захиститись від штрафів GDPR?

Цей перелік містить п’ять ключових заходів, які компанії можуть вжити для підготовки до розслідувань по
GDPR.

  1. Впровадити належні структури GDPR: Одним з ключових аспектів успішного захисту від передбачуваного порушення GDPR є впровадження надійної системи управління захистом даних (Data Protection Management System – DPMS). DPMS дуже схожа на типові системи управління дотриманням вимог і повинна вводити декілька ліній захисту, щоб уникнути порушень GDPR.
    DPMS повинна включати чітку картину відповідальності відповідних департаментів, включаючи операційні функції, юридичну функцію, функцію аудиту, а часто і внутрішнього офіцера з захисту даних. Компанії повинні розробляти свої DPMS і основні процеси документації таким чином, щоб ефективно підтримувати потенційні подальші розслідування.

2. Визначення прогалин і вразливостей: Компаніям слід визначити напрямки діяльності або процеси, які, ймовірно, можуть викликати проблеми або викликати занепокоєння. Часто ці області або орієнтовані на клієнта, або стосуються обробки персональних даних працівників, і їх слід розглядати відповідно до визначених пріоритетів.

3. Безпечна документація GDPR, орієнтована на судові розгляди: GDPR дотримується так званої концепції підзвітності (Article 5 (2) GDPR) і накладає значні зобов’язання по документації. Компанії повинні структурувати свою документацію GDPR відповідним чином і бути готовими використовувати цю документацію в регулюючих процедурах і судових розглядах.

4. Уникнення можливих претензій по відшкодуванню моральної шкоди: ст. 82 GDPR дає суб’єктам даних право пред’являти позов про компенсації за моральної шкоду. Європейські суди можуть використовувати це положення для присудження компенсації за моральну шкоду або емоційні страждання. Компанії повинні мати на увазі, що адвокати споживачів можуть ретельно контролювати правозастосовчу практику спеціальних органів із захисту даних, щоб знайти потенційні цілі для цивільного провадження. Якщо компанія повинна виплатити істотний штраф GDPR, суб’єкту даних стає легше вимагати компенсацію за моральної шкоду. Компанії повинні бути обережні в спілкуванні з органами захисту даних і пресою, щоб уникнути подальших претензій про пошкодження.

5. Оцінка можливого впливу на репутацію звинувачень / судових проваджень. Залежно від характеру бізнесу компанії, той факт, що орган із захисту даних почав розслідування, може вплинути на репутацію. Хоча органи із захисту даних несуть загальний обов’язок щодо забезпечення конфіденційності, вони також зобов’язані інформувати контролерів і обробників про свої зобов’язання в рамках GDPR, що також може спричинити за собою інформування громадськості про майбутні розслідуваннях і санкції. Отже, компанії повинні тісно координувати свої дії з органами із захисту даних при спілкуванні з громадськістю.

Ключові висновки для компаній, які готуються до розслідувань по GDPR

Компанії повинні мати чітке уявлення про окремі ризики і потенційних штрафи, які можуть бути наладені при розслідуванні по GDPR, і бути адекватно підготовленими для захисту від регулюючих розслідувань. Компанії повинні визначити відповідальних перед будь-яким розслідуванням, а особи, які приймають рішення, повинні мати чіткий план дій для розгляду регулюючих запитів від органів із захисту даних, скарг від суб’єкта даних або інформаторів, які повідомляють про можливі недоліки в дотриманні GDPR. У той час як більшість органів влади наклали відносно низькі штрафи в простіших випадках, більшість юридично складних або спірних справ займе набагато більше часу. Нарешті, штраф в розмірі 50 мільйонів євро, накладений GDPR, може стати першим з багатьох спірних судових процесів щодо конфіденційності даних.

Оригінальна стаття: Tim Wybitul “5 Ways for Companies to Limit GDPR Penalties”

Джерело:

Latham & Watkins LLP: https://www.globalprivacyblog.com/gdpr/5-ways-for-companies-to-limit-gdpr-penalties/

Share

Leave a Reply

Your email address will not be published.