Закріпивши у своїх положеннях істотні розміри штрафів і надавши національним регуляторам право їх накладати на порушників, Загальний регламент про захист даних (далі - GDPR, Регламент) відразу став найбільш читаним нормативним актом ЄС. Та що там ЄС, певно далеко за його межами. Адже, як відомо, будь-якої норми можна не дотримуватися, якщо розумієш, що за недотримання не буде покарання. Тож з'ясуймо, що за штрафи, за що й на кого, чому такий хайп.
Як і раніше (до набрання чинності Регламентом), кожен суб'єкт даних має право на подання скарги до контролюючого органу в державі - члені ЄС за місцем проживання, місцем роботи чи місцем передбачуваного порушення, якщо суб'єкт даних уважає, що опрацювання його/її персональних даних порушує положення GDPR.
А ось сукупність прав будь-якої особи, яка зазнала матеріальної або моральної шкоди внаслідок порушення Регламенту, на отримання відшкодування від контролера або оператора за заподіяну шкоду, відповідно до ст. 82 GDPR, з можливістю прямої реалізації судового заходу правового захисту є новим головним болем тих, хто опрацьовує персональні дані й зобов'язаний дотримуватися вимог Регламенту.
Тепер будь-який контролер, який виконує опрацювання, несе відповідальність за шкоду, заподіяну таким опрацюванням, що порушує положення Регламенту. При цьому оператор несе відповідальність за шкоду, заподіяну опрацюванням тільки тоді, коли він не дотримується своїх зобов'язань, спрямованих безпосередньо на оператора, або ж якщо він діє всупереч законним указівкам контролера даних.
Згідно зі ст. 58 Регламенту кожен контролюючий орган країни - учасниці ЄС наділено такими повноваженнями:
(a) надсилати попередження контролеру або оператору про те, що плановані операції опрацювання, найімовірніше, порушать положення Регламенту;
(b) виносити догану контролеру або оператору, якщо операції опрацювання порушують положення Регламенту;
(c) наказувати контролеру або оператору дотримуватися запитів суб'єкта даних для реалізації його прав відповідно до Регламенту;
(d) наказувати контролеру або оператору привести операції опрацювання у відповідність до положень Регламенту, а в разі потреби із зазначенням, у якому порядку та протягом якого періоду;
(e) наказувати контролеру повідомити суб'єкта даних про порушення персональних даних;
(f) накладати тимчасове чи остаточне обмеження, у тому числі заборону, на опрацювання;
(g) наказувати здійснити виправлення чи видалення персональних даних або застосувати обмеження опрацювання відповідно до ст. ст. 16, 17 і 18 Регламенту і повідомити про такі дії кожного одержувача, якому було розкрито (передано) персональні дані відповідно до ст. ст. 17(2) і 19 Регламенту;
(h) відкликати сертифікацію чи наказати органу сертифікації відкликати сертифікацію, видану згідно зі ст. ст. 42 і 43 Регламенту, або наказати органу сертифікації не видавати сертифікат, якщо вимоги для сертифікації не виконано або більше не виконуються;
(i) накладати адміністративні штрафи відповідно до ст. 83 Регламенту як доповнення до чи замість заходів, указаних у цій статті Регламенту, залежно від обставин кожної індивідуальної справи;
(j) наказувати зупинити потоки даних одержувачу в третій країні чи міжнародній організації.
Розглянути результати положень GDPR на прикладі деяких кейсів ви зможете у материалі ЮРИСТ&ЗАКОН за посиланням.
Щоб отримати доступ до інших матеріалів інформаційно-правової системи ЛІГА:ЗАКОН, скористайтеся вільним тестом та оцінити увесь масштаб і переваги послуг, що надаються.