Закрепив в своих положениях существенные размеры штрафов и предоставив национальным регуляторам право их налагать на нарушителей, Общий регламент по защите данных (далее - GDPR, Регламент) в одночасье стал самым читаемым нормативным актом ЕС. Да что там ЕС, наверняка далеко за его пределами. Ведь, как известно, любую норму можно не соблюдать, если понимаешь, что за несоблюдением не последует наказание. Итак, разберемся, что же за штрафы, за что и на кого, почему такой хайп.
Как и раньше (до вступления в силу Регламента), каждый субъект данных имеет право на подачу жалобы в контролирующий орган в государстве - члене ЕС по месту жительства, месту работы или месту предполагаемого нарушения, если субъект данных считает, что обработка его/ее персональных данных нарушает положения GDPR.
А вот совокупность прав любого лица, подвергшегося материальному или моральному вреду в результате нарушения Регламента, на получение возмещения от контролера или обработчика за причиненный вред, в соответствии со ст. 82 GDPR, с возможностью прямой реализации судебного средства правовой защиты является новой головной болью тех, кто обрабатывает персональные данные и обязан придерживаться требований Регламента.
Теперь любой контролер, выполняющий обработку, несет ответственность за вред, причиненный такой обработкой, которая нарушает положения Регламента. При этом обработчик несет ответственность за вред, причиненный обработкой только тогда, когда он не придерживается своих обязательств, направленных непосредственно на обработчика, или же если он действует вопреки законным указаниям контролера данных.
Согласно ст. 58 Регламента каждый контролирующий орган страны - участницы ЕС наделен следующими полномочиями:
(a) направлять предупреждения контролеру или обработчику о том, что планируемые операции по обработке, вероятно, нарушат положения Регламента;
(b) выносить выговор контролеру или обработчику, если операции по обработке нарушают положения Регламента;
(c) приказывать контролеру или обработчику соблюдать запросы субъекта данных для реализации его прав в соответствии с Регламентом;
(d) приказывать контролеру или обработчику привести операции по обработке в соответствие положениям Регламента, а при необходимости с указанием, в каком порядке и в течение какого периода;
(e) предписывать контролеру сообщить субъекту данных о нарушении персональных данных;
(f) налагать временное или окончательное ограничение, в том числе запрет, на обработку;
(g) приказывать осуществить исправление либо удаление персональных данных или применить ограничение обработки в соответствии со ст. ст. 16, 17 и 18 Регламента и уведомить о таких действиях каждого получателя, которому были раскрыты (переданы) персональные данные в соответствии со ст. ст. 17(2) и 19 Регламента;
(h) отозвать сертификацию или приказать органу сертификации отозвать сертификацию, выданную согласно ст. ст. 42 и 43 Регламента, или приказать органу сертификации не выдавать сертификат, если требования для сертификации не выполнены или более не выполняются;
(i) налагать административные штрафы в соответствии со ст. 83 Регламента в дополнение к или вместо мер, указанных в данной статье Регламента, в зависимости от обстоятельств каждого индивидуального дела;
(j) приказывать приостановить потоки данных получателю в третьей стране или международной организации.
Рассмотреть результаты положений GDPR на примере некоторых кейсов вы сможете в материале ЮРИСТ&ЗАКОН по ссылке.
Для получения доступа к другим материалам информационно-правовой системы ЛИГА:ЗАКОН, воспользуйтесь свободным тестом и оцените весь масштаб и преимущества предоставляемых услуг.