Закон о защите персональных данных начал действовать с 21.08.2019 года. Их команда проявила высокую отзывчивость и ориентированность на клиента. В серии текстов мы разъясняем основные институты этого Закона.
Вы, безусловно, заинтересованы узнать, с какими последствиями может столкнуться ваша компания в случае несоблюдения Закона о защите персональных данных (далее: Закон). Кто несет ответственность за нарушение Закона, какие могут быть потенциальные штрафы, в какой степени они могут повлиять на бизнес-деятельность компании, кто контролирует соблюдение вами правил сбора и обработки персональных данных в соответствии с Законом, и сопоставимы ли штрафы с теми, которые предусмотрены GDPR?
Если вы считаете, что Закон о защите персональных данных – это просто куча правил без какой-либо цели, то можете задуматься повторно.
С момента введения в действие GDPR в Европейском союзе в мае 2018 года, а также принятия Закона в Сербии в 2019 году, осведомленность людей о своих правах на конфиденциальность радикально возросла. Это явный признак того, что сербские компании должны серьезно относиться к внедрению Закона. То, что подтверждает важность прав на защиту персональных данных, является тот факт, что Конституция Республики Сербии гарантирует их в разделе о правах человека и правах меньшинств.
Мы уже много раз видели, как серьезно Европейский союз воспринимает это дело, осуществляя контроль над выполнением GDPR, поэтому можно сделать вывод, что в случае подобной утечки персональных данных в нашей стране будущее компании, совершившей нарушение, будет не таким радужным.
Итак, какие опасности может потенциально принести вашей компании?
Мы начнем с опасностей, от которых люди чаще всего и больше всего боятся, а именно — уголовной ответственности.
1. АДМИНИСТРАТИВНАЯ ОТВЕТСТВЕННОСТЬ
Закон перечисляет целых 32 правонарушения, по которым могут быть наказаны контролер данных, то есть обработчик. Среди перечисленных правонарушений — ведение обработки данных способом, не соответствующим основным принципам обработки данных, осуществление обработки данных в целях, противоречащих Закону, не удаление персональных данных в соответствии с Законом и не уведомление Комиссара о нарушении безопасности данных и т. д.
Из-за указанных правонарушений Мисдемеанорский суд может наложить штраф на юридическое лицо, являющееся контролером данных, или обработчика данных, в размере от 50 000 до 2 000 000 динаров. Если будет установлено, что контролер данных или обработчик одновременно совершили несколько правонарушений, на них может быть наложен штраф до 4 000 000 динаров.
Кроме того, на физическое лицо, не сохраняющее персональные данные как профессиональную тайну, полученную в рамках трудовых обязанностей, может быть наложен штраф в размере от 5 000 до 150 000 динаров.
Помимо указанных штрафов, если контролер данных или обработчик в качестве юридического лица нарушает обязательства, предусмотренные Законом, Комиссар может наложить на них административный штраф в размере 100 000 динаров. Конкретно речь идет о следующих действиях:
- продолжение обработки в целях прямого маркетинга, когда субъект данных внес возражение против такой обработки;
- не назначение представителя в Республике Сербии;
- не публикация контактной информации ДПО (офицера по защите данных) и ее представление Комиссару и т.д.
Как определить размер штрафа?
Когда определяется точная сумма штрафа, учитывается следующее: тяжесть и последствия совершенного правонарушения, характер правонарушения, количество субъектов данных, пострадавших от правонарушения, понесенный ущерб, продолжительность правонарушения, тип нарушенных персональных данных, принятые меры по смягчению ущерба, было ли правонарушение сообщено и т. д.
Таким образом, все эти обстоятельства будут учитываться, когда Мисдемеанорский суд будет рассматривать вопрос о размере штрафа. Следовательно, если вы нарушаете правила по защите персональных данных, все равно следует предпринять все возможные действия с целью минимизации последствий нарушения.
Политика штрафов в рамках GDPR в Европейском союзе
Если вы считаете, что штрафы, предусмотренные за нарушение Закона о защите персональных данных в Сербии, высоки, еще раз подумайте.
А именно, GDPR предусматривает, что компании, нарушающие правила обработки персональных данных, могут столкнуться с крупными штрафами, достигающими до 4% их общегодового глобального оборота или до 20 миллионов евро, в зависимости от того, какая из двух сумм является выше. Это означает, что компании, к которым применяется GDPR, могут легко столкнуться с катастрофическими последствиями и высокими штрафами!
Когда мы смотрим на эти астрономические цифры, у нас сложается впечатление, что компании всегда сталкиваются с штрафами в размере миллионов, если нарушают GDPR, как это уже было установлено на примерах British Airways и Marriott International. Однако действительность на самом деле иная. Из нашей текущей практики мы заключили, что малые компании также были оштрафованы за нарушение GDPR на суммы в несколько сотен или тысяч евро, все пропорционально вышеуказанным критериям штрафов. Так, например, медицинское учреждение в Болгарии было оштрафовано на сумму в 510 евро, компания по аренде автомобилей в Чешской Республике была оштрафована на сумму 1 650 евро, а в Австрии букмекерская контора была оштрафована на сумму 4 800 евро.
2. УГОЛОВНАЯ ОТВЕТСТВЕННОСТЬ
очевидным, если учесть, что Уголовный кодекс предусматривает лишение свободы в качестве наказания за нарушение. Кроме того, важно отметить, что уголовно наказуемыми могут быть только физические лица.
Уголовный кодекс предусматривает, что в случае, если персональные данные собираются, обрабатываются и используются в соответствии с законом, и неуполномоченное лицо получает их, раскрывает или использует с целью, они могут быть оштрафованы или заключены под стражу на год. То же самое касается тех, кто, вопреки закону, собирает данные о личности граждан или использует такие собранные данные. Кроме того, если это действие совершается должностным лицом в рамках своих официальных обязанностей, им грозит лишение свободы на срок до 3 лет.
Как обсуждалось, Уголовный кодекс предусматривает широкий спектр действий, которые могут быть признаны уголовным преступлением незаконного сбора персональных данных, более точно, он относится к любой обработке данных, противоречащей принципам обработки, о которых мы подробно говорили в нашем предыдущем блоге о Законе о защите персональных данных в Сербии.
Поскольку до сих пор нет судебной практики относительно совершения этого преступления, остается открытым вопрос о том, в какой степени суды будут наказывать виновных.
3. РЕПУТАЦИОННЫЕ РИСКИ
Опасности, с которыми сталкиваются компании при нарушении законов о защите данных, не ограничиваются только финансовыми. Потеря доверия к компании со стороны клиентов, чьи данные были нарушены, может иметь гораздо более серьезные последствия.
По сравнению с штрафами, которые оказывают единовременное воздействие на финансовое состояние компании и от которых успешные компании могут восстановиться без особых затруднений, пятно на репутации за компрометацию персональных данных клиентов может привести к многочисленным негативным последствиям в долгосрочной перспективе. Помимо финансовых потерь, эти последствия могут проявиться в потере существующих или потенциальных клиентов, сокращении бизнеса, потере потенциальных инвестиций и снижении рыночной стоимости компании.
Стартапам следует особенно внимательно относиться к защите персональных данных, чтобы их будущая бизнес-деятельность не вызывала сомнений. Кроме того, если они хотят найти партнеров, готовых инвестировать в их компанию, или продать её, им обязательно будут задавать вопросы об этом в ходе процедуры проверки бизнеса. Узнав, что компания нарушила персональные данные своих клиентов, можно потерять важные инвестиции, что в конечном итоге может привести к закрытию компании, которая иначе имела бы светлое будущее.
4. НЕМОНЕТАРНАЯ ОТВЕТСТВЕННОСТЬ
Комиссар по информации об общественной важности и защите данных в качестве органа, ответственного за надзор за соблюдением закона, имеет право, среди прочего:
- уведомлять руководителя контролирующего органа или обработчика о возможных нарушениях Закона,
- запрашивать и получать доступ у руководителя контролирующего органа и обработчика ко всем персональным данным, а также к информации, необходимой для осуществления своих полномочий,
- запрашивать и получать доступ ко всем помещениям руководителя контролирующего органа и обработчика, включая доступ к всем активам и оборудованию.
Кроме того, Комиссар имеет право принимать корректирующие меры, что означает, что ему предоставлено право приказывать руководителю контролирующего органа и обработчику действовать по запросу соответствующего лица в отношении осуществления его прав, привести деятельность по обработке в соответствие с положениями Закона, приказывать руководителю контролирующего органа информировать соответствующее лицо о нарушении персональных данных, налагать временные или постоянные ограничения на деятельность по обработке персональных данных, включая запрет обработки данных, и т. д.
Таким образом, Комиссар играет активную роль в процессе защиты персональных данных и устранения допущенных нарушений.
Что могут сделать субъекты данных, чьи данные были нарушены?
Субъект данных имеет право подать жалобу в Комиссию, если он считает, что обработка его персональных данных была осуществлена вопреки закону. В этом случае Комиссия обязана информировать субъекта данных о ходе процедуры, ее результате, а также о праве субъекта данных на возбуждение судебного процесса. Комиссия может осуществлять одно из вышеуказанных действий в рамках этой процедуры, а также все остальные действия, уполномоченные законом. Если субъект данных не удовлетворен решением Комиссии, он может начать процедуру перед административным судом.
Кроме того, субъекты данных, чьи данные были нарушены, имеют право подать иск против контролера данных или обработчика. Через такое судебное разбирательство они могут запросить исправление или удаление своих данных, а также прекращение обработки данных. Следует отметить, что подача такого иска не влияет на право субъекта данных на начало других процедур административной или судебной защиты.
Наш закон полностью соответствует положениям GDPR в этой области защиты персональных данных.
5. КОМПЕНСАЦИЯ
Хотя компенсация в связи с нарушениями персональных данных пока не привлекала большого внимания, она может повлечь за собой более серьезные финансовые последствия, чем штрафы, предусмотренные законом.
А именно, субъект данных, который понес материальный или нематериальный ущерб в результате незаконной обработки своих данных, имеет право требовать компенсацию путем подачи иска против контролера данных или обработчика, который его вызвал. Суд решит в рамках судебного разбирательства, действительно ли субъект данных понес ущерб, и если да, какая будет справедливая компенсация за понесенный ущерб.
Контролер данных, то есть обработчик, освобождается от ответственности за ущерб только в случае, если они докажут, что никоим образом не несут ответственности за его возникновение.
Однако стоит отметить, что причиненный ущерб может быть как материальным, так и нематериальным. Поэтому, помимо финансовых потерь, субъект данных может понести ущерб в результате незаконной обработки (например, если данные о его кредитной карте были взломаны), незаконная обработка данных может нарушить его репутацию, честь, свободу и личные права…
Суд определит компенсацию в каждом конкретном случае. Поскольку Закон о защите персональных данных вступил в силу относительно недавно, пока нет судебной практики, на основе которой можно было бы сделать какие-либо выводы.
Текущая практика судов Европейского Союза показала, что эти суммы могут варьироваться от нескольких сотен евро до нескольких сотен тысяч евро, как это было установлено прокурорами в деле Гулати против MGN Ltd из-за взлома телефонных номеров знаменитостей известными журналами Daily Mirror, Sunday Mirror и People.