Една година след GDPR - първите глоби на надзорните органи

гост-автори:

адв. Димитър Джутев, юрк. Кирил Гьорев

На 25 май 2019 г. се навършва една година от началото на прякото прилагане на Общия регламент относно защитата на данните (ОРЗД) в държавите членки на ЕС. През този едногодишен период всички членки на ЕС предприеха, макар и в различна степен, мерки за имплементирането му в собствените си правни системи. От своя страна администраторите и обработващите лични данни също насочиха усилията си към постигане на съответствие с изискванията на Регламента. 

Един от “най-стимулиращите” фактори за предприемането на такива мерки от страна на администраторите и обработващите лични данни са широките правомощия, които ОРЗД предоставя на националните органи за защита на личните данни. Сред най-обсъжданите правомощия е предвидената възможност за налагане на имуществени санкции или глоби във внушителни размери. Съгласно чл. 83, пар. 4 и 5 от ОРЗД в зависимост от нарушението паричната санкция може да е в размер до € 10 млн. или до 2% от общия годишен оборот на предприятието за предходната финансова година (в случаите на пар. 4), както и в размер до € 20 млн. или до 4% от общия годишен оборот на предприятието (в случаите на пар. 5).

Настоящата статия има за цел да изследва по какъв начин надзорните органи на държавите членки са упражнявали това свое правомощие през последната година.

Полша

Сравнителният преглед показва, че най-често нарушенията са свързани с неспазване на правата, които Регламентът предоставя на субектите на данни. За такова нарушение е и първата санкция на основание ОРЗД, наложена от полския надзорен орган (Personal Data Protection Office of Poland) – за неспазване на задължението по чл. 14 от Регламента за предоставяне на информация, когато данните не са получени от самите субекти.

В този случай, санкционираното дружество се занимава с предоставяне на информация за дигитален бизнес, кредитиране и маркетинг. При извършване на тази своя дейност то събира информация за физически лица от всякакви публично достъпни източници, като в процеса на работа обработва данни за имена, контактни данни и др. на голям брой лица. Полският надзорен орган е констатирал, че дължимата информация съгласно чл. 14 от Регламента не е била директно предоставена на значителна част от субектите на данни. Информацията е била публикувана единствено на уеб сайта на дружеството. Администраторът е защитил действията си с аргумента, че с оглед броя на субектите на данни изпълнението на това задължение би струвало приблизително € 7,67 млн. в пощенски и куриерски разходи.

Дружеството се позовава на чл. 14, пар. 5, б. “б” от ОРЗД, съгласно който при необходимост от “несъразмерно големи усилия” за информирането задължените лица могат да бъдат освободени от задължението си по чл. 14. Възражението обаче не е прието за основателно и е наложена имуществена санкция от приблизително € 220 000. Санкционираното дружество е заявило намеренията си да обжалва санкцията. Дали това тълкуване на разпоредбата на ОРЗД е коректно тепърва подлежи на установяване от компетентните съдебни органи.

 

Франция

Най-широк медиен отзвук получи санкцията от € 50 млн., наложена на GOOGLE от френския надзорен орган (CNIL). Това е най-високата имуществена санкция, наложена по реда на ОРЗД до момента. Констатираното нарушение се изразява в това, че технологичният гигант не предоставя на своите потребители ясна картина относно данните, които събира, нито специфични инструменти, с които те да заявят съгласие за обработване на данните им.

 

Дания

За друго съществено нарушение - на основните принципи на Регламента, заложени в чл. 5, надзорният орган в Дания е направил предложение за налагане на санкция в Дания в размер на 1,2 млн. датски крони (приблизително € 160 000). Санкцията е предложена за действия на таксиметрова компания, изразяващи се в неспазване на принципа за “ограничение на съхранението” на данни. Надзорният орган установява, че дружеството съхранява, за период по-дълъг от 2 години, лични данни за извършени таксиметрови услуги на повече от 8 млн. субекти. Дружеството е предприема мерки за анонимизиране на данните, които обаче не приети за ефективни. Предложението за санкцията е мотивирано с аргумента, че не е налице обоснована необходимост от продължаващо съхранение на данните за толкова дълъг период след предоставяне на таксиметровата услуга. Съгласно датското законодателство налагането на самата санкцията е в компетентността на полицейските органи на Дания.

 

Италия

Италианският надзорен орган санкционира обработващ лични данни за непредприемане на адекватни мерки за обезпечаване сигурността на обработването на данни от доставчици на услуги. Необходимостта за въвеждането на такива мерки е регламентирана в чл. 32, пар. 1 ОРЗД и нарушаването му е посочено като изрично основание за налагане на санкция в чл. 83, пар. 4, б. „а“. На това основание е наложена санкция от € 50 000 на дружество в качеството му на обработващ лични данни, което не отговаря на конкретното изискване. В акта, с който санкцията се налага, са адресирани конкретни мерки за изпълнение на това задължение като извършването на периодични тестове за уязвимост на системите, процедури за управление и съхранение на пароли за достъп, мерки за анонимизиране на данни, задължително записване на дейности и събития в системите.

 

Германия

Санкция за подобно нарушение е наложена и от органа за защита на данните в Баден-Вюртемберг, Германия. Онлайн платформа за запознанства е санкционирана с € 20 000 заради нарушение на киберсигурността, довело до изтичане на данни на над 800 000 потребители. Надзорният орган е установил пряка връзка между недостатъчните мерки за защита на данните и последвалото нарушение на сигурността.

 

България

Българският надзорен орган също упражнява своите правомощия за налагане на имуществени санкции. През февруари 2019 г. КЗЛД постанови решение за налагане на имуществена санкция в размер на 53 000 лв. на доставчик на телекомуникационни услуги. Производството е започнало след подадена жалба от потребител за обработване на личните му данни без изявено съгласие. Надзорният орган установи, че без знанието и съгласието на лицето администраторът е използвал личните му данни за цел, различна от тази, за която същите са били първоначално събрани.

 

Докладите и отчетите на надзорните органи в държавите членки показват значителна активност в сектора през изминалата година. Наблюдава се както увеличаване броя на проверките и производствата, така и засилване активността на самите субекти на данни при упражняване на предоставените им права. Докладът за дейността на френския орган за защита на лични данни през 2018 г. установява, че за годината са били подадени общо 11 077 жалби и сигнали – с 32,5% повече от броя на такива през 2017 г. Голяма част от подадените жалби са свързани с искания за изтриване на лична информация (имена, данни за контакт, адрес, снимки и др.) от интернет пространството - право, което вече гарантирано от ОРЗД.

Първите производства пред надзорните органи бележат само началото на процеса по ефективното прилагане на Регламента в Европейския съюз. Очакванията са, че както финансовият и имиджовият аспект на имуществените санкции и глоби, така и повишаването на информираността на субектите на данни ще доведе до проактивно поведение на бизнеса и до трайни трансформации в сферата на защитата на личните данни.

София, 14.05.2019

 

Важно! В началото на юли обмисляме да направим  съвместно с адв. Джутев семинар на тема: GPDR - една година по-късно. Какво се промени и защо GDPR е полезен за бизнеса. Следете информацията в нашия сайт

-------------------
Автори:
адв. Димитър Джутев, LL.M., Съдружник в Адвокатско дружество “Георгиева и Джутев”, dzhutev@gdlaw.bg
юрк. Кирил Гьорев, Адвокатско дружество “Георгиева и Джутев”, kiril@gdlaw.bg

Важна забележка!
Настоящото изложение не съставлява правно становище, препоръка за действия или бездействия. То отразява единствено мнението на авторите.
Винаги търсете правна помощ и съдействие по конкретни въпроси от своята дейност.

 

Илюстрация: Business vector created by freepik - www.freepik.com


Настоящото изложение има информативен и опознавателен характер. Изразява личното професионално мнение на авторите на сайта и не представлява конкретен съвет или консултация

Напиши коментар