С мая 2018-го года на территории Германии действует европейское положение о защите данных (DS-GVO), а также новая редакция федерального закона о защите данных (BDSG). Для предпринимателей очень трудоемко и затратно соблюдать нормы и предписания этого законодательства, что, вследствие, приводит к его нарушению. По этой причине, вопрос о возможных штрафах остается актуальным для большинства компаний.
В этой публикации рассмотрим правовые основания ответственности и особенности правового регулирования размеров штрафов в области защиты данных.
Содержание публикации
Законодательством о защите данных установлена максимальная граница штрафов
Согласно статье 83 Общего регламента защиты данных (DS-GVO), нарушения облагаются штрафом, величина которого зависит от размера мирового оборота коммерческого предприятия. Согласно абз. 2 статьи 83 DS-GVO, степень серьезности нарушения определяется по различным критериям. За нарушения, перечисленные в абз. 4 статьи 83 DS-GVO, взимается максимальный штраф в размере до 10 млн евро или 2% от оборота, а за существенные нарушения, согласно абзацу 5 статьи 83 DS-GVO, сумма штрафа удваивается, до 20 млн евро или 4% от всего оборота компании (в зависимости от того, какая сумма выше).
Примеры наказаний
Максимальный штраф в Германии был наложен в 2019 году на компанию Deutsche Wohnen SE, сдающую жилье. Предприятие сохраняло личные данные арендаторов на протяжении десятков лет, даже если данные были уже ни к чему. После нескольких запросов от надзорного органа Берлина компания не реализовала концепцию удаления сохраненных данных арендаторов и была оштрафована на 14,5 млн евро.
Еще одно берлинское предприятие было оштрафовано почти на 200 000 евро за незаконное хранение и использование данных о клиентах. Массив данных с личной информацией клиентов был неправомерно использован как база для недопустимых рекламных сообщений.
Органы по надзору могут наказать и за менее значимые проступки. Например, из-за отсутствия на предприятии контрактов на обработку заказов, одной небольшой фирме пришлось заплатить 5 000 евро.
Концепция DSK для точного расчета денежных штрафов за несоблюдение защиты данных
Как определяют размер санкций по Руководству DSK
Практика органов надзора по защите данных в отношении определения размера наложенных штрафов была непрозрачной. В связи с этим, летом 2019 года, Конференция независимых органов надзора по защите данных федерального правительства и правительств земель, так называемая Конференция по защите данных (Datenschutzkonferenz, DSK), приняла единое руководство для расчета сумм штрафов за нарушения компаниями правовых норм о защите данных. Руководство было опубликовано 16 октября 2019 года (Richtlinie für die Berechnung der Höhe von Geldbußen gegen Unternehmen).
Концепция DSK
Концепция определения размера штрафов за несоблюдение защиты данных похожа на определение денежного наказания за уголовные преступления в соответствии с Уголовным кодексом Германии (StGB).
Дневная ставка определяется на основании годового оборота компании и умножается на коэффициент от 1 до 6, или даже на 12 в зависимости от серьезности нарушения. Для особо серьезных нарушений предусмотрен еще более высокий коэффициент. Дневная ставка составляет 1/360 годового оборота.
Руководство DSK распространяется только на нарушения со стороны компаний.
Штраф определяется в два этапа:
- сначала определяется дневная ставка;
- затем это базовое значение умножается на коэффициент, который зависит от серьезности нарушения защиты данных.
Дневная ставка
Чтобы определить дневную ставку, сначала классифицируют компанию-нарушителя, в зависимости от принадлежности к классам предприятий (к микропредприятию, малым и средним предприятиям (МСП) и крупным компаниям), а затем по мировым продажам в подклассах.
Классы предприятий (в зависимости от оборота, в евро):
- микропредприятия — с оборотом до 2 млн;
- малые предприятия — выше 2 млн и до 10 млн;
- средние предприятия — с оборотом между 10 млн и 50 млн;
- крупные компании — с оборотом выше 50 млн.
Минимальные дневные ставки:
- 972 евро для первого подкласса микропредприятий (исходя из оборота около 350 000 евро);
- 9 722 евро для первого подкласса малых предприятий (исходя из оборота около 3,5 млн евро);
- 31 250 евро для первого подкласса средних предприятий (исходя из оборота около 11,25 млн евро);
- 173 611 евро для первого подкласса крупных компаний (исходя из оборота около 62,5 млн евро).
Дневная ставка — это первый мультипликатор образования штрафа.
Категории нарушений
Исходя из фактических обстоятельств конкретного нарушения (абз. 2 статьи 83 DS-GVO), серьезность нарушения относят к одной из следующих категорий: легкие, средние, сложные или очень сложные. В свою очередь они делятся на формальные (абз. 4 статьи 83 DS-GVO) и материальные нарушения (абз. 5 статьи 83 DS-GVO).
Категория нарушений (коэффициент) — это второй мультипликатор образования штрафа.
Каков средний штраф для компаний DAX
Размер штрафа рассчитывается путем умножения коэффициента на дневную ставку.
Умеренное нарушение материального обязательства компанией с годовым оборотом в 20 млн. евро приведет к штрафу в сумме от 250 000 до 500 000 евро (дневная ставка 62 500 евро x фактор 4–8).
Совершенно другим будет порядок суммы штрафов для компании входящей в фондовый индекс Германии (Deutscher Aktienindex, DAX). Исходя из того, что средний оборот предприятий DAX составил около 49,5 млрд евро (по состоянию на 2017 год), дневная ставка составит 137,5 млн евро. Таким образом, то же или аналогичное (умеренное) нарушение со стороны средней компании DAX приведет к штрафу в сумме от 550 млн до 1,1 млрд евро (ежедневный оборот около 137,5 млн евро с множителем от 4 до 8).
Следует отметить, что наказание за особо серьезные нарушения значительно жестче, чем в предыдущей правовой ситуации.
Выводы и оценка нового регулирования
- Нарушения законодательства о защите данных остается актуальной темой для законодателей, надзорных органов и предприятий.
- Органы защиты данных Германии получили новые правовые инструменты в виде Руководства DSK для определения более точного финансового наказания за нарушения.
- Определение «вилки» штрафов стандартизируется и становится более прозрачным.
- Для многих фирм несоблюдение требований DS-GVO может обернуться большой статьей расходов и «неподъемной» финансовой нагрузкой.
Как избежать штрафов
В 2020 году к предпринимателям продолжают применять санкции за несоблюдение законодательства о защите данных. Единственный путь для предприятий избежать ответственности — это изучать, внедрять и выполнять все правовые требования DS-GVO, если это еще не сделано.
Автор русской версии публикации: RA Roman Pusep
Публикации по теме:
Защита персональных данных в ЕС
Организация защиты личных данных в ЕС
Ответственность за нарушение ст.15 GDPR
Согласие на обработку личных данных и файлы cookie
Юридические консультации, сопровождение и поддержка предприятий в сфере права информационных технологий:
WERNER Rechtsanwälte Informatiker
https://www.werner-ri.de
Дополнительная информация от редакции RechtsRat.Top
Примеры штрафов за нарушение защиты данных в 2018 году
Баден-Вюртемберг: за нарушение защиты данных оштрафован провайдер социальных сетей
21.11.2018 земельный комиссар Агентства по защите данных и свободе информации (Landesbeauftragten für den Datenschutz und die Informationsfreiheit, LfDI) Баден-Вюртемберга наложил штраф на провайдера социальных сетей. Предприятие было оштрафовано в связи с нарушением безопасности данных, требуемой ст. 32 Общего регламента защиты данных ЕС (DS-GVO).
Пароли пользователей хранились в незашифрованном виде
В начале сентября 2018 года пользователи сообщили компании о хакерской атаке в соответствии с положениями DS-GVO.
После проверки информации провайдер обнаружил, что посредством хакерской атаки в июле 2018 года была украдена личная информация примерно 330 000 пользователей, включая пароли и адреса электронной почты. Компания подала сообщение о нарушении данных в LfDI 08.09.2018.
Читайте как Германия борется с киберпреступностью
После проверки компании выяснилось, что пароли пользователей хранились в виде простого текста. Они были незашифрованные и неизмененные. Текстовые пароли использовались компанией при использовании «фильтра паролей», чтобы предотвратить передачу пользовательских паролей третьим лицам, с целью лучшей защиты пользователей.
Сохраняя пароли в виде обычного текста, компания сознательно нарушила свои обязанности по обеспечению безопасности данных при обработке персональных данных в соответствии с п. 1 ст. 32 DS-GVO.
Штраф за нарушение DS-GVO
При определении размера штрафа в соответствии со статьей 83, пункт 4 регламента защиты данных ЕС оказало влияние и принималось во внимание сотрудничество компании с земельным надзорным органом.
На компанию наложили штраф в сумме 20 000 евро. Агентство защиты данных заявило, что предприятие значительно улучшило безопасность пользовательских данных в конструктивном обоюдном сотрудничестве. Была оценена прозрачность действий компании и готовность выполнять рекомендации. Таким образом, безопасность пользовательских данных службы социальных сетей значительно улучшилась за очень короткое время.
Расчет штрафа, помимо других обстоятельств, учитывал общую финансовую нагрузку на компанию. Также сообщается, что это был первый штраф за нарушение Регламента защиты данных в земле Баден-Вюртемберга.