GDPR-i karistused: peate neid trahve ootama
GDPR-i rikkumine võib kaasa tuua karmid karistused. Selles artiklis selgitame, milliseid trahve võite oodata.
GDPR-i karistused: millest trahvid sõltuvad?
Andmekaitse üldmäärus on kehtinud 2018. aasta maist. See peaks väidetavalt reguleerima andmekaitset kogu ELis ühetaoliselt ja põhjustas samal ajal palju furoori ja hirmu. See pole tingitud ainult keerukatest määrustest, vaid ka eelseisvatest karistusmeetmetest rikkumiste korral.
- Reguleeriv asutus määrab trahvid. Saksamaal vastutab selle ülesande täitmise eest vastava liidumaa andmekaitseametnik.
- Järelevalveasutusel on ulatuslikud uurimis- ja parandusvolitused. Nii saab see vastutavate osapoolte ja töötlejate seas tervikliku pildi GDPR-i järgimisest. Samuti võib ta anda hoiatusi ja tellida meetmeid, näiteks õigusrikkumiste parandamine või andmetöötluse takistamine.
- Kui järelevalveasutus määrab trahvid, võib ta seda teha parandusvolituste asemel või lisaks.
- Karistuse suuruse määramisel peab andmekaitse järelevalveasutus hindama mõningaid asjaolusid ja neid arvesse võtma. Need on näiteks rikkumise tüüp ja raskusaste ning kui kaua see on kestnud.
- Samuti on oluline, kas juba on võetud meetmeid probleemi lahendamiseks, kui hea on koostöö järelevalveasutusega ja kas rikkumisi on ka varem olnud.
Trahvid vastutava töötleja kohustuste rikkumise eest
Trahve käsitlevad määrused on esitatud GDPR-i artiklis 83. Kehtib põhimõte, et trahvid peavad olema tõhusad, proportsionaalsed ja hoiatavad.
- Vastutava isiku või töötleja kohustuste rikkumise korral tuleb maksta trahve kuni 10 miljonit eurot või ettevõtete puhul kuni kaks protsenti eelmise aasta kogukäibest. Suurem summa loeb.
- Sama kehtib ka juhul, kui sertifitseerimisasutused või järelevalveasutused rikuvad oma kohustusi.
- Näiteks võib tuua, et töötlemistoimingute loetelu puudub, et andmetöötluse turvameetmed on ebapiisavad või et ettevõtte andmekaitseametnik ei täida oma ülesandeid õigesti.
- See hõlmab ka nõude täitmist, mille kohaselt lubatakse lastel andmetöötlusega nõustuda ainult alates 16. eluaastast. Muuseas, see avaldas mõju ka Facebooki ja WhatsAppile.
Andmetöötluspõhimõtete rikkumised
Andmetöötluse põhisätete rikkumise korral on karistused veelgi karmimad. Siinkohal on küsimus selles, kas andmeid on üldse võimalik koguda ja töödelda ning kas seda käsitlevaid sätteid on järgitud.
- Andmeid töötlevad kasutajad, ehkki tegelikult neil seda teha ei lubata, võivad oodata trahve kuni 20 miljonit eurot ehk kuni neli protsenti ettevõtte eelmise aasta käibest. Suurem summa kehtib ka siin.
- Igaüks, kes on vastu järelevalveasutuse juhistele, peab ootama samu trahve.
- Selle kategooria õigusrikkumised esinevad näiteks juhul, kui andmeid töödeldakse ilma andmesubjekti eelneva nõusolekuta või kui on rikutud andmesubjekti õigusi.
- See võib juhtuda juba siis, kui ettevõte ei täida oma kohustust anda andmetöötlusega seotud isikutele teavet või kui puudub kustutamiskontseptsioon. Andmesubjektidel on õigus olla unustatud, kui andmetöötluse eesmärk enam ei kehti.
- Samad karistused määratakse juhul, kui isikuandmeid edastatakse kolmandatele riikidele või rahvusvahelistele organisatsioonidele ning kui spetsiaalselt selle jaoks ette nähtud GDPR-i lõikeid ei arvestata.
Kui haldate oma veebisaiti, peaksite kõiki GDPR-i nõudeid rakendama eriti hoolikalt. Vastasel juhul on teil oht sattuda halbade hoiatustega ettevõtetesse, mis tegelevad andmekaitsega vähem kui raha teenimisega. Lugege järgmises artiklis, mida peaksite veebisaidi operaatorina arvestama.