Руководство по применению и определению административных штрафов для целей Регламента 2016/679
РАБОЧАЯ ГРУППА ПО ЗАЩИТЕ ФИЗИЧЕСКИХ ЛИЦ ПРИ ОБРАБОТКЕ ИХ ПЕРСОНАЛЬНЫХ ДАННЫХ
I. Введение
Европейский союз (далее – ЕС) завершил комплексное реформирование регулирования в области защиты персональных данных в Европе. Данная Реформа основана на нескольких столпах (ключевых компонентах): согласованные правила, упрощенные процедуры, скоординированные действия, привлечение пользователей, повышение эффективности информирования и усиление правоприменительных полномочий.
Спектр обязанностей контроллеров и процессоров по обеспечению эффективной защиты персональных данных физических лиц возрос. Надзорные органы уполномочены обеспечивать соблюдение принципов Общего регламента по защите данных (далее – «Регламент»), а также прав заинтересованных лиц в соответствии с буквой и духом Регламента.
Ключевым элементом согласованного режима защиты данных является последовательное соблюдение правил защиты данных. Административные штрафы, в свою очередь, являются ключевым элементом нового режима соблюдения правил защиты данных, введенного Регламентом, будучи одним из наиболее эффективных инструментов надзорных органов по обеспечению соблюдения Регламента наряду с другими мерами, предусмотренными статьей 58.
Настоящий документ предназначен для использования надзорными органами в целях обеспечения более эффективного применения и соблюдения Регламента и выражает их единое понимание положений статьи 83 Регламента, а также его взаимосвязь со статьями 58 и 70 и их соответствующими преамбулами.
В частности, согласно п. (1) (e) статьи 70, Европейский совет по защите данных (далее «EDPB») уполномочен издавать руководства, рекомендации и лучшие практики для того, чтобы содействовать согласованному применению настоящего Регламента; п. (1) (k) той же статьи также содержит положения о руководствах, касающихся установления административных штрафов.
Данные руководства не являются исчерпывающими и не дают разъяснений относительно различий между системами административного, гражданского и уголовного права при применении административных санкций в целом.
В целях обеспечения последовательного подхода к наложению административных штрафов, который бы должным образом отражал все принципы, изложенные в этих руководствах, EDPB согласился с общим пониманием критериев оценки, изложенных в статье 83 (2) Регламента, соответственно, EDPB и отдельные надзорные органы соглашаются использовать настоящее Руководство в качестве общего подхода к наложению административных штрафов.
II. Принципы
Как только на основе оценки фактов дела было установлено нарушение Регламента, компетентный надзорный орган должен определить наиболее подходящие корректирующие меры с целью устранения нарушения. Положения статьи 58 (2) b-j [1] определяют инструменты, которые надзорные органы могут использовать для устранения нарушения со стороны контролера или процессора. В процессе использования данных полномочий надзорные органы должны руководствоваться следующими принципами:
[1] Статья 58 (2) а предусматривает, что предупреждения могут быть сделаны, когда «операции по обработке могут нарушить положения Регламента». Иными словами, в случаях, предусмотренных данным положением, нарушение Регламента еще не произошло.
Понятие «эквивалентности» является ключевым при определении объема обязательств надзорных органов по обеспечению последовательного использования ими корректирующих полномочий согласно статье 58 (2) в целом и применения административных штрафов в частности [2].
[2] Даже если правовые системы некоторых стран ЕС не допускают наложения административных штрафов, как это предусмотрено в Регламенте, такое релевантные законы в этих государствах-членах должны иметь эффект, схожий эффекту административных штрафов, налагаемых надзорными органами (преамбула 151). Суды имеют обязательства по Регламенту, но они не имеют обязательств по данному руководству EDPB.
Для обеспечения согласованного и высокого уровня защиты физических лиц и устранения препятствий для движения потоков персональных данных в рамках Союза, уровень защиты должен быть одинаковым во всех государствах-членах (Преамбула 10). В Преамбуле 11 уточняется, что одинаковый уровень защиты персональных данных в рамках всего Союза, помимо всего прочего, требует «аналогичных полномочий по мониторингу и обеспечению соблюдения норм по защите персональных данных, и наложению соответствующих санкций за нарушения в государствах-членах.». Более того, согласно Преамбуле 13 Регламента, равнозначные санкции во всех государствах-членах, равно как и эффективное сотрудничество между надзорными органами различных государств-членов рассматриваются как способ «предотвращения расхождений, затрудняющих свободное движение персональных данных в пределах внутреннего рынка».
В отличие от Директивы 95/46/EC, Регламент устанавливает более прочную основу для большего уровня согласованности, что обусловлено тем, что Регламент непосредственно применяется в государствах-членах. Хотя надзорные органы и действуют с «полной независимостью» (статья 52) по отношению к национальным правительствам, контролерам или процессорам, они все же обязаны сотрудничать «в целях обеспечения согласованного применения и обеспечения соблюдения настоящего Регламента» (статья 57, (1),(g)).
Еще одно отличие Регламента от Директивы 95/46 состоит в том, что первый требует большей последовательности при введении санкций. В трансграничных делах последовательность достигается в первую очередь за счет механизма сотрудничества (единый центр) и, в некоторой степени, за счет механизма согласованности, установленного новым Регламентом.
В национальных делах, подпадающих под действие Регламента, надзорные органы будут применять эти руководства в духе сотрудничества согласно статье 57, 1 (g) и статье 63 с целью обеспечения согласованного применения и соблюдения Регламента. Хотя надзорные органы остаются независимыми в выборе корректирующих мер, определенных в статье 58 (2), выбор надзорными органами различных корректирующих мер в аналогичных ситуациях тем не менее является нежелательным.
Из этого же принципа следует исходить при наложении такой разновидности корректирующих мер как штрафы.
2. Как и все корректирующие меры, выбранные надзорными органами, административные штрафы должны быть «эффективными, соразмерными и иметь сдерживающий эффект».
Как и все корректирующие меры в целом, административные штрафы должны надлежащим образом учитывать характер, серьезность и последствия нарушения, а надзорные органы должны оценивать все факты дела последовательным и объективно обоснованным образом. Оценка того, что является эффективным, соразмерным и сдерживающим в каждом конкретном случае, должна также учитывать цель, преследуемую выбранной корректирующей мерой, то есть либо восстановление положения, существовавшего до нарушения правил, либо наказание за противоправное поведение (или и то, и другое).
Надзорным органам следует определять корректирующую меру, которая является «эффективной, соразмерной и сдерживающей» (статья 83 (1)), как в национальных делах (статья 55), так и в делах, связанных с трансграничной обработкой персональных данных (как определено в статье 4 (23)).
В этих руководствах признается, что национальное законодательство может устанавливать дополнительные требования к порядку обеспечения исполнения, которыми в том числе надлежит руководствоваться надзорным органам. К примеру, такие требования могут касаться адресных уведомлений, формы, крайних сроков для совершения представлений, апелляций, обеспечения соблюдения, платежей [3].
[3] Например, основы конституционного строя и проект закона о защите данных Ирландии предусматривают, что формальное решение принимается по факту самого нарушения, которое доводится до сведения соответствующих сторон, до проведения оценки объема санкций. Само решение по факту нарушения не может быть пересмотрено при оценке объема санкции (санкций).
Вместе с тем, такие требования, в ходе практического их применения, не должны служить препятствием для достижения эффективности, соразмерности или выполнению сдерживающей функции.
Более точное определение эффективности, соразмерности или сдерживающего эффекта будет впоследствии сформулировано на основе новой практики надзорных органов (как по защите данных, так и за счет уроков, извлеченных другими регулирующими органами), а также на основе прецедентного права при толковании вышеуказанных принципов.
Чтобы наложить штрафы, которые являются эффективными, соразмерными и оказывающими сдерживающее воздействие, надзорный орган, для целей определения субъекта хозяйствования, должен, как это предусмотрено Судом ЕС, руководствоваться статьями 101 и 102 ДФЕС, в соответствии с которыми под субъектом хозяйствования понимается экономическая единица, которая может быть образована материнской компанией и всеми вовлеченными дочерними предприятиями. Согласно законодательству ЕС и прецедентной практике [4] под субъектом хозяйствования, в свою очередь, следует понимать экономическую единицу, осуществляющую коммерческую / экономическую деятельность, независимо от вовлеченного юридического лица (Преамбула 150).
[4] Определение прецедентного права Европейского суда таково: «понятие предприятия охватывает каждое юридическое лицо, осуществляющее экономическую деятельность, независимо от правового статуса юридического лица и способа его финансирования» (Дело Höfner and Elsner, параграф 21, ECLI: EU : C: 1991: 161). Под предприятием «следует понимать экономическую единицу, даже если по закону эта экономическая единица состоит из нескольких лиц, физических или юридических» (Case Confederación Española de Empresarios de Estaciones de Servicio [пункт 40, ECLI: EU: C: 2006: 784 ).
Административные штрафы могут быть наложены в порядке реагирования на широкий спектр нарушений. Статья 83 Регламента предусматривает унифицированный подход к нарушениям обязательств, прямо перечисленных в пунктах (4) – (6). Закон государства-члена может распространить действие статьи 83 на государственные органы и учреждения, созданные в этом государстве-члене. Кроме того, законодательство государства-члена может разрешить или даже обязать накладывать штраф за нарушение иных положений, помимо тех, что упомянуты в статье 83 (4) – (6).
Регламент требует проводить оценку каждого случая в частном (индивидуальном) порядке [5]. Статья 83 (2) является исходным пунктом для такой индивидуальной оценки. Так, в соответствии с этим пунктом «при решении вопроса о наложении административного взыскания и установлении его размера, в каждом индивидуальном случае необходимо принимать во внимание…» В этой связи, а также в свете Преамбулы 148 [6], надзорный орган несет ответственность за выбор наиболее подходящей меры (мер). При осуществлении такого выбора в случаях, предусмотренных статьей 83 (4) – (6), требуется рассмотреть все корректирующие меры, в том числе рассмотреть вопрос о наложении соответствующего административного штрафа, либо в дополнение к корректирующей мере, предусмотренной статьей 58 (2) либо в качестве самостоятельной меры.
[5] Помимо применения критериев статьи 83, существуют другие положения, закрепляющие такой подход, такие как:
– Преамбула 141 «Рассмотрение жалобы должно проводиться при условии судебного пересмотра в той мере, в какой это уместно в конкретном случае.»
– Преамбула 129 «Полномочия надзорных органов должны осуществляться беспристрастно, справедливо и в разумный срок в соответствии с процессуальными механизмами защиты, установленными в праве Союза или праве государства-члена. В частности, каждая мера должна быть конкретной, необходимой и соразмерной с точки зрения обеспечения соблюдения настоящего Регламента, учитывать обстоятельства каждого отдельного случая…»
– статья 57(1) (f) «рассматривать жалобы, поданные субъектом данных или органом, организацией, либо ассоциацией в соответствии в соответствии со Статьей 80, а также разбирать, в тех случаях, когда это уместно, предмет жалобы»
[6] «Для того, чтобы усилить исполнение норм настоящего Регламента, санкции (в том числе административные штрафы) должны налагаться за любое нарушение настоящего Регламента, в дополнение или вместо соответствующих мер, налагаемых надзорным органом согласно настоящему Регламенту. В случае если нарушение незначительное или если наложение штрафа несоразмерно нарушению физического лица, вместо штрафа может быть объявлен выговор. Однако следует принимать во внимание характер, тяжесть и продолжительность нарушения, преднамеренный характер нарушения, меры, принятые для смягчения нанесенного ущерба, степень ответственности или любые другие ранее совершенные нарушения, способ, посредством которого надзорному органу стало известно о нарушении, соблюдение мер, принятых в отношении контролёра или процессора, соблюдение кодексов поведения, а также любые иные отягчающие или смягчающие вину обстоятельства. Для назначения наказания, в том числе для наложения административных штрафов, необходимо наличие соответствующих процедурных механизмов защиты в соответствии с общими принципами права ЕС и Хартии, включая эффективную судебную защиту и надлежащую правовую процедуру.»
Штрафы являются важным инструментом, который в определенных обстоятельствах подлежит использованию надзорными органами. Для того, чтобы реакция на правонарушение была не только эффективной и выполняла сдерживающую функцию, но и соразмерной правонарушению, надзорным органам рекомендуется подходить взвешенно и сбалансированно к использованию корректирующих мер. Суть в том, чтобы, с одной стороны, не рассматривать штрафы в качестве крайней меры и не избегать их наложения, но с другой стороны, не использовать их таким образом, который будет способствовать обесцениванию их эффективности как инструмента.
EDPB, обладая компетенцией согласно статье 65 Регламента, будет выносить обязательное решение по спорам между властями, касающимся, в частности, установления факта наличия правонарушения. Когда надлежащее и обоснованное возражение содержит в себе вопрос, касающийся соответствия корректирующей меры GDPR, в решении EDPB также будет рассматриваться вопрос о соответствии наложенного административного штрафа, предложенного проектом решения компетентного надзорного органа, принципам эффективности, соразмерности и сдерживания. Вопрос о виде решения, которое будет принято EDPB, будет рассмотрен более подробно в руководстве EDPB по применению статьи 65 Регламента.
4. Унифицированный подход к административным штрафам в области защиты данных требует активного участия надзорных органов и обмена информацией между ними.
В настоящих руководствах не отрицается тот факт, что полномочия по наложению штрафов для некоторых национальных надзорных органов являются новшеством в области защиты данных, в связи с чем возникают многочисленные вопросы с точки зрения ресурсов, организации и процедуры. В особенности тот факт, что решения, в которых надзорные органы осуществляют предоставленные им полномочия по наложению штрафов, могут быть обжалованы в национальных судах.
В целях поддержания формального и неформального обмена информацией, надзорные органы обязаны сотрудничать друг с другом и, насколько это уместно, с Европейской комиссией, посредством механизмов сотрудничества, изложенных в Регламенте, к примеру, путем проведения регулярных семинаров. Данное сотрудничество будет осуществляться на основе их опыта, а также существующей практики применения штрафных санкций, чтобы в конечном итоге добиться большей согласованности.
III. Критерии оценки по статье 83(2)
Статье 83 (2) содержит список критериев, которые подлежат использованию надзорными органами при оценке как необходимости наложения штрафа, так и его размера. Однако это не предполагает повторную оценку одних и тех же критериев, но лишь комплексную оценку, которая учитывает все обстоятельства каждого отдельного случая, как это предусмотрено статьей 83 [7].
[7] Оценка применяемой санкции может производиться отдельно после оценки того, имело ли место нарушение из-за внутригосударственных процессуальных норм, вытекающих из конституционных требований в некоторых странах. Таким образом, это может ограничить содержание и степень детализации проекта решения, выпущенном ведущим надзорным органом в таких странах.
Выводы, сделанные на первом этапе оценки, могут быть использованы на втором ее этапе при определении суммы штрафа, что позволит избежать необходимости дважды оценивать одни и те же критерии.
В этом разделе содержится руководство для надзорных органов относительно того, как интерпретировать отдельные факты дела в свете критериев, предусмотренных статьей 83 (2).
Согласно Регламенту, практически все обязательства контролеров и процессоров классифицируются в соответствии с их характером в положениях статьи 83 (4) – (6). Установление Регламентом двух различных максимальных размеров административного штрафа (10/20 миллионов евро) уже свидетельствует о том, что нарушение некоторых положений Регламента может быть более серьезным, нежели нарушение иных его положений. Однако, оценивая обстоятельства конкретного дела в свете общих критериев, предусмотренных статьей 83 (2), компетентный надзорный орган может постановить, что в данном конкретном случае существует более или, напротив, менее острая необходимость реагирования на правонарушение с помощью такой корректирующей меры как штраф. Если же штраф был выбран в качестве единственной или одной из нескольких соответствующих корректирующих мер, для определения максимального размера штрафа, который может быть наложен в соответствии с характером рассматриваемого правонарушения будет применяться многоуровневая система, предусмотренная Регламентом (статьи 83 (4) – 83 (6)).
Преамбула 148 вводит понятие «незначительные нарушения». Такие нарушения могут представлять собой нарушения одного или нескольких положений Регламента, перечисленных в статье 83 (4) или (5). В то же время, статья 83 (2), содержащая критерии оценки правонарушения, может быть истолкована надзорными органами так, что в конкретных обстоятельствах дела, к примеру, нарушение не представляет значительного риска для прав заинтересованных субъектов данных и не влияет на сущность рассматриваемого обязательства. В таких случаях штраф может (но не всегда) быть заменен выговором.
Преамбула 148 не закрепляет обязательство надзорного органа всегда заменять штраф выговором в случае незначительного нарушения («вместо штрафа может быть объявлен выговор»), а скорее оставляет такую возможность после конкретной оценки всех обстоятельств дела.
Преамбула 148 также оставляет возможность замены штрафа выговором, если контролером данных является физическое лицо, и штраф, который, вероятно, будет наложен, будет представлять собой несоразмерное бремя для него. Исходным пунктом является то, что надзорный орган должен оценить, требуется ли наложение штрафа с учетом обстоятельств рассматриваемого дела. Если он принимает решение в пользу наложения штрафа, надзорный орган должен также оценить, не будет ли наложенный штраф непропорционально тяжким бременем для физического лица.
Регламент не содержит конкретных сумм штрафов для конкретных правонарушений, а лишь содержит верхний предел суммы штрафа (максимальная сумма). Это может свидетельствовать об относительно более низкой степени тяжести нарушения обязательств, перечисленных в статье 83(4), по сравнению с обязательствами, изложенными в статье 83(5). Между тем, эффективная, соразмерная и сдерживающая реакция на нарушение статьи 83(5) будет зависеть от обстоятельств дела.
Следует отметить, что нарушения Регламента, которые по своему характеру могут подпадать под категорию «до 10 миллионов евро или до 2
• потребовать от контролёра или процессора удовлетворения запроса субъекта данных относительно осуществления его прав согласно настоящему Регламенту;
• потребовать, при необходимости, от контролёра или процессора приведения процесса обработки данных в соответствие с положениями настоящего Регламента в установленном порядке и в установленный срок;
• потребовать, чтобы контролёр сообщил субъекту данных о нарушении безопасности персональных данных;
• потребовать исправления или уничтожения персональных данных, или ограничения обработки согласно Статьям 16, 17 и 18, а также уведомления об указанных действиях получателей, которым были раскрыты персональные данные согласно Статье 17 (2) и Статье 19;
• отозвать сертификат, или потребовать от сертификационного органа отзыва сертификата, предоставленного согласно Статьям 42 и 43, или потребовать, чтобы сертификационный орган не выдавал сертификат, если требования для сертификации не выполняются или больше не выполняются;
• потребовать приостановить передачу данных получателю в третьей стране или международной организации.
[9] При применении статьи 83(6) обязательно необходимо учитывать национальное процессуальное право. Национальное законодательство определяет, как выдается приказ, как о нем уведомляют, с какого момента он вступает в силу, есть ли льготный период для работы над его соблюдением. В частности, следует учитывать влияние апелляции на возможность принудительного исполнения постановления.
[10] Законодательные положения, содержащие ограничения, могут привести к тому, что предыдущее распоряжение надзорного органа больше не сможет приниматься во внимание из-за количества времени, прошедшего с момента выдачи предыдущего распоряжения. В некоторых юрисдикциях правила требуют, чтобы штраф за несоблюдение приказа в соответствии со статьей 83(6) не мог налагаться по истечении срока давности этого приказа. Каждый надзорный орган в каждой юрисдикции должен будет определить, как такое воздействие повлияет на них.
Приведенные ниже факторы подлежат оценке в совокупности, например, количество субъектов данных вместе с возможным воздействием на них.
Чтобы определить, является ли правонарушение единичным, признаком более системного правонарушения или же признаком отсутствия надлежащих процедур, следует оценить количество вовлеченных в него субъектов данных. Это не означает, что единичные случаи не должны пресекаться, поскольку такие случаи все же могут затронуть множество субъектов данных. В зависимости от обстоятельств дела, это будет относиться, например, к общему количеству зарегистрировавшихся в рассматриваемой базе данных, количеству потребителей услуги, к количеству клиентов или к количеству населения страны.
Цель обработки данных также подлежит оценке. В заключении WP 29 об «ограничении целей» [11] ранее были проанализированы два основных составных элемента этого принципа в законе о защите данных: определение цели и совместимое использование. При оценке цели обработки данных в контексте статьи 83 (2) надзорным органам надлежит изучить, насколько обработка соответствует двум ключевым компонентам вышеуказанного принципа [12]. В определенных ситуациях надзорный орган может счесть необходимым более глубоко проанализировать цели самой обработки данных в контексте статьи 83 (2).
[11] WP 203, Мнение 03/2013 об ограничении цели, доступен по ссылке: http://ec.europa.eu/justice/data- protection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf
[12] См. Также Wp 217, мнение 6/2014 о понятии легитимного интереса контроллера данных в соответствии со статьей 7, стр. 24, по вопросу: «Что делает интерес« законным »или« незаконным »?»
Если субъекты данных понесли ущерб, необходимо учесть масштаб этого ущерба. Обработка персональных данных может создавать риски для прав и свобод человека, как отмечено в преамбуле 75:
«Риск для прав и свобод физических лиц разной степени вероятности и серьезности может возникать в результате обработки персональных данных, которая может привести к физическому, материальному или нематериальному ущербу, в частности, в случаях, когда обработка может вызвать дискриминацию, кражу личности или ее мошенническое использование, финансовые потери, ущерб для репутации, нарушение конфиденциальности персональных данных, находящихся под защитой профессиональной тайны, несанкционированную отмену псевдонимизации, или создать другие значительные экономические или социальные проблемы; в случаях, когда субъекты данных могут быть лишены своих прав и свобод или возможности осуществлять контроль над своими персональными данными; в случаях, когда обрабатываются персональные данные, которые раскрывают расовое или этническое происхождение, политические убеждения, религиозные и философские воззрения, членство в профессиональных союзах, а также когда обрабатываются генетические данные, данные, касающиеся здоровья, данные о сексуальной жизни, уголовных судимостях и правонарушениях или о связанных с ними мерах безопасности; в случаях, когда оцениваются персональные аспекты, в частности, анализируются или прогнозируются аспекты, касающихся трудовых показателей, экономической ситуации, здоровья, личных предпочтений, интересов, благонадёжности, поведения, местонахождения или передвижения, в целях создания или использования персональных профилей; в случаях, когда обрабатываются персональные данные слабозащищённых физических лиц, в частности, детей; или в случаях, когда обработка охватывает большое количество персональных данных и затрагивает большое количество субъектов данных.»
Хотя присуждение конкретной компенсации за понесенный ущерб находится не в компетенции надзорного органа, если ущерб был или может быть понесен в результате нарушения Регламента, надзорный орган должен принять это во внимание при выборе корректирующих мер.
Наложение штрафа не зависит от способности надзорного органа установить причинную связь между совершенным нарушением и материальным ущербом (см., к примеру, статью 83(6)).
В целом, «умысел» включает в себя как осведомленность, так и сознательность в отношении характеристик правонарушения, тогда как «непреднамеренность» предполагает отсутствие намерения совершить правонарушение, хотя контролер / процессор нарушил обязанность проявлять предусмотрительность, которой требует закон.
Как правило, признается, что умышленные нарушения, демонстрирующие пренебрежение к положениям закона, являются более серьезными, нежели непреднамеренные, поэтому, при совершении таковых, вероятность наложения административного штрафа будет более высокой. Соответствующие выводы об умысле или халатности будут сделаны на основе выявленных, исходя из собранных фактов дела, объективных элементов поведения. Кроме того, возникающая прецедентная практика и практика в области защиты данных при применении Регламента будут свидетельствовать о наличии обстоятельств, устанавливающих более четкие пороговые значения для оценки того, было ли нарушение преднамеренным.
В качестве примеров обстоятельств, указывающих на умышленный характер нарушения, можно рассматривать незаконную обработку данных, явным образом санкционированную высшим руководящим звеном контролера, или осуществленную вопреки совету должностного лица по защите данных; а также игнорирование существующих стратегий, к примеру, получение и обработка данных о сотрудниках конкурента с намерением дискредитировать этого конкурента на рынке.
• изменение персональных данных для создания ложного (положительного) представления о том, были ли достигнуты определенные цели – мы видели это в контексте целевых показателей времени ожидания в больнице
• торговля персональными данными в маркетинговых целях, то есть продажа данных по «предпочтению» без проверки / без учета мнений субъектов данных о том, как их данные должны использоваться
На небрежный характер нарушения могут указывать такие обстоятельства как несоблюдение существующих стратегий, человеческий фактор (ошибка), неспособность произвести проверку опубликованной информации на предмет наличия в ней персональных данных, несвоевременное применение технических обновлений, непринятие стратегий (а не просто неприменение их).
Предприятия должны нести ответственность за принятие структур и ресурсов, соответствующих характеру и сложности их бизнеса. Таким образом, контроллеры и процессоры не могут оправдывать нарушения закона о защите данных нехваткой ресурсов. В соответствии с Регламентом процедуры и документирование операций по обработке данных основаны на подходе, основанном на учете возможных рисков.
На данный момент существует ряд неясностей, который окажет влияние на принятие решений относительно того, вводить ли определенную корректирующую меру или нет, и властям может потребоваться провести более обширное расследование, чтобы установить факты дела и убедиться, что все конкретные обстоятельства каждого отдельного случая были учтены.
(c) любые действия, предпринятые контроллером или процессором уменьшения ущерба, понесенного субъектами данных;
Контроллеры и процессоры данных обязаны внедрять технические и организационные меры для обеспечения уровня безопасности, соразмерного риску, проводить оценку воздействия защиты данных и снижать риски нарушения прав и свобод людей, возникающие при обработке персональных данных. Однако, когда нарушение все же происходит и причиняет ущерб субъекту данных, ответственная сторона должна сделать все возможное, чтобы уменьшить последствия нарушения для соответствующего лица (лиц). Такое ответственное поведение (или его отсутствие) будет приниматься во внимание надзорным органом при выборе корректирующих мер, а также при расчете санкций, которые будут наложены в конкретном случае.
Хотя отягчающие и смягчающие обстоятельства являются особенно подходящими для целей расчета точной суммы штрафа, соответствующей конкретным обстоятельствам дела, все же не следует недооценивать их роль в выборе соответствующей корректирующей меры. В случаях, когда оценка, основанная на других критериях, оставляет у надзорного органа сомнения в целесообразности наложения административного штрафа в качестве отдельной корректирующей меры или в сочетании с другими мерами, предусмотренными в статье 58, такие отягчающие или смягчающие обстоятельства могут помочь в выборе подходящей меры, склоняя тем самым чашу весов к тому, что оказывается более эффективным, соразмерным и сдерживающим в данном случае.
Это положение действует как оценка степени ответственности контролера после того, как нарушение произошло. Оно может охватывать случаи, когда контроллер / процессор явно не действовал безрассудного / небрежно, но, когда им стало известно о нарушении, сделали все возможное, чтобы исправить положение.
Опыт SA в области регулирования, в соответствии с Директивой 95/46/EC, ранее показал, что может быть целесообразно проявить некоторую степень гибкости в отношении тех контроллеров / процессоров данных, которые признали свое нарушение и взяли на себя ответственность за исправление или ограничение негативных последствий своих действий. Это может включать такие примеры, как (хотя это не приведет к более гибкому подходу в каждом случае):
• связь с другими контроллерами / процессорами, которые могли быть вовлечены в расширение обработки, например если часть данных была ошибочно передана третьим лицам.
• своевременные действия, предпринятые контроллером / процессором данных в целях предотвращения продолжения или усугубления нарушения до той степени или стадии, при которой их последствия были бы гораздо более серьезными, нежели те, что наступили.
(d) степень ответственности контролера или процессора с учетом технических и организационных мер, реализованных ими в соответствии со Статьями 25 и 32;
Посредством Регламента был введен гораздо более высокий уровень ответственности контроллера данных по сравнению с Директивой ЕС о защите данных 95/46/EC.
Степень ответственности контролера или процессора, оцениваемая с учетом применения соответствующих корректирующих мер, может включать:
• Принял ли контролер технические меры, которые соответствуют принципам защиты данных, спроектированные или по умолчанию (статья 25)?
• Принял ли контролер организационные меры, обеспечивающие соблюдение принципов защиты данных, спроектированные и по умолчанию (статья 25) на всех уровнях организации?
• Известны ли соответствующие процедуры / стратегии защиты данных и применяются ли они на надлежащем уровне управления в организации? (Статья 24).
Статьи 25 и 32 Регламента требуют, чтобы контролеры «принимать во внимание текущий уровень научно-технического прогресса, стоимость внедрения и характер, масштабы, контекст и цели обработки, а также риски, возникающие в ходе обработки, связанные с той или иной вероятностью и серьезностью нарушения прав и свобод физических лиц». Эти положения, по сути своей, не являются обязательством результата, а скорее представляют собой обязательства поведения, то есть контролер должен провести необходимые оценки и сделать соответствующие выводы. Вопрос, на который надзорный орган должен затем ответить, заключается в том, в какой степени контролер «сделал то, что от него можно было ожидать», учитывая характер, цели или размер обработки, рассматриваемые в свете обязательств, налагаемых на них Регламентом.
При осуществлении этой оценки следует должным образом учитывать любые процедуры или методы «наилучшей практики», если они существуют и применяются. Важно учитывать отраслевые стандарты, а также кодексы поведения в соответствующей области или профессии. Своды правил могут указывать на то, что является общепринятой практикой в данной области, и указывать уровень знаний о различных средствах решения типовых проблем безопасности, связанных с обработкой.
Хотя, в целом, наиболее предпочтительно было бы придерживаться наилучшей практики, в то же время, при оценке степени ответственности необходимо учитывать особые обстоятельства каждого отдельного случая.
Этот критерий предназначен для оценки репутации организации, совершившей нарушение. Надзорным органам следует учитывать, что масштаб оценки в данном случае может быть довольно обширным, поскольку любой вид нарушения Регламента, хотя и отличается по своему характеру от того, которое сейчас расследуется надзорным органом, может быть «актуальным» для оценки, поскольку может свидетельствовать об общем уровне недостаточных знаний или несоблюдении правил защиты данных.
• Нарушил ли контролер / процессор Регламент таким же образом? (например, в результате недостаточного знания существующих процедур в организации или вследствие ненадлежащей оценки рисков, несвоевременного реагирования на запросы от субъекта данных, неоправданной задержки ответа на запросы и так далее).
(f) степень сотрудничества с надзорным органом для устранения нарушения и смягчения возможных неблагоприятных последствий нарушения;
В статье 83(2) предусматривается, что степень сотрудничества может быть «должным образом учтена» при решении вопроса о наложении административного штрафа и при определении его размера. Регламент не дает точного ответа на вопрос, каким образом усилия контролеров или процессоров по устранению нарушения, уже установленного надзорным органом, должны быть учтены. Более того, очевидным представляется тот факт, что соответствующие критерии обычно применялись бы при расчете суммы налагаемого штрафа.
Однако, если вмешательство контролера привело к тому, что неблагоприятные последствия для прав людей не наступили или имели более ограниченное воздействие, чем могли бы в противном случае, факт такого вмешательства также может быть принят во внимание при выборе корректирующих мер, которые пропорциональны в каждом индивидуальном случае.
• Отреагировала ли организация определенным образом на запросы надзорного органа на этапе расследования данного конкретного дела, что в результате значительно ограничило влияние на права людей?
При этом было бы нецелесообразно уделять дополнительное внимание сотрудничеству, которое уже требуется, в соответствии с законом, например, организация в любом случае обязана разрешить надзорному органу доступ в помещения для аудитов / инспекций.
Вот некоторые примеры ключевых вопросов, на которые надзорный орган может счесть необходимым ответить, если это уместно в конкретном случае:
• Включает ли обработка данных, распространение которых приведет к непосредственному ущербу / опасности для человека (что не подпадает под категорию статей 9 или 10)?
[13] То, что нарушение касается только косвенно идентифицируемых или даже псевдонимных / зашифрованных данных, не всегда следует рассматривать как «дополнительный» смягчающий фактор. В отношении этих нарушений общая оценка других критериев может дать умеренное или убедительное указание на то, что следует наложить штраф.
(h) способ, посредством которого о нарушении стало известно надзорному органу, в частности уведомил ли контролер или процессор о нарушении, и если да, то в какой степени;
Надзорный орган может узнать о нарушении в результате расследования, жалоб, статей в прессе, анонимных уведомлений или уведомлений от контролера данных. Контроллер обязан, в соответствии с Регламентом, уведомлять надзорный орган о нарушениях в отношении персональных данных. Если контроллер просто выполняет это обязательство, соблюдение обязательства не может рассматриваться в качестве ослабляющего / смягчающего обстоятельства. Точно так же контроллер / процессор данных может также рассматриваться надзорным органом как заслуживающий более серьезного штрафа, если он действовал неосторожно, не уведомив или, по крайней мере, не сообщив всех деталей нарушения надзорному органу из-за неспособности надлежащим образом оценить его степень, т.е. маловероятно, что в этом случае нарушение будет классифицировано как незначительное.
(i) если меры, указанные в Статье 58 (2), были ранее предписаны против соответствующего контролера или процессора в отношении того же предмета, соблюдение этих мер;
Контроллер или процессор могут уже находиться в поле зрения надзорного органа для отслеживания соблюдения ими Регламента после предыдущего нарушения, а контакты с DPO там, где они существуют, вероятно, были обширными. Поэтому надзорный орган обычно учитывает предыдущие контакты.
В отличие от критериев в пункте (e), эти критерии оценки направлены только на то, чтобы напомнить надзорным органам о необходимости ссылаться на меры, которые они сами ранее применили к тому же контроллеру или процессору «в аналогичной ситуации».
(j) соблюдение утвержденных кодексов поведения в соответствии со статьей 40 или утвержденных механизмов сертификации в соответствии со статьей 42;
Надзорные органы обязаны «контролировать и обеспечивать применение настоящего Регламента (статья 57 (1)(а))». Соблюдение утвержденных кодексов поведения может использоваться контролером или процессором как доказательство их соблюдения Регламента, в соответствии со статьями 24 (3), 28 (5) или 32 (3).
В случае нарушения одного из положений Регламента, соблюдение утвержденного кодекса поведения может указывать на то, насколько острой является необходимость вмешательства с помощью эффективного, соразмерного, сдерживающего административного штрафа или других корректирующих мер со стороны надзорного органа. Утвержденные кодексы поведения, согласно статье 40(4), будут содержать «механизмы, позволяющие (контролирующему) органу проводить обязательный мониторинг соблюдения его положений».
Если контроллер или процессор придерживается утвержденного кодекса поведения, надзорный орган может быть удовлетворен тем, сообщество, отвечающее за соблюдение такого кодекса, само принимает соответствующие меры против своего члена, например, посредством схем мониторинга и обеспечения соблюдения самого кодекса поведения. Следовательно, надзорный орган может счесть такие меры эффективными, соразмерными или достаточно сдерживающими в данном конкретном случае, а соответственно, отсутствие необходимости применения дополнительных мер со стороны самого надзорного органа. Так, в соответствии со статьей 41(2) c и 42(4) посредством схемы мониторинга могут применяться определенные формы наказания за несоответствующее поведение, включая приостановление или исключение соответствующего контроллера или процессора из сообщества, руководствующегося кодексом. Тем не менее, полномочия контролирующего органа «реализуются без ущерба задачам и полномочиям компетентного надзорного органа», что означает, что надзорный орган не обязан принимать во внимание ранее наложенные санкции, относящиеся к схеме саморегулирования.
Несоблюдение мер саморегулирования также может свидетельствовать о халатности или умышленном нарушении со стороны контролера / процессора.
(k) любой другой отягчающий или смягчающий фактор, применимый к обстоятельствам дела, например, полученная финансовая выгода или убытки, которых удалось избежать, прямо или косвенно, в результате нарушения.
Само положение содержит примеры того, какие другие элементы могут быть учтены при принятии решения о целесообразности наложения административного штрафа за нарушение положений, упомянутых в статье 83 (4-6).
Информация о прибыли, полученной в результате нарушения, может быть особенно важной для надзорных органов, поскольку экономическая выгода от нарушения не может быть компенсирована мерами, не имеющими денежной составляющей. Таким образом, тот факт, что контролер извлек выгоду из нарушения Регламента, может выступать убедительным доказательством необходимости наложения штрафа.
IV. Заключение
Размышления над вопросами, подобными тем, которые представлены в предыдущем разделе, помогут надзорным органам определять, исходя из соответствующих фактов дела, те критерии, которые наиболее важны при принятии решения о наложении соответствующего административного штрафа в дополнение к или вместо иных корректирующих мер в соответствии со статьей 58. Принимая во внимание контекст, предоставленный такой оценкой, надзорный орган определит наиболее эффективную, соразмерную и сдерживающую корректирующую меру в качестве реакции на нарушение.
Статья 58 дает некоторые инструкции относительно того, какие меры может выбрать надзорный орган, поскольку корректирующие меры сами по себе различны по своему характеру и предназначены в основном для достижения разных целей. Некоторые из мер, предусмотренных в статье 58, могут даже быть кумулятивными, что позволяет принять нормативное постановление, включающее более одной корректирующей меры.
Необходимость в дополнении одной корректирующей меры другой не всегда существует. Например: вмешательство надзорного органа, который исходит из того, что будет соразмерно в данном конкретном случае, будет эффективным и иметь сдерживающий эффект, к примеру, только путем наложения штрафа.
По сути, властям необходимо восстановить соблюдение Регламента с помощью всех доступных им корректирующих мер. Надзорные органы также должны будут выбрать наиболее подходящее направление для проведения регулирующих действий. Например, это могут быть уголовные санкции (если они доступны на национальном уровне).
Практика последовательного применения административных штрафов в Европейском Союзе – это развивающееся умение. Надзорным органам следует предпринимать совместные действия для повышения уровня согласованности на постоянной основе. Это может быть достигнуто посредством регулярного обмена информацией посредством семинаров по рассмотрению дел или других мероприятий, которые позволяют сравнивать дела на субнациональном, национальном и трансграничном уровнях. Для поддержания этой текущей деятельности рекомендуется создание постоянной подгруппы, прикрепленной к соответствующей части EDPB.