образованная Директивой 95/46/ЕС Европейского парламента и Совета от 24 октября 1995 г., с учетом статей 29 и 30 этой Директивы, принимая во внимание свои Правила процедуры,
set up by Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995, having regard to Articles 29 and 30 thereof, having regard to its Rules of Procedure,
Европейский союз (далее — ЕС) завершил комплексное реформирование регулирования в области защиты персональных данных в Европе. Данная Реформа основана на нескольких столпах (ключевых компонентах): согласованные правила, упрощенные процедуры, скоординированные действия, привлечение пользователей, повышение эффективности информирования и усиление правоприменительных полномочий.
The EU has completed a comprehensive reform of data protection regulation in Europe. The reform rests on several pillars (key components): coherent rules, simplified procedures, coordinated actions, user involvement, more effective information and stronger enforcement powers.
Спектр обязанностей контроллеров и процессоров по обеспечению эффективной защиты персональных данных физических лиц возрос. Надзорные органы уполномочены обеспечивать соблюдение принципов Общего регламента по защите данных (далее — «Регламент»), а также прав заинтересованных лиц в соответствии с буквой и духом Регламента.
Data controllers and data processors have increased responsibilities to ensure that personal data of the individuals is protected effectively. Supervisory authorities have powers to ensure that the principles of the General Data Protection Regulation (hereafter ‘the Regulation’) as well as the rights of the individuals concerned are upheld according to the wording and the spirit of the Regulation.
Ключевым элементом согласованного режима защиты данных является последовательное соблюдение правил защиты данных. Административные штрафы, в свою очередь, являются ключевым элементом нового режима соблюдения правил защиты данных, введенного Регламентом, будучи одним из наиболее эффективных инструментов надзорных органов по обеспечению соблюдения Регламента наряду с другими мерами, предусмотренными статьей 58.
Consistent enforcement of the data protection rules is central to a harmonized data protection regime. Administrative fines are a central element in the new enforcement regime introduced by the Regulation, being a powerful part of the enforcement toolbox of the supervisory authorities together with the other measures provided by article 58.
Настоящий документ предназначен для использования надзорными органами в целях обеспечения более эффективного применения и соблюдения Регламента и выражает их единое понимание положений статьи 83 Регламента, а также его взаимосвязь со статьями 58 и 70 и их соответствующими преамбулами.
This document is intended for use by the supervisory authorities to ensure better application and enforcement of the Regulation and expresses their common understanding of the provisions of article 83 of the Regulation as well as its interplay with articles 58 and 70 and their corresponding recitals.
В частности, согласно п. (1) (e) статьи 70, Европейский совет по защите данных (далее «EDPB») уполномочен издавать руководства, рекомендации и лучшие практики для того, чтобы содействовать согласованному применению настоящего Регламента; п. (1) (k) той же статьи также содержит положения о руководствах, касающихся установления административных штрафов.
In particular, according to article 70, (1) (e), the European Data Protection Board (hereafter ‘EDPB’) is empowered to issue guidelines, recommendations and best practices in order to encourage consistent application of this Regulation and article 70, (1), (k) specifies the provision for guidelines concerning the setting of administrative fines.
Данные руководства не являются исчерпывающими и не дают разъяснений относительно различий между системами административного, гражданского и уголовного права при применении административных санкций в целом.
These guidelines are not exhaustive, neither will they provide explanations about the differences between administrative, civil or criminal law systems when imposing administrative sanctions in general.
В целях обеспечения последовательного подхода к наложению административных штрафов, который бы должным образом отражал все принципы, изложенные в этих руководствах, EDPB согласился с общим пониманием критериев оценки, изложенных в статье 83 (2) Регламента, соответственно, EDPB и отдельные надзорные органы соглашаются использовать настоящее Руководство в качестве общего подхода к наложению административных штрафов.
In order to achieve a consistent approach to the imposition of the administrative fines, which adequately reflects all of the principles in these guidelines, the EDPB has agreed on a common understanding of the assessment criteria in article 83 (2) of the Regulation and therefore the EDPB and individual supervisory authorities agree on using this Guideline as a common approach.
Как только на основе оценки фактов дела было установлено нарушение Регламента, компетентный надзорный орган должен определить наиболее подходящие корректирующие меры с целью устранения нарушения. Положения статьи 58 (2) b-j [1] определяют инструменты, которые надзорные органы могут использовать для устранения нарушения со стороны контролера или процессора. В процессе использования данных полномочий надзорные органы должны руководствоваться следующими принципами:
Once an infringement of the Regulation has been established based on the assessment of the facts of the case, the competent supervisory authority must identify the most appropriate corrective measure(s) in order to address the infringement. The provisions of article 58 (2) b-j [1] indicate which tools the supervisory authorities may employ in order to address non-compliance from a controller or a processor. When using these powers, the supervisory authorities must observe the following principles:
[1] Статья 58 (2) а предусматривает, что предупреждения могут быть сделаны, когда «операции по обработке могут нарушить положения Регламента». Иными словами, в случаях, предусмотренных данным положением, нарушение Регламента еще не произошло.
[1] Article 58 (2) a provides that warnings may be issued when “processing operations are likely to infringe provisions of the Regulation”. In other words, in the case covered by the provision the infringement of the Regulation has not occurred yet.
1. Нарушение Регламента должно влечь наложение «эквивалентных (равнозначных) санкций».
1. Infringement of the Regulation should lead to the imposition of “equivalent sanctions”.
Понятие «эквивалентности» является ключевым при определении объема обязательств надзорных органов по обеспечению последовательного использования ими корректирующих полномочий согласно статье 58 (2) в целом и применения административных штрафов в частности [2].
The concept of “equivalence” is central in determining the extent of the obligations of the supervisory authorities to ensure consistency in their use of corrective powers according to article 58 (2) in general, and the application of administrative fines in particular [2].
[2] Даже если правовые системы некоторых стран ЕС не допускают наложения административных штрафов, как это предусмотрено в Регламенте, такое релевантные законы в этих государствах-членах должны иметь эффект, схожий эффекту административных штрафов, налагаемых надзорными органами (преамбула 151). Суды имеют обязательства по Регламенту, но они не имеют обязательств по данному руководству EDPB.
[2] Even where the legal systems in some EU countries do not allow for the imposition of administrative fines as set out in the Regulation, such an application of the rules in those Member States needs to have an equivalent effect to administrative fines imposed by supervisory authorities (recital 151). The Courts are bound by the Regulation but they are not bound by these guidelines of the EDPB.
Для обеспечения согласованного и высокого уровня защиты физических лиц и устранения препятствий для движения потоков персональных данных в рамках Союза, уровень защиты должен быть одинаковым во всех государствах-членах (Преамбула 10). В Преамбуле 11 уточняется, что одинаковый уровень защиты персональных данных в рамках всего Союза, помимо всего прочего, требует «аналогичных полномочий по мониторингу и обеспечению соблюдения норм по защите персональных данных, и наложению соответствующих санкций за нарушения в государствах-членах.». Более того, согласно Преамбуле 13 Регламента, равнозначные санкции во всех государствах-членах, равно как и эффективное сотрудничество между надзорными органами различных государств-членов рассматриваются как способ «предотвращения расхождений, затрудняющих свободное движение персональных данных в пределах внутреннего рынка».
In order to ensure a consistent and high level of protection of natural persons and to remove the obstacles to flows of personal data within the Union, the level of protection should be equivalent in all Member States (recital 10). Recital 11 elaborates the fact that an equivalent level of protection of personal data throughout the Union requires, amongst others, “equivalent powers for monitoring and ensuring compliance with the rules for the protection of personal data and equivalent sanctions for infringements in the Member States.”. Further more, equivalent sanctions in all Member States as well as effective cooperation between supervisory authorities of different Member States is seen as a way “to prevent divergences hampering the free movement of personal data within the internal market”, in line with recital 13 of the Regulation.
В отличие от Директивы 95/46/EC, Регламент устанавливает более прочную основу для большего уровня согласованности, что обусловлено тем, что Регламент непосредственно применяется в государствах-членах. Хотя надзорные органы и действуют с «полной независимостью» (статья 52) по отношению к национальным правительствам, контролерам или процессорам, они все же обязаны сотрудничать «в целях обеспечения согласованного применения и обеспечения соблюдения настоящего Регламента» (статья 57, (1),(g)).
The Regulation sets a stronger basis than Directive 95/46/EC for a greater level of consistency as the Regulation is directly applicable in the Member States. While supervisory authorities operate with “complete independence” (article 52) with respect to national governments, controllers or processors, they are required to cooperate “with a view to ensuring the consistency of application and enforcement of this Regulation” (article 57, (1),(g)).
Еще одно отличие Регламента от Директивы 95/46 состоит в том, что первый требует большей последовательности при введении санкций. В трансграничных делах последовательность достигается в первую очередь за счет механизма сотрудничества (единый центр) и, в некоторой степени, за счет механизма согласованности, установленного новым Регламентом.
The Regulation calls for a greater consistency than the Directive 95/46 when imposing sanctions. In cross border cases, consistency shall be achieved primarily through the cooperation (one –stop-shop) mechanism and to some extent through the consistency mechanism set forth by the new Regulation.
В национальных делах, подпадающих под действие Регламента, надзорные органы будут применять эти руководства в духе сотрудничества согласно статье 57, 1 (g) и статье 63 с целью обеспечения согласованного применения и соблюдения Регламента. Хотя надзорные органы остаются независимыми в выборе корректирующих мер, определенных в статье 58 (2), выбор надзорными органами различных корректирующих мер в аналогичных ситуациях тем не менее является нежелательным.
In national cases covered by the Regulation, the supervisory authorities will apply these guidelines in the spirit of cooperation according to article 57, 1 (g) and article 63, with a view to ensuring the consistency of application and enforcement of the Regulation. Although supervisory authorities remain independent in their choice of the corrective measures presented in Article 58 (2), it should be avoided that different corrective measures are chosen by the supervisory authorities in similar cases.
Из этого же принципа следует исходить при наложении такой разновидности корректирующих мер как штрафы.
The same principle applies when such corrective measures are imposed in the form of fines.
2. Как и все корректирующие меры, выбранные надзорными органами, административные штрафы должны быть «эффективными, соразмерными и иметь сдерживающий эффект».
2. Like all corrective measures chosen by the supervisory authorities, administrative fines should be “effective, proportionate and dissuasive”.
Как и все корректирующие меры в целом, административные штрафы должны надлежащим образом учитывать характер, серьезность и последствия нарушения, а надзорные органы должны оценивать все факты дела последовательным и объективно обоснованным образом. Оценка того, что является эффективным, соразмерным и сдерживающим в каждом конкретном случае, должна также учитывать цель, преследуемую выбранной корректирующей мерой, то есть либо восстановление положения, существовавшего до нарушения правил, либо наказание за противоправное поведение (или и то, и другое).
Like all corrective measures in general, administrative fines should adequately respond to the nature, gravity and consequences of the breach, and supervisory authorities must assess all the facts of the case in a manner that is consistent and objectively justified. The assessment of what is effective, proportional and dissuasive in each case will have to also reflect the objective pursued by the corrective measure chosen, that is either to reestablish compliance with the rules, or to punish unlawful behavior (or both).
Надзорным органам следует определять корректирующую меру, которая является «эффективной, соразмерной и сдерживающей» (статья 83 (1)), как в национальных делах (статья 55), так и в делах, связанных с трансграничной обработкой персональных данных (как определено в статье 4 (23)).
Supervisory authorities should identify a corrective measure that is “effective, proportionate and dissuasive” (art. 83 (1)), both in national cases (article 55) and in cases involving cross- border processing of personal data (as defined in article 4 (23)).
В этих руководствах признается, что национальное законодательство может устанавливать дополнительные требования к порядку обеспечения исполнения, которыми в том числе надлежит руководствоваться надзорным органам. К примеру, такие требования могут касаться адресных уведомлений, формы, крайних сроков для совершения представлений, апелляций, обеспечения соблюдения, платежей [3].
These guidelines recognize that national legislation may set additional requirements on the enforcement procedure to be followed by the supervisory authorities. This may for example include address notifications, form, deadlines for making representations, appeal, enforcement, payment [3].
[3] Например, основы конституционного строя и проект закона о защите данных Ирландии предусматривают, что формальное решение принимается по факту самого нарушения, которое доводится до сведения соответствующих сторон, до проведения оценки объема санкций. Само решение по факту нарушения не может быть пересмотрено при оценке объема санкции (санкций).
[3] As an example, the constitutional framework and draft data protection legislation of Ireland, provides that a formal decision is reached on the fact of the infringement itself, which is communicated to the relevant parties, before an assessment of the scale of the sanction(s). The decision on the fact of the infringement itself cannot be revisited during the assessment of the scale of the sanction(s).
Вместе с тем, такие требования, в ходе практического их применения, не должны служить препятствием для достижения эффективности, соразмерности или выполнению сдерживающей функции.
Such requirements should however not hinder in practice the achievement of effectiveness, proportionality or dissuasiveness.
Более точное определение эффективности, соразмерности или сдерживающего эффекта будет впоследствии сформулировано на основе новой практики надзорных органов (как по защите данных, так и за счет уроков, извлеченных другими регулирующими органами), а также на основе прецедентного права при толковании вышеуказанных принципов.
A more precise determination of effectiveness, proportionality or dissuasiveness will be generated by emerging practice within supervisory authorities (on data protection, as well as lessons learned from other regulatory sectors) as well as case-law when interpreting these principles.
Чтобы наложить штрафы, которые являются эффективными, соразмерными и оказывающими сдерживающее воздействие, надзорный орган, для целей определения субъекта хозяйствования, должен, как это предусмотрено Судом ЕС, руководствоваться статьями 101 и 102 ДФЕС, в соответствии с которыми под субъектом хозяйствования понимается экономическая единица, которая может быть образована материнской компанией и всеми вовлеченными дочерними предприятиями. Согласно законодательству ЕС и прецедентной практике [4] под субъектом хозяйствования, в свою очередь, следует понимать экономическую единицу, осуществляющую коммерческую / экономическую деятельность, независимо от вовлеченного юридического лица (Преамбула 150).
In order to impose fines that are effective, proportionate and dissuasive, the supervisory authority shall use for the definition of the notion of an undertaking as provided for by the CJEU for the purposes of the application of Article 101 and 102 TFEU, namely that the concept of an undertaking is understood to mean an economic unit, which may be formed by the parent company and all involved subsidiaries. In accordance with EU law and case-law [4], an undertaking must be understood to be the economic unit, which engages in commercial/economic activities, regardless of the legal person involved (Recital 150).
[4] Определение прецедентного права Европейского суда таково: «понятие предприятия охватывает каждое юридическое лицо, осуществляющее экономическую деятельность, независимо от правового статуса юридического лица и способа его финансирования» (Дело Höfner and Elsner, параграф 21, ECLI: EU : C: 1991: 161). Под предприятием «следует понимать экономическую единицу, даже если по закону эта экономическая единица состоит из нескольких лиц, физических или юридических» (Case Confederación Española de Empresarios de Estaciones de Servicio [пункт 40, ECLI: EU: C: 2006: 784 ).
[4] The ECJ case law definition is: «the concept of an undertaking encompasses every entity engaged in an economic activity regardless of the legal status of the entity and the way in which it is financed” (Case Höfner and Elsner, para 21, ECLI:EU:C:1991:161). An undertaking «must be understood as designating an economic unit even if in law that economic unit consists of several persons, natural or legal» (Case Confederación Española de Empresarios de Estaciones de Servicio [para 40, ECLI:EU:C:2006:784).
3. Компетентный надзорный орган будет давать оценку «в каждом отдельном случае».
3. The competent supervisory authority will make an assessment “in each individual case”.
Административные штрафы могут быть наложены в порядке реагирования на широкий спектр нарушений. Статья 83 Регламента предусматривает унифицированный подход к нарушениям обязательств, прямо перечисленных в пунктах (4) — (6). Закон государства-члена может распространить действие статьи 83 на государственные органы и учреждения, созданные в этом государстве-члене. Кроме того, законодательство государства-члена может разрешить или даже обязать накладывать штраф за нарушение иных положений, помимо тех, что упомянуты в статье 83 (4) — (6).
Administrative fines may be imposed in response to a wide range of infringements. Article 83 of the Regulation provides a harmonized approach to breaches of obligations expressly listed in paras (4)-(6). Member State law may extend the application of article 83 to public authorities and bodies established in that Member State. Additionally, Member State law may allow for or even mandate the imposition of a fine for infringement of other provisions than those mentioned in article 83 (4)-(6).
Регламент требует проводить оценку каждого случая в частном (индивидуальном) порядке [5]. Статья 83 (2) является исходным пунктом для такой индивидуальной оценки. Так, в соответствии с этим пунктом «при решении вопроса о наложении административного взыскания и установлении его размера, в каждом индивидуальном случае необходимо принимать во внимание…» В этой связи, а также в свете Преамбулы 148 [6], надзорный орган несет ответственность за выбор наиболее подходящей меры (мер). При осуществлении такого выбора в случаях, предусмотренных статьей 83 (4) — (6), требуется рассмотреть все корректирующие меры, в том числе рассмотреть вопрос о наложении соответствующего административного штрафа, либо в дополнение к корректирующей мере, предусмотренной статьей 58 (2) либо в качестве самостоятельной меры.
The Regulation requires assessment of each case individually [5]. Article 83 (2) is the starting point for such an individual assessment. The paragraph states “when deciding whether to impose an administrative fine, and deciding on the amount of the administrative fine in each individual case due regard shall be given to the following…”Accordingly, and also in the light of Recital 148 [6] the supervisory authority has the responsibility of choosing the most appropriate measure(s). In the cases mentioned in Article 83 (4) – (6), this choice must include consideration of all of the corrective measures, which would include consideration of the imposition of the appropriate administrative fine, either accompanying a corrective measure under Article 58(2) or on its own.
[5] Помимо применения критериев статьи 83, существуют другие положения, закрепляющие такой подход, такие как:
[5] Further to the application of article 83 criteria there are other provisions to bolster the foundation of this approach such as:
— Преамбула 141 «Рассмотрение жалобы должно проводиться при условии судебного пересмотра в той мере, в какой это уместно в конкретном случае.»
— recital 141 “the investigation following a complaint should be carried out, subject to judicial review, to the extent that is appropriate in the specific case.”
— Преамбула 129 «Полномочия надзорных органов должны осуществляться беспристрастно, справедливо и в разумный срок в соответствии с процессуальными механизмами защиты, установленными в праве Союза или праве государства-члена. В частности, каждая мера должна быть конкретной, необходимой и соразмерной с точки зрения обеспечения соблюдения настоящего Регламента, учитывать обстоятельства каждого отдельного случая…»
— recital 129 “The powers of supervisory authorities should be exercised in accordance with appropriate procedural safeguards set out in Union and Member State law, impartially, fairly and within a reasonable time. In particular each measure should be appropriate, necessary and proportionate in view of ensuring compliance with this Regulation, taking into account the circumstances of each individual case…”.
— статья 57(1) (f) «рассматривать жалобы, поданные субъектом данных или органом, организацией, либо ассоциацией в соответствии в соответствии со Статьей 80, а также разбирать, в тех случаях, когда это уместно, предмет жалобы»
— article 57(1) (f) “handle complaints lodged by a data subject, or by a body, organisation or association in accordance with article 8, and investigate to the extent appropriate, the subject matter of the complaint.”
[6] «Для того, чтобы усилить исполнение норм настоящего Регламента, санкции (в том числе административные штрафы) должны налагаться за любое нарушение настоящего Регламента, в дополнение или вместо соответствующих мер, налагаемых надзорным органом согласно настоящему Регламенту. В случае если нарушение незначительное или если наложение штрафа несоразмерно нарушению физического лица, вместо штрафа может быть объявлен выговор. Однако следует принимать во внимание характер, тяжесть и продолжительность нарушения, преднамеренный характер нарушения, меры, принятые для смягчения нанесенного ущерба, степень ответственности или любые другие ранее совершенные нарушения, способ, посредством которого надзорному органу стало известно о нарушении, соблюдение мер, принятых в отношении контролёра или процессора, соблюдение кодексов поведения, а также любые иные отягчающие или смягчающие вину обстоятельства. Для назначения наказания, в том числе для наложения административных штрафов, необходимо наличие соответствующих процедурных механизмов защиты в соответствии с общими принципами права ЕС и Хартии, включая эффективную судебную защиту и надлежащую правовую процедуру.»
[6] “In order to strengthen the enforcement of the rules of this Regulation, penalties including administrative fines should be imposed for any infringement of this Regulation, in addition to, or instead of appropriate measures imposed by the supervisory authority pursuant to this Regulation. In a case of a minor infringement or if the fine likely to be imposed would constitute a disproportionate burden to a natural person, a reprimand may be issued instead of a fine. Due regard should however be given to the nature, gravity and duration of the infringement, the intentional character of the infringement, actions taken to mitigate the damage suffered, degree of responsibility or any relevant previous infringements, the manner in which the infringement became known to the supervisory authority, compliance with measures ordered against the controller or processor, adherence to a code of conduct and any other aggravating or mitigating factor. The imposition of penalties including administrative fines should be subject to appropriate procedural safeguards in accordance with the general principles of Union law and the Charter, including effective judicial protection and due process”.
Штрафы являются важным инструментом, который в определенных обстоятельствах подлежит использованию надзорными органами. Для того, чтобы реакция на правонарушение была не только эффективной и выполняла сдерживающую функцию, но и соразмерной правонарушению, надзорным органам рекомендуется подходить взвешенно и сбалансированно к использованию корректирующих мер. Суть в том, чтобы, с одной стороны, не рассматривать штрафы в качестве крайней меры и не избегать их наложения, но с другой стороны, не использовать их таким образом, который будет способствовать обесцениванию их эффективности как инструмента.
Fines are an important tool that supervisory authorities should use in appropriate circumstances. The supervisory authorities are encouraged to use a considered and balanced approach in their use of corrective measures, in order to achieve both an effective and dissuasive as well as a proportionate reaction to the breach. The point is to not qualify the fines as last resort, nor to shy away from issuing fines, but on the other hand not to use them in such a way which would devalue their effectiveness as a tool.
EDPB, обладая компетенцией согласно статье 65 Регламента, будет выносить обязательное решение по спорам между властями, касающимся, в частности, установления факта наличия правонарушения. Когда надлежащее и обоснованное возражение содержит в себе вопрос, касающийся соответствия корректирующей меры GDPR, в решении EDPB также будет рассматриваться вопрос о соответствии наложенного административного штрафа, предложенного проектом решения компетентного надзорного органа, принципам эффективности, соразмерности и сдерживания. Вопрос о виде решения, которое будет принято EDPB, будет рассмотрен более подробно в руководстве EDPB по применению статьи 65 Регламента.
The EDPB, when competent according to article 65 of the Regulation, will issue a binding decision on disputes between authorities relating in particular to the determination of the existence of an infringement. When the relevant and reasoned objection raises the issue of the compliance of the corrective measure with the GDPR, the decision of EDPB will also discuss how the principles of effectiveness, proportionality and deterrence are observed in the administrative fine proposed in the draft decision of the competent supervisory authority . EDPB guidance on the application of article 65 of the Regulation will follow separately for further detail on the type of decision to be taken by the EDPB.
4. Унифицированный подход к административным штрафам в области защиты данных требует активного участия надзорных органов и обмена информацией между ними.
4. A harmonized approach to administrative fines in the field of data protection requires active participation and information exchange among Supervisory Authorities
В настоящих руководствах не отрицается тот факт, что полномочия по наложению штрафов для некоторых национальных надзорных органов являются новшеством в области защиты данных, в связи с чем возникают многочисленные вопросы с точки зрения ресурсов, организации и процедуры. В особенности тот факт, что решения, в которых надзорные органы осуществляют предоставленные им полномочия по наложению штрафов, могут быть обжалованы в национальных судах.
These guidelines acknowledge that fining powers represent for some national supervisory authorities a novelty in the field of data protection, raising numerous issues in terms of resources, organization and procedure. Notably, the decisions in which the supervisory authorities exercise the fining powers conferred to them will be subject to appeal before national courts.
В целях поддержания формального и неформального обмена информацией, надзорные органы обязаны сотрудничать друг с другом и, насколько это уместно, с Европейской комиссией, посредством механизмов сотрудничества, изложенных в Регламенте, к примеру, путем проведения регулярных семинаров. Данное сотрудничество будет осуществляться на основе их опыта, а также существующей практики применения штрафных санкций, чтобы в конечном итоге добиться большей согласованности.
Supervisory authorities shall cooperate with each other and where relevant, with the European Commission through the cooperation mechanisms as set out in the Regulation in order to support formal and informal information exchanges, such as through regular workshops. This cooperation would focus on their experience and practice in the application of the fining powers to ultimately achieve greater consistency.
Такой обмен информацией прежде всего направлен на упреждение, что, в дополнение к появляющимся прецедентам по использованию этих полномочий, может привести к пересмотру принципов или конкретных пунктов настоящего руководства.
This proactive information sharing, in addition to emerging case law on the use of these powers, may lead to the principles or the particular details of these guidelines being revisited.
Статье 83 (2) содержит список критериев, которые подлежат использованию надзорными органами при оценке как необходимости наложения штрафа, так и его размера. Однако это не предполагает повторную оценку одних и тех же критериев, но лишь комплексную оценку, которая учитывает все обстоятельства каждого отдельного случая, как это предусмотрено статьей 83 [7].
Article 83 (2) provides a list of criteria the supervisory authorities are expected to use in the assessment both of whether a fine should be imposed and of the amount of the fine. This does not recommend a repeated assessment of the same criteria, but an assessment that takes into account all the circumstances of each individual case, as provided by article 83 [7].
[7] Оценка применяемой санкции может производиться отдельно после оценки того, имело ли место нарушение из-за внутригосударственных процессуальных норм, вытекающих из конституционных требований в некоторых странах. Таким образом, это может ограничить содержание и степень детализации проекта решения, выпущенном ведущим надзорным органом в таких странах.
[7] The assessment of the sanction to be applied may come separately after the assessment of whether there has been an infringement due to national procedural rules arising from constitutional requirements in some countries. Therefore, this may limit the content and the amount of detail in a draft decision issued by lead supervisory authority in such countries.
Выводы, сделанные на первом этапе оценки, могут быть использованы на втором ее этапе при определении суммы штрафа, что позволит избежать необходимости дважды оценивать одни и те же критерии.
The conclusions reached in the first stage of the assessment may be used in the second part concerning the amount of the fine, thereby avoiding the need to assess using the same criteria twice.
В этом разделе содержится руководство для надзорных органов относительно того, как интерпретировать отдельные факты дела в свете критериев, предусмотренных статьей 83 (2).
This section provides guidance for the supervisory authorities of how to interpret the individual facts of the case in the light of the criteria in article 83 (2).
(a) характер, степень тяжести и продолжительность правонарушения
(a) the nature, gravity and duration of the infringement
Согласно Регламенту, практически все обязательства контролеров и процессоров классифицируются в соответствии с их характером в положениях статьи 83 (4) — (6). Установление Регламентом двух различных максимальных размеров административного штрафа (10/20 миллионов евро) уже свидетельствует о том, что нарушение некоторых положений Регламента может быть более серьезным, нежели нарушение иных его положений. Однако, оценивая обстоятельства конкретного дела в свете общих критериев, предусмотренных статьей 83 (2), компетентный надзорный орган может постановить, что в данном конкретном случае существует более или, напротив, менее острая необходимость реагирования на правонарушение с помощью такой корректирующей меры как штраф. Если же штраф был выбран в качестве единственной или одной из нескольких соответствующих корректирующих мер, для определения максимального размера штрафа, который может быть наложен в соответствии с характером рассматриваемого правонарушения будет применяться многоуровневая система, предусмотренная Регламентом (статьи 83 (4) — 83 (6)).
Almost all of the obligations of the controllers and processors according to the Regulation are categorised according to their nature in the provisions of article 83(4) – (6) . The Regulation, in setting up two different maximum amounts of administrative fine (10/20 million Euros), already indicates that a breach of some provisions of the Regulation may be more serious than for other provisions. However the competent supervisory authority, by assessing the facts of the case in light of the general criteria provided in article 83 (2), may decide that in the particular case there is a higher or a more reduced need to react with a corrective measure in the form of a fine. Where a fine has been chosen as the one or one of several appropriate corrective measure(s), the tiering system of the Regulation (article 83 (4)- 83 (6)) will be applied in order to identify the maximum fine that can be imposed according to the nature of the infringement in question.
Преамбула 148 вводит понятие «незначительные нарушения». Такие нарушения могут представлять собой нарушения одного или нескольких положений Регламента, перечисленных в статье 83 (4) или (5). В то же время, статья 83 (2), содержащая критерии оценки правонарушения, может быть истолкована надзорными органами так, что в конкретных обстоятельствах дела, к примеру, нарушение не представляет значительного риска для прав заинтересованных субъектов данных и не влияет на сущность рассматриваемого обязательства. В таких случаях штраф может (но не всегда) быть заменен выговором.
Recital 148 introduces the notion of “minor infringements”. Such infringements may constitute breaches of one or several of the Regulation’s provisions listed in article 83 (4) or (5). The assessment of the criteria in article 83 (2) may however lead the supervisory authority to believe that in the concrete circumstances of the case, the breach for example, does not pose a significant risk to the rights of the data subjects concerned and does not affect the essence of the obligation in question. In such cases, the fine may (but not always) be replaced by a reprimand.
Преамбула 148 не закрепляет обязательство надзорного органа всегда заменять штраф выговором в случае незначительного нарушения («вместо штрафа может быть объявлен выговор»), а скорее оставляет такую возможность после конкретной оценки всех обстоятельств дела.
Recital 148 does not contain an obligation for the supervisory authority to always replace a fine by a reprimand in the case of a minor infringement (“a reprimand may be issued instead of a fine”), but rather a possibility that is at hand, following a concrete assessment of all the circumstances of the case.
Преамбула 148 также оставляет возможность замены штрафа выговором, если контролером данных является физическое лицо, и штраф, который, вероятно, будет наложен, будет представлять собой несоразмерное бремя для него. Исходным пунктом является то, что надзорный орган должен оценить, требуется ли наложение штрафа с учетом обстоятельств рассматриваемого дела. Если он принимает решение в пользу наложения штрафа, надзорный орган должен также оценить, не будет ли наложенный штраф непропорционально тяжким бременем для физического лица.
Recital 148 opens up the same possibility to replace a fine by a reprimand , where the data controller is a natural person and the fine likely to be imposed would constitute a disproportionate burden. The starting point is that the supervisory authority has to assess whether, considering the circumstances of the case at hand, the imposition of a fine is required. If it finds in favour of imposing a fine, then the supervisory authority must also assess whether the fine to be imposed would constitute a disproportionate burden to a natural person.
Регламент не содержит конкретных сумм штрафов для конкретных правонарушений, а лишь содержит верхний предел суммы штрафа (максимальная сумма). Это может свидетельствовать об относительно более низкой степени тяжести нарушения обязательств, перечисленных в статье 83(4), по сравнению с обязательствами, изложенными в статье 83(5). Между тем, эффективная, соразмерная и сдерживающая реакция на нарушение статьи 83(5) будет зависеть от обстоятельств дела.
Specific infringements are not given a specific price tag in the Regulation, only a cap (maximum amount). This can be indicative of a relative lower degree of gravity for a breach of obligations listed in article 83(4), compared with those set out in article 83(5). The effective, proportionate and dissuasive reaction to a breach of article 83(5) will however depend on the circumstances of the case.
Следует отметить, что нарушения Регламента, которые по своему характеру могут подпадать под категорию «до 10 миллионов евро или до 2
• потребовать от контролёра или процессора удовлетворения запроса субъекта данных относительно осуществления его прав согласно настоящему Регламенту;
• to order the controller or the processor to comply with the data subject’s requests to exercise his or her rights pursuant to this Regulation;
• потребовать, при необходимости, от контролёра или процессора приведения процесса обработки данных в соответствие с положениями настоящего Регламента в установленном порядке и в установленный срок;
• to order the controller or processor to bring processing operations into compliance with the provisions of this Regulation, where appropriate, in a specified manner and within a specified period;
• потребовать, чтобы контролёр сообщил субъекту данных о нарушении безопасности персональных данных;
• to order the controller to communicate a personal data breach to the data subject;
• наложить временное или окончательное ограничение на обработку данных, включая запрет обработки;
• to impose a temporary or definitive limitation including a ban on processing
• потребовать исправления или уничтожения персональных данных, или ограничения обработки согласно Статьям 16, 17 и 18, а также уведомления об указанных действиях получателей, которым были раскрыты персональные данные согласно Статье 17 (2) и Статье 19;
• to order the rectification or erasure of personal data or restriction of processing pursuant to Articles 16, 17 and 18 and the notification of such actions to recipients to whom the personal data have been disclosed pursuant to Article 17(2) and Article 19;
• отозвать сертификат, или потребовать от сертификационного органа отзыва сертификата, предоставленного согласно Статьям 42 и 43, или потребовать, чтобы сертификационный орган не выдавал сертификат, если требования для сертификации не выполняются или больше не выполняются;
• to order the certification body to withdraw a certification issued pursuant to Articles 42 and 43, or to order the certification body not to issue certification if the requirements for the certification are not or are no longer met;
• потребовать приостановить передачу данных получателю в третьей стране или международной организации.
• to order the suspension of data flows to a recipient in a third country or to an international organisation.
[9] При применении статьи 83(6) обязательно необходимо учитывать национальное процессуальное право. Национальное законодательство определяет, как выдается приказ, как о нем уведомляют, с какого момента он вступает в силу, есть ли льготный период для работы над его соблюдением. В частности, следует учитывать влияние апелляции на возможность принудительного исполнения постановления.
[9] Application of article 83(6) necessarily must take into account national law on procedure. National law determines how an order is issued, how it is notified, from which point it takes effect, whether there is a grace period to work on compliance. Notably, the effect of an appeal on the enforceability of an order should be taken into account.
[10] Законодательные положения, содержащие ограничения, могут привести к тому, что предыдущее распоряжение надзорного органа больше не сможет приниматься во внимание из-за количества времени, прошедшего с момента выдачи предыдущего распоряжения. В некоторых юрисдикциях правила требуют, чтобы штраф за несоблюдение приказа в соответствии со статьей 83(6) не мог налагаться по истечении срока давности этого приказа. Каждый надзорный орган в каждой юрисдикции должен будет определить, как такое воздействие повлияет на них.
[10] Statutory provisions of limitation may have the effect that a previous order of the supervisory authority may no longer be taken in to consideration due to the amount of time that has lapsed since that previous order was issued. In some jurisdictions, rules require that after the prescription period has passed with respect to an order, no fine may be imposed for non-compliance with that order under article 83(6). It will be up to each supervisory authority in each jurisdiction to determine how such impacts will affect them.
Приведенные ниже факторы подлежат оценке в совокупности, например, количество субъектов данных вместе с возможным воздействием на них.
The factors below should be assessed in combination eg. the number of data subjects together with the possible impact on them.
Чтобы определить, является ли правонарушение единичным, признаком более системного правонарушения или же признаком отсутствия надлежащих процедур, следует оценить количество вовлеченных в него субъектов данных. Это не означает, что единичные случаи не должны пресекаться, поскольку такие случаи все же могут затронуть множество субъектов данных. В зависимости от обстоятельств дела, это будет относиться, например, к общему количеству зарегистрировавшихся в рассматриваемой базе данных, количеству потребителей услуги, к количеству клиентов или к количеству населения страны.
The number of data subjects involved should be assessed, in order to identify whether this is an isolated event or symptomatic of a more systemic breach or lack of adequate routines in place. This is not to say that isolated events should not be enforceable, as an isolated event could still affect a lot of data subjects. This will, depending on the circumstances of the case, be relative to, for example, the total number of registrants in the database in question, the number of users of a service, the number of customers, or in relation to the population of the country, as appropriate.
Цель обработки данных также подлежит оценке. В заключении WP 29 об «ограничении целей» [11] ранее были проанализированы два основных составных элемента этого принципа в законе о защите данных: определение цели и совместимое использование. При оценке цели обработки данных в контексте статьи 83 (2) надзорным органам надлежит изучить, насколько обработка соответствует двум ключевым компонентам вышеуказанного принципа [12]. В определенных ситуациях надзорный орган может счесть необходимым более глубоко проанализировать цели самой обработки данных в контексте статьи 83 (2).
The purpose of the processing must also be assessed. The WP 29 opinion on “purpose limitation” [11] previously analysed the two main building blocks of this principle in data protection law: purpose specification and compatible use. When assessing the purpose of the processing in the context of article 83 (2), the supervisory authorities should look into the extent to which the processing upholds the two key components of this principle [12]. In certain situations, the supervisory authority might find it necessary to factor in a deeper analysis of the purpose of the processing in itself in the analysis of article 83 (2).
[11] WP 203, Мнение 03/2013 об ограничении цели, доступен по ссылке: http://ec.europa.eu/justice/data- protection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf
[11] WP 203 , Opinion 03/2013 on purpose limitation, available at: http://ec.europa.eu/justice/data- protection/article-29/documentation/opinion-recommendation/files/2013/wp203_en.pdf
[12] См. Также Wp 217, мнение 6/2014 о понятии легитимного интереса контроллера данных в соответствии со статьей 7, стр. 24, по вопросу: «Что делает интерес« законным »или« незаконным »?»
[12] See also Wp 217, opinion 6/2014 on the notion of legitimate interest of the data controller under article 7, page 24, on the question: “What makes an interest “legitimate” or “illegitimate”?”
Если субъекты данных понесли ущерб, необходимо учесть масштаб этого ущерба. Обработка персональных данных может создавать риски для прав и свобод человека, как отмечено в преамбуле 75:
If the data subjects have suffered damage, the level of the damage has to be taken into consideration. Processing of personal data may generate risks for the rights and freedoms of the individual, as illustrated by recital 75:
«Риск для прав и свобод физических лиц разной степени вероятности и серьезности может возникать в результате обработки персональных данных, которая может привести к физическому, материальному или нематериальному ущербу, в частности, в случаях, когда обработка может вызвать дискриминацию, кражу личности или ее мошенническое использование, финансовые потери, ущерб для репутации, нарушение конфиденциальности персональных данных, находящихся под защитой профессиональной тайны, несанкционированную отмену псевдонимизации, или создать другие значительные экономические или социальные проблемы; в случаях, когда субъекты данных могут быть лишены своих прав и свобод или возможности осуществлять контроль над своими персональными данными; в случаях, когда обрабатываются персональные данные, которые раскрывают расовое или этническое происхождение, политические убеждения, религиозные и философские воззрения, членство в профессиональных союзах, а также когда обрабатываются генетические данные, данные, касающиеся здоровья, данные о сексуальной жизни, уголовных судимостях и правонарушениях или о связанных с ними мерах безопасности; в случаях, когда оцениваются персональные аспекты, в частности, анализируются или прогнозируются аспекты, касающихся трудовых показателей, экономической ситуации, здоровья, личных предпочтений, интересов, благонадёжности, поведения, местонахождения или передвижения, в целях создания или использования персональных профилей; в случаях, когда обрабатываются персональные данные слабозащищённых физических лиц, в частности, детей; или в случаях, когда обработка охватывает большое количество персональных данных и затрагивает большое количество субъектов данных.»
“The risk to the rights and freedoms of natural persons, of varying likelihood and severity, may result from personal data processing which could lead to physical, material or non- material damage, in particular: where the processing may give rise to discrimination, identity theft or fraud, financial loss, damage to the reputation, loss of confidentiality of personal data protected by professional secrecy, unauthorised reversal of pseudonymisation, or any other significant economic or social disadvantage; where data subjects might be deprived of their rights and freedoms or prevented from exercising control over their personal data; where personal data are processed which reveal racial or ethnic origin, political opinions, religion or philosophical beliefs, trade union membership, and the processing of genetic data, data concerning health or data concerning sex life or criminal convictions and offences or related security measures; where personal aspects are evaluated, in particular analysing or predicting aspects concerning performance at work, economic situation, health, personal preferences or interests, reliability or behaviour, location or movements, in order to create or use personal profiles; where personal data of vulnerable natural persons, in particular of children, are processed; or where processing involves a large amount of personal data and affects a large number of data subjects.”
Хотя присуждение конкретной компенсации за понесенный ущерб находится не в компетенции надзорного органа, если ущерб был или может быть понесен в результате нарушения Регламента, надзорный орган должен принять это во внимание при выборе корректирующих мер.
If damages have been or are likely to be suffered due to the infringement of the Regulation then the supervisory authority should take this into account in its choice of corrective measure, although the supervisory authority itself is not competent to award the specific compensation for the damage suffered.
Наложение штрафа не зависит от способности надзорного органа установить причинную связь между совершенным нарушением и материальным ущербом (см., к примеру, статью 83(6)).
The imposition of a fine is not dependent on the ability of the supervisory authority to establish a causal link between the breach and the material loss (see for example article 83 (6)).
Продолжительность нарушения может свидетельствовать, к примеру, о:
Duration of the infringement may be illustrative of, for example:
a) умышленные действия со стороны контроллера данных, или
a) wilful conduct on the data controller’s part, or
b) непринятие соответствующих превентивных мер, или
b) failure to take appropriate preventive measures, or
c) неспособность принять необходимые технические и организационные меры.
c) inability to put in place the required technical and organisational measures.
(b) умышленный или небрежный характер нарушения
(b) the intentional or negligent character of the infringement
В целом, «умысел» включает в себя как осведомленность, так и сознательность в отношении характеристик правонарушения, тогда как «непреднамеренность» предполагает отсутствие намерения совершить правонарушение, хотя контролер / процессор нарушил обязанность проявлять предусмотрительность, которой требует закон.
In general, “intent” includes both knowledge and wilfulness in relation to the characteristics of an offence, whereas “unintentional” means that there was no intention to cause the infringement although the controller/processor breached the duty of care which is required in the law.
Как правило, признается, что умышленные нарушения, демонстрирующие пренебрежение к положениям закона, являются более серьезными, нежели непреднамеренные, поэтому, при совершении таковых, вероятность наложения административного штрафа будет более высокой. Соответствующие выводы об умысле или халатности будут сделаны на основе выявленных, исходя из собранных фактов дела, объективных элементов поведения. Кроме того, возникающая прецедентная практика и практика в области защиты данных при применении Регламента будут свидетельствовать о наличии обстоятельств, устанавливающих более четкие пороговые значения для оценки того, было ли нарушение преднамеренным.
It is generally admitted that intentional breaches, demonstrating contempt for the provisions of the law, are more severe than unintentional ones and therefore may be more likely to warrant the application of an administrative fine. The relevant conclusions about wilfulness or negligence will be drawn on the basis of identifying objective elements of conduct gathered from the facts of the case. In addition, emergent case law and practice in the field of data protection under the application of the Regulation will be illustrative of circumstances indicating clearer thresholds for assessing whether a breach was intentional.
В качестве примеров обстоятельств, указывающих на умышленный характер нарушения, можно рассматривать незаконную обработку данных, явным образом санкционированную высшим руководящим звеном контролера, или осуществленную вопреки совету должностного лица по защите данных; а также игнорирование существующих стратегий, к примеру, получение и обработка данных о сотрудниках конкурента с намерением дискредитировать этого конкурента на рынке.
Circumstances indicative of intentional breaches might be unlawful processing authorised explicitly by the top management hierarchy of the controller, or in spite of advice from the data protection officer or in disregard for existing policies, for example obtaining and processing data about employees at a competitor with an intention to discredit that competitor in the market.
Иными примерами обстоятельств, указывающих на наличие умысла, могут служить:
Other examples here might be:
• изменение персональных данных для создания ложного (положительного) представления о том, были ли достигнуты определенные цели — мы видели это в контексте целевых показателей времени ожидания в больнице
• amending personal data to give a misleading (positive) impression about whether targets have been met – we have seen this in the context of targets for hospital waiting times
• торговля персональными данными в маркетинговых целях, то есть продажа данных по «предпочтению» без проверки / без учета мнений субъектов данных о том, как их данные должны использоваться
• the trade of personal data for marketing purpose ie selling data as ‘opted in’ without checking/disregarding data subjects’ views about how their data should be used
На небрежный характер нарушения могут указывать такие обстоятельства как несоблюдение существующих стратегий, человеческий фактор (ошибка), неспособность произвести проверку опубликованной информации на предмет наличия в ней персональных данных, несвоевременное применение технических обновлений, непринятие стратегий (а не просто неприменение их).
Other circumstances, such as failure to read and abide by existing policies, human error, failure to check for personal data in information published, failure to apply technical updates in a timely manner, failure to adopt policies (rather than simply failure to apply them)may be indicative of negligence.
Предприятия должны нести ответственность за принятие структур и ресурсов, соответствующих характеру и сложности их бизнеса. Таким образом, контроллеры и процессоры не могут оправдывать нарушения закона о защите данных нехваткой ресурсов. В соответствии с Регламентом процедуры и документирование операций по обработке данных основаны на подходе, основанном на учете возможных рисков.
Enterprises should be responsible for adopting structures and resources adequate to the nature and complexity of their business. As such, controllers and processors cannot legitimise breaches of data protection law by claiming a shortage of resources. Routines and documentation of processing activities follow a risk-based approach according to the Regulation.
На данный момент существует ряд неясностей, который окажет влияние на принятие решений относительно того, вводить ли определенную корректирующую меру или нет, и властям может потребоваться провести более обширное расследование, чтобы установить факты дела и убедиться, что все конкретные обстоятельства каждого отдельного случая были учтены.
There are grey areas which will affect decision-making in relation to whether or not to impose a corrective measure and the authority may need to do more extensive investigation to ascertain the facts of the case and to ensure that all specific circumstances of each individual case were sufficiently taken into account.
(c) любые действия, предпринятые контроллером или процессором уменьшения ущерба, понесенного субъектами данных;
(c) any action taken by the controller or processor to mitigate the damage suffered by data subjects;
Контроллеры и процессоры данных обязаны внедрять технические и организационные меры для обеспечения уровня безопасности, соразмерного риску, проводить оценку воздействия защиты данных и снижать риски нарушения прав и свобод людей, возникающие при обработке персональных данных. Однако, когда нарушение все же происходит и причиняет ущерб субъекту данных, ответственная сторона должна сделать все возможное, чтобы уменьшить последствия нарушения для соответствующего лица (лиц). Такое ответственное поведение (или его отсутствие) будет приниматься во внимание надзорным органом при выборе корректирующих мер, а также при расчете санкций, которые будут наложены в конкретном случае.
The data controllers and processors have an obligation to implement technical and organisational measures to ensure a level of security appropriate to the risk, to carry out data protection impact assessments and mitigate risks arising form the processing of personal data to the rights and freedoms of the individuals. However, when a breach occurs and the data subject has suffered damage, the responsible party should do whatever they can do in order to reduce the consequences of the breach for the individual(s) concerned. Such responsible behaviour (or the lack of it) would be taken into account by the supervisory authority in their choice of corrective measure(s) as well as in the calculation of the sanction to be imposed in the specific case.
Хотя отягчающие и смягчающие обстоятельства являются особенно подходящими для целей расчета точной суммы штрафа, соответствующей конкретным обстоятельствам дела, все же не следует недооценивать их роль в выборе соответствующей корректирующей меры. В случаях, когда оценка, основанная на других критериях, оставляет у надзорного органа сомнения в целесообразности наложения административного штрафа в качестве отдельной корректирующей меры или в сочетании с другими мерами, предусмотренными в статье 58, такие отягчающие или смягчающие обстоятельства могут помочь в выборе подходящей меры, склоняя тем самым чашу весов к тому, что оказывается более эффективным, соразмерным и сдерживающим в данном случае.
Although aggravating and mitigating factors are particularly suited to fine-tune the amount of a fine to the particular circumstances of the case, their role in the choice of appropriate corrective measure should not be underestimated. In cases where the assessment based on other criteria leaves the supervisory authority in doubt about the appropriateness of an administrative fine, as a standalone corrective measure, or in combination with other measures in article 58, such aggravating or attenuating circumstances may help to choose the appropriate measures by tipping the balance in favour of what proves more effective, proportionate and dissuasive in the given case.
Это положение действует как оценка степени ответственности контролера после того, как нарушение произошло. Оно может охватывать случаи, когда контроллер / процессор явно не действовал безрассудного / небрежно, но, когда им стало известно о нарушении, сделали все возможное, чтобы исправить положение.
This provision acts as an assessment of the degree of responsibility of the controller after the infringement has occurred. It may cover cases where the controller/processor has clearly not taken a reckless/ negligent approach but where they have done all they can to correct their actions when they became aware of the infringement.
Опыт SA в области регулирования, в соответствии с Директивой 95/46/EC, ранее показал, что может быть целесообразно проявить некоторую степень гибкости в отношении тех контроллеров / процессоров данных, которые признали свое нарушение и взяли на себя ответственность за исправление или ограничение негативных последствий своих действий. Это может включать такие примеры, как (хотя это не приведет к более гибкому подходу в каждом случае):
Regulatory experience from SAs under the 95/46/EC Directive has previously shown that it can be appropriate to show some degree of flexibility to those data controllers/processors who have admitted to their infringement and taken responsibility to correct or limit the impact of their actions. This might include examples such as (although this would not lead to a more flexible approach in every case):
• связь с другими контроллерами / процессорами, которые могли быть вовлечены в расширение обработки, например если часть данных была ошибочно передана третьим лицам.
• contacting other controllers/processors who may have been involved in an extension of the processing e.g. if there has been a piece of data mistakenly shared with third parties.
• своевременные действия, предпринятые контроллером / процессором данных в целях предотвращения продолжения или усугубления нарушения до той степени или стадии, при которой их последствия были бы гораздо более серьезными, нежели те, что наступили.
• timely action taken by the data controller/processor to stop the infringement from continuing or expanding to a level or phase which would have had a far more serious impact than it did.
(d) степень ответственности контролера или процессора с учетом технических и организационных мер, реализованных ими в соответствии со Статьями 25 и 32;
(d) the degree of responsibility of the controller or processor taking into account technical and organisational measures implemented by them pursuant to Articles 25 and 32;
Посредством Регламента был введен гораздо более высокий уровень ответственности контроллера данных по сравнению с Директивой ЕС о защите данных 95/46/EC.
The Regulation has introduced a far greater level of accountability of the data controller in comparison with the EC Data Protection Directive 95/46/EC.
Степень ответственности контролера или процессора, оцениваемая с учетом применения соответствующих корректирующих мер, может включать:
The degree of responsibility of the controller or processor assessed against the backdrop of applying an appropriate corrective measure may include:
• Принял ли контролер технические меры, которые соответствуют принципам защиты данных, спроектированные или по умолчанию (статья 25)?
• Has the controller implemented technical measures that follow the principles of data protection by design or by default (article 25)?
• Принял ли контролер организационные меры, обеспечивающие соблюдение принципов защиты данных, спроектированные и по умолчанию (статья 25) на всех уровнях организации?
• Has the controller implemented organisational measures that give effect to the principles of data protection by design and by default (article 25) at all levels of the organisation?
• Обеспечивает ли контроллер / процессор надлежащий уровень безопасности (статья 32)?
• Has the controller/processor implemented an appropriate level of security (article 32)?
• Известны ли соответствующие процедуры / стратегии защиты данных и применяются ли они на надлежащем уровне управления в организации? (Статья 24).
• Are the relevant data protection routines/policies known and applied at the appropriate level of management in the organisation? (Article 24).
Статьи 25 и 32 Регламента требуют, чтобы контролеры «принимать во внимание текущий уровень научно-технического прогресса, стоимость внедрения и характер, масштабы, контекст и цели обработки, а также риски, возникающие в ходе обработки, связанные с той или иной вероятностью и серьезностью нарушения прав и свобод физических лиц». Эти положения, по сути своей, не являются обязательством результата, а скорее представляют собой обязательства поведения, то есть контролер должен провести необходимые оценки и сделать соответствующие выводы. Вопрос, на который надзорный орган должен затем ответить, заключается в том, в какой степени контролер «сделал то, что от него можно было ожидать», учитывая характер, цели или размер обработки, рассматриваемые в свете обязательств, налагаемых на них Регламентом.
Article 25 and article 32 of the Regulation require that the controllers “take into account the state of the art, the cost of implementation and the nature, scope, context, and purposes of the processing, as well as the risks of varying likelihood and severity for rights and freedoms for the natural persons posed by the processing”. Rather than being an obligation of goal, these provisions introduce obligations of means, that is, the controller must make the necessary assessments and reach the appropriate conclusions. The question that the supervisory authority must then answer is to what extent the controller “did what it could be expected to do” given the nature, the purposes or the size of the processing, seen in light of the obligations imposed on them by the Regulation.
При осуществлении этой оценки следует должным образом учитывать любые процедуры или методы «наилучшей практики», если они существуют и применяются. Важно учитывать отраслевые стандарты, а также кодексы поведения в соответствующей области или профессии. Своды правил могут указывать на то, что является общепринятой практикой в данной области, и указывать уровень знаний о различных средствах решения типовых проблем безопасности, связанных с обработкой.
In this assessment, due account should be taken of any “best practice” procedures or methods where these exist and apply. Industry standards, as well as codes of conduct in the respective field or profession are important to take into account. Codes of practice might give an indication as to what is common practice in the field and an indication of the level of knowledge about different means to address typical security issues associated with the processing.
Хотя, в целом, наиболее предпочтительно было бы придерживаться наилучшей практики, в то же время, при оценке степени ответственности необходимо учитывать особые обстоятельства каждого отдельного случая.
While best practice should be the ideal to pursue in general, the special circumstances of each individual casemust be taken into account when making the assessment of the degree of responsibility.
(e) любые соответствующие предыдущие нарушения, совершенные контролером или процессором;
(e) any relevant previous infringements by the controller or processor;
Этот критерий предназначен для оценки репутации организации, совершившей нарушение. Надзорным органам следует учитывать, что масштаб оценки в данном случае может быть довольно обширным, поскольку любой вид нарушения Регламента, хотя и отличается по своему характеру от того, которое сейчас расследуется надзорным органом, может быть «актуальным» для оценки, поскольку может свидетельствовать об общем уровне недостаточных знаний или несоблюдении правил защиты данных.
This criterion is meant to assess the track record of the entity committing the infringement. Supervisory authorities should consider that the scope of the assessment here can be quite wide because any type of breach of the Regulation, though different in nature to the one being investigated now by the supervisory authority might be “relevant” for the assessment, as it could be indicative of a general level of insufficient knowledge or disregard for the data protection rules.
• Совершал ли контроллер / процессор ранее аналогичное нарушение?
• Has the controller/processor committed the same infringement earlier?
• Нарушил ли контролер / процессор Регламент таким же образом? (например, в результате недостаточного знания существующих процедур в организации или вследствие ненадлежащей оценки рисков, несвоевременного реагирования на запросы от субъекта данных, неоправданной задержки ответа на запросы и так далее).
• Has the controller/ processor committed an infringement of the Regulation in the same manner? (for example as a consequence of insufficient knowledge of existing routines in the organisation, or as a consequence of inappropriate risk assessment, not being responsive to requests from the data subject in a timely manner, unjustified delay in responding to requests and so on).
(f) степень сотрудничества с надзорным органом для устранения нарушения и смягчения возможных неблагоприятных последствий нарушения;
(f) the degree of cooperation with the supervisory authority, in order to remedy the infringement and mitigate the possible adverse effects of the infringement;
В статье 83(2) предусматривается, что степень сотрудничества может быть «должным образом учтена» при решении вопроса о наложении административного штрафа и при определении его размера. Регламент не дает точного ответа на вопрос, каким образом усилия контролеров или процессоров по устранению нарушения, уже установленного надзорным органом, должны быть учтены. Более того, очевидным представляется тот факт, что соответствующие критерии обычно применялись бы при расчете суммы налагаемого штрафа.
Article 83 (2) provides that the degree of cooperation may be given “due regard” when deciding whether to impose an administrative fine and in deciding on the amount of the fine. The Regulation does not give a precise answer to the question how to take into account the efforts of the controllers or the processors to remedy an infringement already established by the supervisory authority. Moreover, it is clear that the criteria would usually be applied when calculating the amount of the fine to be imposed.
Однако, если вмешательство контролера привело к тому, что неблагоприятные последствия для прав людей не наступили или имели более ограниченное воздействие, чем могли бы в противном случае, факт такого вмешательства также может быть принят во внимание при выборе корректирующих мер, которые пропорциональны в каждом индивидуальном случае.
However, where intervention of the controller has had the effect that negative consequences on the rights of the individuals did not produce or had a more limited impact than they could have otherwise done, this could also be taken into account in the choice of corrective measure that is proportionate in the individual case.
Одним из примеров случаев сотрудничества с надзорным органом может быть следующий случай:
One example of a case where cooperation with the supervisory authority might be relevant to consider might be:
• Отреагировала ли организация определенным образом на запросы надзорного органа на этапе расследования данного конкретного дела, что в результате значительно ограничило влияние на права людей?
• Has the entity responded in a particular manner to the supervisory authority’s requests during the investigation phase in that specific case which has significantly limited the impact on individuals’ rights as a result?
При этом было бы нецелесообразно уделять дополнительное внимание сотрудничеству, которое уже требуется, в соответствии с законом, например, организация в любом случае обязана разрешить надзорному органу доступ в помещения для аудитов / инспекций.
This said, it would not be appropriate to give additional regard to cooperation that is already required by law for example, the entity is in any case required to allow the supervisory authority access to premises for audits/inspections.
(g) категории персональных данных, затронутых нарушением;
(g) the categories of the personal data affected by the infringement;
Вот некоторые примеры ключевых вопросов, на которые надзорный орган может счесть необходимым ответить, если это уместно в конкретном случае:
Some examples of key questions that the supervisory authority may find it necessary to answer here, if appropriate to the case, are:
• Касается ли нарушение обработки особых категорий данных, указанных в статьях 9 или 10 Регламента?
• Does the infringement concern processing of special categories of data set out in articles 9 or 10 of the Regulation?
• Поддаются ли данные прямой / косвенной идентификации?
• Is the data directly identifiable/ indirectly identifiable?
• Включает ли обработка данных, распространение которых приведет к непосредственному ущербу / опасности для человека (что не подпадает под категорию статей 9 или 10)?
• Does the processing involve data whose dissemination would cause immediate damage/distress to the individual (which falls outside the category of article 9 or 10)?
• Доступны ли данные напрямую без технической защиты или же они зашифрованы [13]?
• Is the data directly available without technical protections, or is it encrypted [13]?
[13] То, что нарушение касается только косвенно идентифицируемых или даже псевдонимных / зашифрованных данных, не всегда следует рассматривать как «дополнительный» смягчающий фактор. В отношении этих нарушений общая оценка других критериев может дать умеренное или убедительное указание на то, что следует наложить штраф.
[13] It shouldn’t always be considered ‘a bonus’ mitigating factor that the breach only concerns indirectly identifiable or even pseudonymous/encrypted data. For those breaches, an overall assessment of the other criteria might give a moderate or strong indication that a fine should be imposed.
(h) способ, посредством которого о нарушении стало известно надзорному органу, в частности уведомил ли контролер или процессор о нарушении, и если да, то в какой степени;
(h) the manner in which the infringement became known to the supervisory authority, in particular whether, and if so to what extent, the controller or processor notified the infringement;
Надзорный орган может узнать о нарушении в результате расследования, жалоб, статей в прессе, анонимных уведомлений или уведомлений от контролера данных. Контроллер обязан, в соответствии с Регламентом, уведомлять надзорный орган о нарушениях в отношении персональных данных. Если контроллер просто выполняет это обязательство, соблюдение обязательства не может рассматриваться в качестве ослабляющего / смягчающего обстоятельства. Точно так же контроллер / процессор данных может также рассматриваться надзорным органом как заслуживающий более серьезного штрафа, если он действовал неосторожно, не уведомив или, по крайней мере, не сообщив всех деталей нарушения надзорному органу из-за неспособности надлежащим образом оценить его степень, т.е. маловероятно, что в этом случае нарушение будет классифицировано как незначительное.
A supervisory authority might become aware about the infringement as a result of investigation, complaints, articles in the press, anonymous tips or notification by the data controller. The controller has an obligation according to the Regulation to notify the supervisory authority about personal data breaches. Where the controller merely fulfils this obligation, compliance with the obligation cannot be interpreted as an attenuating/ mitigating factor. Similarly, a data controller/processor who acted carelessly without notifying, or at least not notifying all of the details of the infringement due to a failure to adequately assess the extent of the infringement may also be considered by the supervisory authority to merit a more serious penalty i.e. it is unlikely to be classified as a minor infringement.
(i) если меры, указанные в Статье 58 (2), были ранее предписаны против соответствующего контролера или процессора в отношении того же предмета, соблюдение этих мер;
(i) where measures referred to in Article 58(2) have previously been ordered against the controller or processor concerned with regard to the same subject-matter, compliance with those measures;
Контроллер или процессор могут уже находиться в поле зрения надзорного органа для отслеживания соблюдения ими Регламента после предыдущего нарушения, а контакты с DPO там, где они существуют, вероятно, были обширными. Поэтому надзорный орган обычно учитывает предыдущие контакты.
A controller or processor may already be on the supervisory authority’s radar for monitoring their compliance after a previous infringement and contacts with the DPO where they exist are likely to have been extensive. Therefore, the supervisory authority will take into account the previous contacts.
В отличие от критериев в пункте (e), эти критерии оценки направлены только на то, чтобы напомнить надзорным органам о необходимости ссылаться на меры, которые они сами ранее применили к тому же контроллеру или процессору «в аналогичной ситуации».
As opposed to the criteria in (e), this assessment criteria only seeks to remind supervisory authorities to refer to measures that they themselves have previously issued to the same controller or processors “with regard to the same subject matter”.
(j) соблюдение утвержденных кодексов поведения в соответствии со статьей 40 или утвержденных механизмов сертификации в соответствии со статьей 42;
(j) adherence to approved codes of conduct pursuant to Article 40 or approved certification mechanisms pursuant to Article 42;
Надзорные органы обязаны «контролировать и обеспечивать применение настоящего Регламента (статья 57 (1)(а))». Соблюдение утвержденных кодексов поведения может использоваться контролером или процессором как доказательство их соблюдения Регламента, в соответствии со статьями 24 (3), 28 (5) или 32 (3).
Supervisory authorities have a duty to “monitor and enforce the application of this Regulation, (article 57 1 (a))”. Adherence to approved codes of conduct may be used by the controller or processor as an way to demonstrate compliance, according to articles 24 (3), 28 (5) or 32 (3).
В случае нарушения одного из положений Регламента, соблюдение утвержденного кодекса поведения может указывать на то, насколько острой является необходимость вмешательства с помощью эффективного, соразмерного, сдерживающего административного штрафа или других корректирующих мер со стороны надзорного органа. Утвержденные кодексы поведения, согласно статье 40(4), будут содержать «механизмы, позволяющие (контролирующему) органу проводить обязательный мониторинг соблюдения его положений».
In case of a breach of one of the provisions of the Regulation, adherence to an approved code of conduct might be indicative of how comprehensive the need is to intervene with an effective, proportionate, dissuasive administrative fine or other corrective measure from the supervisory authority. Approved codes of conduct will, according to article 40 (4) contain “mechanisms which enable the (monitoring) body to carry out mandatory monitoring of compliance with its provisions”.
Если контроллер или процессор придерживается утвержденного кодекса поведения, надзорный орган может быть удовлетворен тем, сообщество, отвечающее за соблюдение такого кодекса, само принимает соответствующие меры против своего члена, например, посредством схем мониторинга и обеспечения соблюдения самого кодекса поведения. Следовательно, надзорный орган может счесть такие меры эффективными, соразмерными или достаточно сдерживающими в данном конкретном случае, а соответственно, отсутствие необходимости применения дополнительных мер со стороны самого надзорного органа. Так, в соответствии со статьей 41(2) c и 42(4) посредством схемы мониторинга могут применяться определенные формы наказания за несоответствующее поведение, включая приостановление или исключение соответствующего контроллера или процессора из сообщества, руководствующегося кодексом. Тем не менее, полномочия контролирующего органа «реализуются без ущерба задачам и полномочиям компетентного надзорного органа», что означает, что надзорный орган не обязан принимать во внимание ранее наложенные санкции, относящиеся к схеме саморегулирования.
Where the controller or processor has adhered to an approved code of conduct, the supervisory authority may be satisfied that the code community in charge of administering the code takes the appropriate action themselves against their member, for example through the monitoring and enforcement schemes of the code of conduct itself. Therefore, the supervisory authority might consider that such measures are effective, proportionate or dissuasive enough in that particular case without the need for imposing additional measures from the supervisory authority itself. Certain forms of sanctioning non-compliant behaviour may be made through the monitoring scheme, according to article 41 (2) c and 42 (4), including suspension or exclusion of the controller or processor concerned from the code community. Nevertheless, the powers of the monitoring body are “without prejudice to the tasks and powers of the competent supervisory authority”, which means that the supervisory authority is not under an obligation to take into account previously imposed sanctions pertaining to the self-regulatory scheme.
Несоблюдение мер саморегулирования также может свидетельствовать о халатности или умышленном нарушении со стороны контролера / процессора.
Non-compliance with self-regulatory measures could also reveal the controller’s/processor’s negligence or intentional behaviour of non-compliance.
(k) любой другой отягчающий или смягчающий фактор, применимый к обстоятельствам дела, например, полученная финансовая выгода или убытки, которых удалось избежать, прямо или косвенно, в результате нарушения.
(k) any other aggravating or mitigating factor applicable to the circumstances of the case, such as financial benefits gained, or losses avoided, directly or indirectly, from the infringement.
Само положение содержит примеры того, какие другие элементы могут быть учтены при принятии решения о целесообразности наложения административного штрафа за нарушение положений, упомянутых в статье 83 (4-6).
The provision itself gives examples of which other elements might be taken into account when deciding the appropriateness of an administrative fine for an infringement of the provisions mentioned in Article 83(4-6).
Информация о прибыли, полученной в результате нарушения, может быть особенно важной для надзорных органов, поскольку экономическая выгода от нарушения не может быть компенсирована мерами, не имеющими денежной составляющей. Таким образом, тот факт, что контролер извлек выгоду из нарушения Регламента, может выступать убедительным доказательством необходимости наложения штрафа.
Information about profit obtained as a result of a breach may be particularly important for the supervisory authorities as economic gain from the infringement cannot be compensated through measures that do not have a pecuniary component. As such, the fact that the controller had profited from the infringement of the Regulation may constitute a strong indication that a fine should be imposed.
Размышления над вопросами, подобными тем, которые представлены в предыдущем разделе, помогут надзорным органам определять, исходя из соответствующих фактов дела, те критерии, которые наиболее важны при принятии решения о наложении соответствующего административного штрафа в дополнение к или вместо иных корректирующих мер в соответствии со статьей 58. Принимая во внимание контекст, предоставленный такой оценкой, надзорный орган определит наиболее эффективную, соразмерную и сдерживающую корректирующую меру в качестве реакции на нарушение.
Reflections on the questions such as those provided in the previous section will help supervisory authorities identify, from the relevant facts of the case, those criteria which are most useful in reaching a decision on whether to impose an appropriate administrative fine in addition to or instead of other measures under Article 58. Taking into account the context provided by such assessment, the supervisory authority will identify the most effective, proportionate and dissuasive corrective measure to respond to the breach.
Статья 58 дает некоторые инструкции относительно того, какие меры может выбрать надзорный орган, поскольку корректирующие меры сами по себе различны по своему характеру и предназначены в основном для достижения разных целей. Некоторые из мер, предусмотренных в статье 58, могут даже быть кумулятивными, что позволяет принять нормативное постановление, включающее более одной корректирующей меры.
Article 58 provides some guidance as to which measures a supervisory authority might choose, as the corrective measures in themselves are different in nature and suited primarily for achieving different purposes. Some of the measures in article 58 may even be possible to cumulate, therefore achieving a regulatory action comprising more than one corrective measure.
Необходимость в дополнении одной корректирующей меры другой не всегда существует. Например: вмешательство надзорного органа, который исходит из того, что будет соразмерно в данном конкретном случае, будет эффективным и иметь сдерживающий эффект, к примеру, только путем наложения штрафа.
It is not always necessary to supplement the measure through the use of another corrective measure. For example: The effectiveness and dissuasiveness of the intervention by the supervisory authority with its due consideration of what is proportionate to that specific case may be achieved through the fine alone.
По сути, властям необходимо восстановить соблюдение Регламента с помощью всех доступных им корректирующих мер. Надзорные органы также должны будут выбрать наиболее подходящее направление для проведения регулирующих действий. Например, это могут быть уголовные санкции (если они доступны на национальном уровне).
In essence, authorities need to restore compliance through all of the corrective measures available to them. Supervisory authorities will also be required to choose the most appropriate channel for pursuing regulatory action. For example, this could include penal sanctions (where these are available at national level).
Практика последовательного применения административных штрафов в Европейском Союзе – это развивающееся умение. Надзорным органам следует предпринимать совместные действия для повышения уровня согласованности на постоянной основе. Это может быть достигнуто посредством регулярного обмена информацией посредством семинаров по рассмотрению дел или других мероприятий, которые позволяют сравнивать дела на субнациональном, национальном и трансграничном уровнях. Для поддержания этой текущей деятельности рекомендуется создание постоянной подгруппы, прикрепленной к соответствующей части EDPB.
The practice of applying administrative fines consistently across the European Union is an evolving art. Actions should be taken by supervisory authorities working together to improve consistency on an ongoing basis. This can be achieved through regular exchanges through case-handling workshops or other events which allow the comparison of cases from the sub-national, national and cross-border levels. The creation of a permanent sub-group attached to a relevant part of the EDPB is recommended to support this ongoing activity.
