По мере того как растут штрафы за нарушение конфиденциальности данных, вводится некоторая ясность в отношении того, как они взимаются. Вступивший в силу в 2018 году Общий регламент Европейского союза по защите данных (GDPR) распространяется на защиту данных и конфиденциальность в Европейской экономической зоне и на данные, покидающие пределы ЕС и ЕЭЗ. Для обеспечения его соблюдения существует два вида наказаний в зависимости от тяжести нарушения. Европейский совет по защите данных (EDPB), который регулирует и обеспечивает соблюдение GDPR в ЕЭЗ, опубликовал рекомендуемую методологию расчёта штрафов, которые основаны на обороте нарушителей.
Общая сумма уже наложенных штрафов исчисляется миллиардами евро, причем самые крупные штрафы были наложены на крупные технологические компании, такие как WhatsApp (225 млн евро) (около 237,6 млн долларов США), многочисленные штрафы для Amazon, самый крупный из которых составил 746 млн евро, а также многочисленные штрафы Google в размере 60, 50, 40 и 7 млн евро. В Великобритании компания British Airways была оштрафована на £183 млн. Постановление также применялось в отношении физических лиц, например, испанский арендодатель был оштрафован на 3 000 евро за видеонаблюдение в многоквартирном доме. Шведская школа была оштрафована на 20 000 евро за использование системы видеонаблюдения с распознаванием лиц и связанную с этим биометрическую обработку.
Принятое 12 мая 2022 года «Руководство 04/2022 по расчету административных штрафов в соответствии с GDPR», открытое для публичных консультаций до 27 июня 2022 года, устанавливает пятиступенчатую методологию расчёта штрафов с целью гармонизации подхода надзорных органов, где применяется GDPR.
Шаг 1: определение операций по обработке данных, которые имели место в данном случае, и применимости статьи 83(3) GDPR (которая наделяет каждый надзорный орган правом налагать штрафы).
Шаг 2: отправная точка для расчёта, достигаемая путем классификации нарушения, оценки серьёзности нарушения и оборота.
Шаг 3: оценка любых отягчающих и смягчающих обстоятельств как прошлого, так и настоящего поведения для увеличения или уменьшения штрафа.
Шаг 4: оценка правовых максимумов для данного случая.
Шаг 5: анализ того, соответствует ли рассчитанная сумма требованиям эффективности, сдерживания и пропорциональности. На этом этапе штраф может быть увеличен, если он не превышает установленные законом максимальные размеры.
Руководство включает пример с биометрией для взвешивания отягчающих и смягчающих обстоятельств с цифрами, которые служат отправной точкой для расчёта штрафа:
«Спортивный клуб использовал камеры с технологией распознавания лиц на входе в одно из своих заведений с целью идентификации своих клиентов при входе. Поскольку спортивный клуб сделал это в нарушение статьи 9 GDPR (обработка биометрических данных без обоснованного исключения), надзорный орган, уполномоченный расследовать нарушение, принял решение о наложении штрафа. Принимая во внимание все соответствующие обстоятельства дела, надзорный орган счёл это нарушение нарушением с высоким уровнем серьёзности, а поскольку годовой оборот спортивного клуба составлял 150 миллионов евро, стартовая сумма в 2 000 000 евро (по самому верхнему пределу категории) была признана уместной»
«Однако этот же спортивный клуб был оштрафован двумя годами ранее за использование технологии отпечатков пальцев на турникетах в другом месте. Надзорный орган решил учесть это как повторное правонарушение (статья 83(2)(e) GDPR). При этом он придал значение тому факту, что речь шла почти о том же предмете, а нарушение было совершено всего за два года до этого. В связи с этим отягчающим обстоятельством надзорный орган решил увеличить штраф в данном конкретном случае до 2 600 000 евро, не превышая действующий законодательный максимум в 20 миллионов евро»
EDPB будет постоянно пересматривать свое руководство, наряду с другими областями регулирования, такими как искусственный интеллект.
По материалам Biometrics Research Group. Автор Фрэнк Джерси
