Какви са най-честите нарушения, за които надзорните органи налагат санкции по GDPR

   02-09-2019

Автор: Асоциация за защита на личните данни 

Месец август традиционно е месец на почивките, морето и планината. Не беше така за Комисията за защита на личните данни (КЗЛД), надзорният ни орган. В края на август, след сериозни проверки, КЗЛД обяви две рекордни за географските ни ширини санкции – 1 млн. лева и над 5 млн. лева.

На 28.08.2019 г. стана ясно, че след проверка в продължение на месец, КЗЛД е наложила имуществена санкция на българска банка в размер на 1 000 000 лв.

На 29.08.2019 г. КЗЛД съобщи и размера на санкцията на НАП.

Като причина за санкцията от 1 милион лева, наложена на банката, се посочва нарушение на чл. 32, пар. 1, буква „б” от Регламент (ЕС) 2016/679, недостатъчни мерки за сигурност.

В случая с глобата от 5 милиона лева, причина за налагането й е, че „общо взето, НАП нищо не е направила, за да защити данните“ (изявление на представител на КЗЛД в интервю по БТВ).

Основната тревожна тенденция, която се наблюдава, е възприятието, че Регламент (ЕС) 2016/679 се състои от изискване за прилагане на „ненужни политики и процедури“. Тези доводи и разбирания са напълно несъстоятелни и реалността го показва. Прилагането на Регламента, постигането и поддържане на съответствие изисква комплексни мерки. Освен комплексни мерки се изисква и обоснованост на предприетите мерки, прилагайки подход, базиран на риска.

Санкциите са много на брой и на европейско ниво.

Това, което прави впечатление в наложените имуществени санкции/глоби на европейско ниво е, че кривото разбиране на Регламента е характерно не само за местните ни администратори. Така, например, компания в Гърция, която се занимава с предоставяне на консултантски услуги, допуска сериозни пропуски в разбирането на понятията на Регламента (казусът с „PWC Business Solutions“ в Гърция, като основно нарушение е използването на „съгласие“ в контекста на трудовоправни взаимоотношения, с което се подвеждат служителите; санкцията е в размер на 150 000 евро).

От обобщените данни (вижте долния линк) става ясно, че най-честата причина за налагане на санкции от надзорните органи е неспазване на чл. 5 и чл. 6 от Регламента (правните основания и принципи).

Неприлагането пък на мерки за защита по чл. 32 кара надзорните органи да налагат на нарушителите по-високи по размер санкции. Всъщност това е изцяло логично, имайки предвид подхода, основан на риска, който Регламентът изисква. Логиката е следната: „колкото по-ценно е имуществото ти, толкова по-добре трябва да го защитиш, защото неминуемо ставаш по-интересен за недоброжелатели“ (това е и единият от факторите, който следва да се вземе предвид при оценката на риска, като трябва да се оценява и заобикалящата среда, колко често и колко вероятно е да попаднеш в ръцете на недоброжелатели – били те хакери или недобронамерени вътрешни служители, които могат да ти изиграят лоша шега и, възползвайки се от пропуски в процедурите или техническите контроли, да разпространят ценна информация).

Освен горните водещи причини за налагането на санкции, има и санкции, наложени поради неспазени изисквания за прозрачност и непредоставяне на определена изискуема информация. Това е една от основните причини за наложената санкция от 50 млн. евро на „Google Inc“.

Има и един интересен казус в Германия. Първоначалната информация е за наложена санкция заради несключено споразумение по чл. 28, пар. 3 от Регламента (споразумение с обработващ). Впоследствие, от публично достъпната информация изглежда, че тази санкция е била „оттеглена“ от надзорния орган. Въпросът с уреждането на взаимоотношенията „администратор – обработващ“ поставя доста практически предизвикателства пред компаниите. В този смисъл прилагането на подход от страна на надзора за директно глобяване на компаниите определено ни изглежда прекомерен.

Има наложени санкции за неспазен срок за уведомяване на надзорния орган в рамките на 72 часа в случай на пробив в сигурността.

Както сочат и данните, санкционираните администратори са от най-различни сектори – има консултантски компании, училище, болници, оператори на сайтове, ресторанти (за видеонаблюдението), кмет в предизборна кампания, медицински центрове, болници, вестник, брокери, застрахователи, както и компании (с най-различен предмет на дейност), санкционирани по жалби на служители.

Обобщена информация в табличен вид можете да намерите тук:  http://www.enforcementtracker.com/

НОВИНИ

   24-01-2020

Търговски мисии в Турция, февруари-март 2020

Търговската секция към Посолството на Република Турция в София информира за предстоящи търговски мисии в Турция, паралелно на някои ...

 още... 

   21-01-2020

Конкурс за кратко видео (VLOG) на тема "Сподели културното наследство на твоя регион"

Стартира провеждането на трансграничен конкурс за кратко видео, представящо идея за популяризиране на уникалното и разнообразно култу...

 още... 

   20-01-2020

Национално представително проучване сред МСП за нуждите на разработване за Стратегия за МСП 2021-2027 г.

В момента Социологическа агенция Глобал Метрикс ЕООД, съвместно с консултантска компания Сигма Хет ООД, провеждат проучване сред работ...

 още... 

   17-01-2020

Комитетът по наблюдение на ПРСР прие условията по новия прием по мярка 11 „Биоземеделие“

Комитетът по наблюдение на Програма за развитие на селските райони 2014-2020 г. одобри промени в условията по новия прием за нови ангажимент...

 още... 

   15-01-2020

НАП: Няма да има удължаване на срока по Наредба Н-18

Срокът за привеждане на дейността на търговците, използващи софтуер за управление на продажбите (СУПТО), с изискванията на Наредба Н-18 ня...

 още... 

   14-01-2020

НАП публикува становище за прилагане на новите разпоредби за регистрация по ЗДДС

НАП публикува становище относно приложение на разпоредбите на чл. 96, ал. 10 и 11 от Закона за данък върху добавената стойност (ЗДДС) в сила о...

 още... 

   10-01-2020

Малки и средни фирми ще получат 30 млн. евро за дигитализация през 2020 г.

Това са последните средства по оперативна програма "Конкурентоспособност" за този програмен период Общо 30 млн. евро (58.7 млн. лв.) ще бъдат...

 още... 

АКТУАЛНО

25-11-2019

BG16RFOP002-2.034 - Ваучерна схема за предоставяне на услуги за емитиране на ценни книжа на капиталовите пазари


BG16RFOP002-2.034 - Ваучерна схема за предоставяне на услуги за емитиране на ценни книжа на капиталовите пазари Ваучерна схема за предоставяне на услуги за емитиране на ценни книжа на капиталовите п...

 още.. 


06-06-2019

BG05M9OP001-1.054 "ПОДКРЕПА ЗА УСТОЙЧИВ БИЗНЕС"


Управляващият орган на Оперативна програма „Развитие на човешките ресурси“ обявява за кандидатстване процедурата „Подкрепа за устойчив бизнес“. Потенциални конкретни бенефицие...

 още.. 

РЕКЛАМА