Какви са най-честите нарушения, за които надзорните органи налагат санкции по GDPR

   02-09-2019

Автор: Асоциация за защита на личните данни 

Месец август традиционно е месец на почивките, морето и планината. Не беше така за Комисията за защита на личните данни (КЗЛД), надзорният ни орган. В края на август, след сериозни проверки, КЗЛД обяви две рекордни за географските ни ширини санкции – 1 млн. лева и над 5 млн. лева.

На 28.08.2019 г. стана ясно, че след проверка в продължение на месец, КЗЛД е наложила имуществена санкция на българска банка в размер на 1 000 000 лв.

На 29.08.2019 г. КЗЛД съобщи и размера на санкцията на НАП.

Като причина за санкцията от 1 милион лева, наложена на банката, се посочва нарушение на чл. 32, пар. 1, буква „б” от Регламент (ЕС) 2016/679, недостатъчни мерки за сигурност.

В случая с глобата от 5 милиона лева, причина за налагането й е, че „общо взето, НАП нищо не е направила, за да защити данните“ (изявление на представител на КЗЛД в интервю по БТВ).

Основната тревожна тенденция, която се наблюдава, е възприятието, че Регламент (ЕС) 2016/679 се състои от изискване за прилагане на „ненужни политики и процедури“. Тези доводи и разбирания са напълно несъстоятелни и реалността го показва. Прилагането на Регламента, постигането и поддържане на съответствие изисква комплексни мерки. Освен комплексни мерки се изисква и обоснованост на предприетите мерки, прилагайки подход, базиран на риска.

Санкциите са много на брой и на европейско ниво.

Това, което прави впечатление в наложените имуществени санкции/глоби на европейско ниво е, че кривото разбиране на Регламента е характерно не само за местните ни администратори. Така, например, компания в Гърция, която се занимава с предоставяне на консултантски услуги, допуска сериозни пропуски в разбирането на понятията на Регламента (казусът с „PWC Business Solutions“ в Гърция, като основно нарушение е използването на „съгласие“ в контекста на трудовоправни взаимоотношения, с което се подвеждат служителите; санкцията е в размер на 150 000 евро).

От обобщените данни (вижте долния линк) става ясно, че най-честата причина за налагане на санкции от надзорните органи е неспазване на чл. 5 и чл. 6 от Регламента (правните основания и принципи).

Неприлагането пък на мерки за защита по чл. 32 кара надзорните органи да налагат на нарушителите по-високи по размер санкции. Всъщност това е изцяло логично, имайки предвид подхода, основан на риска, който Регламентът изисква. Логиката е следната: „колкото по-ценно е имуществото ти, толкова по-добре трябва да го защитиш, защото неминуемо ставаш по-интересен за недоброжелатели“ (това е и единият от факторите, който следва да се вземе предвид при оценката на риска, като трябва да се оценява и заобикалящата среда, колко често и колко вероятно е да попаднеш в ръцете на недоброжелатели – били те хакери или недобронамерени вътрешни служители, които могат да ти изиграят лоша шега и, възползвайки се от пропуски в процедурите или техническите контроли, да разпространят ценна информация).

Освен горните водещи причини за налагането на санкции, има и санкции, наложени поради неспазени изисквания за прозрачност и непредоставяне на определена изискуема информация. Това е една от основните причини за наложената санкция от 50 млн. евро на „Google Inc“.

Има и един интересен казус в Германия. Първоначалната информация е за наложена санкция заради несключено споразумение по чл. 28, пар. 3 от Регламента (споразумение с обработващ). Впоследствие, от публично достъпната информация изглежда, че тази санкция е била „оттеглена“ от надзорния орган. Въпросът с уреждането на взаимоотношенията „администратор – обработващ“ поставя доста практически предизвикателства пред компаниите. В този смисъл прилагането на подход от страна на надзора за директно глобяване на компаниите определено ни изглежда прекомерен.

Има наложени санкции за неспазен срок за уведомяване на надзорния орган в рамките на 72 часа в случай на пробив в сигурността.

Както сочат и данните, санкционираните администратори са от най-различни сектори – има консултантски компании, училище, болници, оператори на сайтове, ресторанти (за видеонаблюдението), кмет в предизборна кампания, медицински центрове, болници, вестник, брокери, застрахователи, както и компании (с най-различен предмет на дейност), санкционирани по жалби на служители.

Обобщена информация в табличен вид можете да намерите тук:  http://www.enforcementtracker.com/

НОВИНИ

   26-05-2020

Безвъзмездна финансова помощ за подпомагане на средни предприятия

УО на ОПИК обявява за обществено обсъждане процедура за подбор на проекти „Подкрепа за средни предприятия за преодоляване на икономи...

 още... 

   22-05-2020

Европейски семестър — пролетен пакет: препоръки за координирани ответни действия по отношение на пандемията от коронавирус

Комисията предложи специфични за всяка държава препоръки, съдържащи насоки за икономическите политики на всички държави — членки на ...

 още... 

   21-05-2020

НАП: 1400 търговци получиха разрешение за неотложно плащане по време на извънредното положение

1400 дружества са получили от Национална агенция за приходите разрешения за неотложни плащания в периода на извънредното положение. Чрез ...

 още... 

   19-05-2020

Европейска комисия: Пакет от мерки за туризма и транспорта

  Европейската комисия представи набор от насоки и препоръки за туристите, пътуващите и предприятията, чиято цел е хората да могат да ...

 още... 

   18-05-2020

Безплатен уебинар Фалирай умно и още превантивни стратегии за изход от COVID-19 кризата

Изпълнителната агенция за насърчаване на малките и средните предприятия е партньор на DevStyleR в безплатния уебинар “Фалирай умно и о...

 още... 

   18-05-2020

Европейска комисия: Процедури за нарушение от месец май 2020 г.

С ежемесечния пакет от решения Европейската комисия предприема правни действия срещу държавите членки, които не изпълняват своите задъ...

 още... 

   15-05-2020

Насоки на Европейската комисия за безопасно подновяване на пътуванията и съживяване на туристическия сектор в Европа

Европейската комисия представя пакет от насоки и препоръки, които да помогнат на държавите членки постепенно да премахнат ограниченият...

 още... 

АКТУАЛНО

14-05-2020

УО на ОПИК обявява процедура за подбор на проекти BG16RFOP002-2.073 „Подкрепа на микро и малки предприятия за преодоляване на икономическите последствия от пандемията COVID-19


УО на ОПИК обявява процедура за подбор на проекти BG16RFOP002-2.073 „Подкрепа на микро и малки предприятия за преодоляване на икономическите последствия от пандемията COVID-19 Главна дирекция &bdquo...

 още.. 


25-11-2019

BG16RFOP002-2.034 - Ваучерна схема за предоставяне на услуги за емитиране на ценни книжа на капиталовите пазари


BG16RFOP002-2.034 - Ваучерна схема за предоставяне на услуги за емитиране на ценни книжа на капиталовите пазари Ваучерна схема за предоставяне на услуги за емитиране на ценни книжа на капиталовите п...

 още.. 

РЕКЛАМА