Mitmetasandiline lähenemine GDPR-i trahvidele ja karistustele
Isikuandmete kaitse üldmäärus (GDPR) esitab mitmetasandilise lähenemise karistuste määramisel, mis tähendab, et rikkumise laad, raskus ja kestus määrab karistuse suuruse. GDPR-i raames võib ettevõttele karistuse määrata kahel viisil:
- Andmesubjekti (st inimese) kaebuse põhjal algatatud uurimise tulemusel;
- Andmekaitse järelevalveasutuse algatatud uurimise tulemusel;
Igal inimesel, kellel on tekkinud kahju seoses GDPR-i nõuete rikkumisega, on õigus tekkinud kahjude hüvitamisele vastutava või volitatud töötleja poolt (tsiviilõiguslikud nõuded).
Igal inimesel on õigus pöörduda andmekaitse järelevalveasutuse poole ning esitada kaebus ettevõtte vastu, kui inimene leiab, et tema isikuandmeid on kasutatud viisil, mis on vastuolus GDPR-ist tulenevate nõuetega või kui ettevõte eirab inimese nõudmisi oma andmete osas (nt õigus olla unustatud).
Kaebuse põhjal on järelevalveasutusel kohustus alustada väidetava rikkumise toime pannud ettevõtte suhtes uurimist ning juhul, kui tuvastatakse GDPR-i nõuete rikkumine, on järelevalveasutusel õigus ettevõtet karistada. Eesti Andmekaitse Inspektsioon on öelnud, et arvestades rikkumise raskust ja ettevõtte tegevust, esitavad nad kõigepealt ettevõttele ametliku hoiatuse ning juhul, kui ettevõte ei muuda seepeale oma isikuandmete töötlemise praktikat, määravad talle rahatrahvi. Loomulikult, kui rikkumine on ulatuslik ning raske, määratakse karistus viivitamatult ning vajadusel rakendatakse ettevõtte suhtes täiendavaid piiranguid (nt töötlemiskeeld).
Lisaks võivad järelevalveasutused määrata ettevõttele trahvi selle eest, kui ettevõte ei järgi GDPR-ist tulenevaid nõudeid.
GDPRi trahvide suurus
- Maksimaalne trahvi suurus, mida võib ettevõttele rikkumise eest määrata, on kuni 20 miljonit eurot või kuni 4 % ettevõtte eelneva majandusaasta ülemaailmsest kogukäibest, olenevalt sellest, kumb summa on suurem:.
- Trahvi suurus, mida võib määrata näiteks isikuandmete ebatäpse töötlemise ülevaate eest või rikkumistest teatamata jätmise eest, on kuni 10 miljonit eurot või kuni 2 % ettevõtte eelneva majandusaasta ülemaailmsest kogukäibest, olenevalt sellest, kumb summa on suurem.
Riigisiseste seadustega pannakse paika trahvimäärad ettevõtetele, kellel puudub ülemaailmne käive.
GDPR Register on lahendus, mis aitab ettevõtetel kaardistada isikuandmete toimingud ning koostada isikuandmete töötlemisülevaade kooskõlas GDPR-i artikli 30 nõuetega.
Vt GDPR artiklit 83 kirjeldust siit.
Andmetöötluse keelamine
GDPR-ist tulenevalt on järelevalveasutustel volitus kehtestada ettevõtetele ajutine või alaline töötlemispiirang, sh töötlemiskeeld. Teisisõnu, kui järelevalveasutus leiab, et ettevõtte andmetöötlus ei järgi GDPR-i nõudeid, võivad nad seada ettevõttele töötlemispiirangud, ning juhul, kui ettevõte oma andmetöötlustoiminguid muuta ei kavatse või nende tegevus ei vasta olulises osas GDPR-i nõuetele, võib järelevalveasutus kehtestada ettevõttele töötlemiskeelu. Töötlemispiirangute või töötlemiskeelu kehtestamine ei välista trahvide määramist.