GDPR: Seuraamukset sääntöjen rikkomisesta
Tietosuojaa koskeva asetus on ottanut käyttöön sakkorangaistukseen perustuvan lähestymistavan, mikä tarkoittaa, että rikkomuksen vakavuus määrittelee rangaistuksen. GDPR: ssä on kaksi tapaa, jolla seuraamus voidaan panna täytäntöön yritystä vastaan
- Rekisteröityjen (luonnollisten henkilöiden) kautta
- Valvontaviranomaisten toimien kautta
Henkilöllä, joka on kärsinyt tietosuoja-asetuksen rikkomisesta johtuvaa aineellista tai aineetonta vahinkoa, on oikeus saada rekisterinpitäjältä tai tiedon käsittelijältä korvaus kärsittyyn vahinkoon liittyen. (siviilioikeudelliset vaatimukset).
Rekisteröidyt henkilöt ovat oikeutettuja kääntymään valvontaviranomaisen puoleen ja tekemään kantelun yritystä vastaan, jos he katsovat, että yritys on käyttänyt henkilön tietoja tavalla, joka on ristiriidassa tietosuoja-asetuksen asettamien vaatimusten kanssa. Tai yritys laiminlyö rekisteröidyn oikeuksia (esimerkiksi oikeus tulla unohdetuksi)
Valvontaviranomainen (tietosuojavaltuutettu) alkaa tutkimaan yritystä jos he havaitsevat, että yritys laiminlyö tietosuojalain asettamia vaatimuksia ja voivat tällöin määrätä yritykselle sanktioita. Hallinnolliset sanktiot eivät laukea automaattisesti, vaan sanktiot määrätään yksittäisten tapausten sekä olosuhteiden mukaisesti. Tietosuojaviranomaisen käytössä oleviin sanktioihin kuuluu:
1) varoitus
2) huomautus
3) rekisterinpitäjälle annettavat määräykset
4) käsittelyä koskevien rajoitusten asettaminen
5) sertifioinnin peruuttaminen
6) keskeytysmääräyksen asettaminen.
GDPR:ssä määriteltyjen hallinnollisten sakkojen määrät
- Hallinnollinen sakko voi olla enintään 4% maailmanlaajuisesta liikevaihdosta tai 20 miljoonaa euroa, riippuen kumpi on korkeampi.
- Jos rekisterin/ tietosuojaselosteen pidossa ilmenee ongelmia tai yritys ei ilmoita tietosuojaan liittyvistä loukkauksista voi sanktiot olla enintään 2% maailmanlaajuisesta liikevaihdosta tai 10 miljoonaa euroa.
Kansalliset lainsäätäjät kuitenkin ottavat käyttöön paikalliset sakot yrityksille, joilla ei ole maailmanlaajuista liikevaihtoa.
Asianmukaisen (Artikkeli 30) tietosuojaselosteen ylläpitoon on olemassa valmis ja helppokäyttöinen pohja kuten GDPR-Register, joka on paikallisen tietosuojaviranomaisen hyväksymä.
Tietojen Käsittelyn kieltäminen
Yksi valtuuksista, joka valvontaviranomaisella on tietosuoja-asetuksen asettamana, on valta asettaa yritykselle väliaikainen tai lopullinen rajoitus tietojen käsittelyyn tai tietojen käsittelyn kieltäminen kokonaan. Tämä tarkoittaa sitä, että jos valvontaviranomainen havaitsee, että tietojenkäsittely ei noudata tietosuoja-asetuksen asettamia vaatimuksia, voidaan käsittelyä rajoittaa tai lakkauttaa kokonaan. Käsittelyn rajoittaminen ei vaikuta määrättyjen hallinnollisten sakkojen määrään.