Потенциалните глоби, описани в GDPR, са значително увеличаване в противовес на приети при обсъждане от ръководства отстъпки от изискванията за защита на данните.

При сегашния режим, за онези държави-членки, които могат налагат парични санкции, максималните глоби като цяло не са прекалено обременителни (например 500 000 GBP във Великобритания), въпреки че някои държави наскоро са увеличили глобите (напр. 3 млн. евро във Франция и 820 000 евро или до 10% нетни от годишен оборот в Холандия). За някои нарушения GDPR налага глоби, които могат да достигнат високият размер от 20 млн. евро или 4% от годишния глобален оборот. Подходът към санкциите се определя в зависимост от специфичното естество на нарушението. Глобите могат да бъдат в диапазона "до 2%" (или 10 милиона евро), или в диапазона "до 4%" (или 20 милиона евро).

Когато решава дали да наложи административна глоба и каква да е сумата, надзорният орган трябва да отчита редица въпроси, включително:

естеството, тежестта и продължителността на нарушението, вземайки предвид естеството, обхватът или целите на съответната обработка, както и броят на засегнатите субекти на данните и нивото на увреждане, което те са претърпели;

 дали нарушението е умишлено или поради небрежност;

 предприетите мерки за смекчаване на въздействието;

 предприети мерки за предотвратяване на нарушението;

предишен опит;

 степента на сътрудничество с надзорния орган; и

 начина, по който нарушението стига до вниманието на надзорния орган – дали администраторът или операторът сами са докладвали за нарушението?

Като пример за стъпаловиден подход към достигане максимални нива на глоба, максималната сума се прилага, между другото, за нарушаване на изискванията, свързани с международните трансфери, както и за нарушаване основните принципи за обработка, какъвто принцип е например условито за съгласие. Този подход важи и за разпоредбите около правата на субектите на данни.

GDPR предвижда държавите-членки да определят свои правила относно други санкции, приложими при нарушения на GDPR, по-специално, когато те не подлежат на административни глоби. Това може да включва например наказателни санкции за определени престъпления. Надзорните органи също имат редица нови или ревизирани правомощия по GDPR, които включват: способност за извършване на одити, да разпореждат оздравителни дейности в рамките на конкретна времева рамка, да разпореждат изтриване на данни и сприране преноса на данни до получател в трета държава. Това е една област, в която ще бъде особено важно преразглеждане на съществуващото законодателство и значителното му преработвано, в съответствие с текста на GDPR.

За пръв път, в съответствие с GDPR, субектите на данни ще имат основание да предприемат действия срещу операторите за обработка на данни (да търсят компенсация). Искът може да се отнася до нарушение на GDPR или неспазване указанията на администратора.

По принцип, субектите на данни ще имат право да търсят обезщетение от админстратори и оператори за материални и нематериални щети (включително нефинансова загуба). Груповите действия се насърчават от разпоредбите, които позволяват представител на субектите на данни да предявява подобни искове. GDPR изрично предвижда възможността за съвместна отговорност към администраторите и операторите, когато те са съвместно отговорни за нанесените щети. Исковете могат да бъдат предявени към установените администратор или оператор или в съдилищата на държавата-членка, или където физическите лица пребивават.

Свързани с горните текстове членове от Регламента:

Член 58 – Правомощия

1. Всеки надзорен орган има всички от посочените по-долу правомощия за разследване:

a) да разпорежда на администратора и на обработващия лични данни и, когато е приложимо — на представителя на администратора или на обработващия лични данни, да предоставят всяка информация, която той поиска за изпълнението на своите задачи;

б) да провежда разследвания под формата на одити във връзка със защитата на данните;

в) да извършва преглед на сертификатите, издадени в съответствие с член 42, параграф 7;

г) да уведомява администратора или обработващия лични данни за предполагаемо нарушение на настоящия регламент;

д) да получава от администратора и обработващия лични данни достъп до всички лични данни и до цялата информация, от която се нуждае за изпълнението на своите задачи;

е) да получава достъп до всички помещения на администратора и обработващия лични данни, включително до всяко оборудване и средство за обработване на данни, в съответствие с правото на Съюза или процесуалното право на държавата членка.

2. Всеки надзорен орган има всички от посочените по-долу корективни правомощия:

a) да отправя предупреждения до администратора или обработващия лични данни, когато има вероятност операции по обработване на данни, които те възнамеряват да извършат, да нарушат разпоредбите на настоящия регламент;

б) да отправя официално предупреждение до администратора или обработващия лични данни, когато операции по обработване на данни са нарушили разпоредбите на настоящия регламент;

в) да разпорежда на администратора или обработващия лични данни да изпълнят исканията на субекта на данни да упражнява правата си съгласно настоящия регламент;

г) да разпорежда на администратора или обработващия лични данни да съобразят операциите по обработване на данни с разпоредбите на настоящия регламент и, ако е целесъобразно, това да стане по указан начин и в определен срок; по Дейвид Смит, бивш зам. Председател на Офиса на Комисията по Информация на UK, подбрани и обработени от Чавдар Пенков 3/7

д) да разпорежда на администратора да съобщава на субекта на данните за нарушение на сигурността на личните данни;

е) да налага временно или окончателно ограничаване, в т.ч. забрана, на обработването на данни;

ж) да разпорежда коригирането, или изтриването на лични данни или ограничаването на обработването им съгласно членове 16, 17 и 18, както и уведомяването за тези действия на получатели, пред които личните данни са били разкрити съгласно член 17, параграф 2 и член 19;

з) да отнема сертификат или да разпорежда на сертифициращия орган да отнеме сертификат, издаден съгласно членове 42 и 43, или да разпорежда на сертифициращия орган да не издава сертификат, ако изискванията за сертифицирането не са спазени или вече не се спазват;

и) да налага административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, в допълнение към мерките, посочени в настоящия параграф, или вместо тях, в зависимост от особеностите на всеки отделен случай;

й) да разпорежда преустановяването на потока на данни към получател в трета държава или към международна организация;

3. Всеки надзорен орган има всички от посочените по-долу правомощия да дава разрешения и становища:

a) да дава становища на администратора в съответствие с процедурата по предварителна консултация, посочена в член 36;

б) да издава по собствена инициатива или при поискване становища до националния парламент, правителството на държавата членка или, в съответствие с правото на държавата членка — до други институции и органи, както и до обществеността по всякакви въпроси, свързани със защитата на лични данни;

в) да дава разрешение за обработването, посочено в член 36, параграф 5, ако съгласно правото на държавата членка се изисква такова предварително разрешение;

г) да дава становища и да одобрява проекти на кодекси за поведение съгласно член 40, параграф 5;

д) да акредитира сертифициращи органи съгласно член 43;

е) да издава сертификати и да одобрява критериите за сертифициране в съответствие с член 42, параграф 5;

ж) да приема стандартните клаузи за защита на данните, посочени в член 28, параграф 8 и в член 46, параграф 2, буква г);

з) да дава разрешение за договорните клаузи, посочени в член 46, параграф 3, буква а);

и) да дава разрешение за административните договорености, посочени в член 46, параграф 3, буква б);

й) да одобрява задължителните фирмени правила съгласно член 47.

4. Упражняването на правомощията, предоставени на надзорния орган по силата на настоящия член, се осъществява при осигуряване на подходящи гаранции, в т.ч. ефективни съдебни средства за правна защита и справедлив съдебен процес, определени в правото на Съюза и правото на държава членка в съответствие с Хартата.

5. Всяка държава членка урежда със закон нейният надзорен орган да има правомощието да довежда нарушенията на настоящия регламент до знанието на съдебните органи и по целесъобразност да инициира или по друг начин да участва в съдебни производства, с цел осигуряване на изпълнението на настоящия регламент.

6. Всяка държава членка може да урежда със закон нейният надзорен орган да има допълнителни правомощия освен посочените в параграфи 1, 2 и 3. Упражняването на тези правомощия не нарушава ефективното действие на глава VII.

Член 82 - Право на обезщетение и отговорност за причинени вреди

1. Всяко лице, което е претърпяло материални или нематериални вреди в резултат на нарушение на настоящия регламент, има право да получи обезщетение от администратора или обработващия лични данни за нанесените вреди. по Дейвид Смит, бивш зам. Председател на Офиса на Комисията по Информация на UK, подбрани и обработени от Чавдар Пенков 4/7

2. Администраторът, участващ в обработването на лични данни, носи отговорност за вреди, произтичащи от извършеното обработване, което нарушава настоящия регламент. Обработващият лични данни носи отговорност за вреди, произтичащи от извършеното обработване, само когато не е изпълнил задълженията по настоящия регламент, конкретно насочени към обработващите лични данни, или когато е действал извън законосъобразните указания на администратора или в противоречие с тях.

3. Администраторът или обработващият лични данни се освобождава от отговорност съгласно параграф 2, ако докаже, че по никакъв начин не е отговорен за събитието, причинило вредата.

4. Когато в една и съща операция по обработване участват повече от един администратор или обработващ лични данни или участват и администратор, и обработващ лични данни, и когато те са отговорни по параграфи 2 и 3 за вреда, причинена от обработването, всеки администратор или обработващ лични данни носи отговорност за цялата вреда, за да се гарантира действително обезщетение на субекта на данни.

5. Когато администратор или обработващ лични данни е изплатил съгласно параграф 4 пълното обезщетение за причинената вреда, той има право да поиска от другите администратори или обработващи лични данни, участвали в същата операция по обработване на лични данни, да му възстановят част от платеното обезщетение, съответстваща на тяхната част от отговорността за причинената вреда в съответствие с условията по параграф 2.

6. Съдебните производства във връзка с упражняването на правото на обезщетение се образуват пред съдилища, компетентни съгласно правото на държавата членка, посочена в член 79, параграф 2.

Член 83 - Общи условия за налагане на административни наказания „глоба“ или „имуществена санкция“

1. Всеки надзорен орган гарантира, че наложените административни наказания „глоба“ или „имуществена санкция“ в съответствие с настоящия член за извършени нарушения на настоящия регламент, посочени в параграфи 4, 5 и 6, във всеки конкретен случай са ефективни, пропорционални и възпиращи.

2. В зависимост от обстоятелствата във всеки конкретен случай административните наказания „глоба“ или „имуществена санкция“ се налагат в допълнение към мерките, посочени в член 58, параграф 2, букви а)—з) и й), или вместо тях. Когато се взема решение дали да бъде наложено административно наказание „глоба“ или „имуществена санкция“ и се определя нейният размер, във всеки конкретен случай надлежно се разглеждат следните елементи:

a) естеството, тежестта и продължителността на нарушението, като се взема предвид естеството, обхватът или целта на съответното обработване, както и броят на засегнатите субекти на данни и степента на причинената им вреда;

б) дали нарушението е извършено умишлено или по небрежност;

в) действията, предприети от администратора или обработващия лични данни за смекчаване на последиците от вредите, претърпени от субектите на данни;

г) степента на отговорност на администратора или обработващия лични данни като се вземат предвид технически и организационни мерки, въведени от тях в съответствие с членове 25 и 32;

д) евентуални свързани предишни нарушения, извършени от администратора или обработващия лични данни;

е) степента на сътрудничество с надзорния орган с цел отстраняване на нарушението и смекчаване на евентуалните неблагоприятни последици от него;

ж) категориите лични данни, засегнати от нарушението;

з) начина, по който нарушението е станало известно на надзорния орган, по-специално дали и до каква степен администраторът или обработващият лични данни е уведомил за нарушението;

и) когато на засегнатия администратор или обработващ лични данни преди са налагани мерки, посочени в член 58, параграф 2, във връзка със същия предмет на обработването, дали посочените мерки са спазени; по Дейвид Смит, бивш зам. Председател на Офиса на Комисията по Информация на UK, подбрани и обработени от Чавдар Пенков 5/7

й) придържането към одобрени кодекси на поведение съгласно член 40 или одобрени механизми за сертифициране съгласно член 42; и

к) всякакви други утежняващи или смекчаващи фактори, приложими към обстоятелствата по случая, като пряко или косвено реализирани финансови ползи или избегнати загуби вследствие на нарушението.

3. Ако администратор или обработващ лични данни умишлено или по небрежност наруши няколко разпоредби на настоящия регламент при една и съща операция по обработване или при свързани операции, общият размер на административната глоба или имуществената санкция не може да надвишава сумата, определена за най-тежкото нарушение.

4. Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 10 000 000 EUR или, в случай на предприятие — до 2 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:

a) задълженията на администратора и обработващия лични данни съгласно членове 8, 11, 25—39 и 42 и 43;

б) задълженията на сертифициращия орган съгласно членове 42 и 43;

в) задълженията на органа за наблюдение съгласно член 41, параграф 4.

5. Нарушенията на посочените по-долу разпоредби подлежат, в съответствие с параграф 2, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока:

a) основните принципи за обработване на лични данни, включително условията, свързани с даването на съгласие, в съответствие с членове 5, 6, 7 и 9;

б) правата на субектите на данни съгласно членове 12—22;

в) предаването на лични данни на получател в трета държава или международна организация съгласно членове 44—49;

г) всички задължения, произтичащи от правото на държавите членки, приети съгласно глава IX;

д) неспазване на разпореждане, или на временно или окончателно ограничаване във връзка с обработването или на наложено от надзорния орган преустановяване на потоците от данни съгласно член 58, параграф 2 или непредоставяне на достъп в нарушение на член 58, параграф 1.

6. Неспазването на разпореждане на надзорния орган, както е посочено в член 58, параграф 2, подлежи, в съответствие с параграф 2 от настоящия член, на административно наказание „глоба“ или „имуществена санкция“ в размер до 20 000 000 EUR или, в случай на предприятие — до 4 % от общия му годишен световен оборот за предходната финансова година, която от двете суми е по-висока.

7. Без да се засягат корективните правомощия на надзорните органи съгласно член 58, параграф 2, всяка държава членка може да определя правила за това дали и до каква степен могат да бъдат налагани административни наказания „глоба“ или „имуществена санкция“ на публични органи и структури, установени в тази държава членка.

8. Упражняването от надзорния орган на правомощията му по настоящия член зависи от съответните процедурни гаранции в съответствие с правото на Съюза и правото на държавата членка, включително ефективна съдебна защита и справедлив съдебен процес.

9. Когато в правната система на държавата членка не са предвидени административни наказания „глоба“ или „имуществена санкция“, настоящият член може да се прилага по такъв начин, че глобата да се инициира от компетентния назорен орган и да се налага от компетентните национални съдилища, като в същото време се гарантира, че тези правни средства за защита са ефективни и имат ефект, равностоен на административните наказания „глоба“ или „имуществена санкция“, налагани от надзорните органи. Във всички случаи наложените глоби или имуществени санкции са ефективни, пропорционални и възпиращи. Посочените държави членки уведомяват Комисията за разпоредбите в правото си, които примат съгласно настоящия параграф, най-късно до 25 май 2018 г., и я уведомяват незабавно за всеки последващ закон за изменение или за всяко изменение, които ги засягат. 

Изложения 147-148 и 150-152, към Член 83

(147) Когато в настоящия регламент се съдържат специфични правила относно компетентността, по-специално по отношение на производствата за търсене на защита по съдебен ред, включително на обезщетение, срещу администратор или обработващ лични данни, общите правила относно компетентността като правилата, предвидени в Регламент (ЕС) № 1215/2012 на Европейския парламент и на Съвета (Регламент (ЕС) № 1215/2012 на Европейския парламент и на Съвета от 12 декември 2012 г. относно компетентността, признаването и изпълнението на съдебни решения по граждански и търговски дела (ОВ L 351, 20.12.2012 г., стр. 1), не следва да засягат прилагането на тези специфични правила.

(148) За да се укрепи прилагането на правилата на настоящия регламент, освен или вместо подходящи мерки, наложени от надзорния орган съгласно настоящия регламент, при нарушение на регламента следва да се налагат санкции, включително административни наказания „глоба“ или „имуществена санкция“. При леки нарушения или ако глобата, която може да бъде наложена, представлява несъразмерна тежест за физическо лице, вместо глоба може да бъде отсъдено порицание. Следва обаче да се отдаде надлежно внимание на естеството, тежестта и продължителността на нарушението, умишления характер на нарушението, действията за смекчаване на последиците от претърпените вреди, степента на отговорност или евентуални предишни нарушения от подобен характер, начина, по който нарушението е станало известно на надзорния орган, спазването на мерките, наложени на администратора или на обработващия лични данни, придържането към кодекс на поведение и всякакви други утежняващи или смекчаващи фактори. Налагането на санкции, включително административни наказания „глоба“ или „имуществена санкция“, следва да подлежи на подходящи процедурни мерки за защита в съответствие с общите принципи на правото на Съюза и Хартата, включително ефективна съдебна защита и справедлив съдебен процес.

(150) С цел да се засилят и хармонизират административните наказания за нарушения на настоящия регламент, всеки надзорен орган следва да има правомощието да налага административни наказания „глоба“ или „имуществена санкция“. В настоящия регламент следва да се посочат нарушенията и максималният размер и критериите за определяне на съответните административни наказания „глоба“ или „имуществена санкция“, които следва да се определят от компетентния надзорен орган във всеки отделен случай, като се вземат предвид всички обстоятелства, свързани с конкретната ситуация, по-специално при надлежно отчитане на естеството, тежестта и продължителността на нарушението и на последиците от него, както и на мерките, предприети, за да се гарантира спазване на задълженията по настоящия регламент и за да се предотвратят или смекчат последиците от нарушението. Когато имуществената санкция се налага на предприятие, понятието „предприятие“ следва да се разбира като предприятие в съответствие с членове 101 и 102 от ДФЕС за тези цели. При налагане на административни наказания „глоба“ и „имуществена санкция“ на лица, които не са предприятие, надзорният орган следва да има предвид общото равнище на доход в съответната държава членка, както и икономическото състояние на лицето, за да определи подходящия размер на глобата. Механизмът за съгласуваност може да се използва също за утвърждаването на съгласувано прилагане на административните наказания „глоба“ или „имуществена санкция“. Държавите членки следва да определят дали и до каква степен публичните органи следва да подлежат на административни наказания „глоба“ или „имуществена санкция“. Налагането на административно наказание „глоба“ или „имуществена санкция“ или отправянето на предупреждение не засяга упражняването на други правомощия на надзорните органи или прилагането на други санкции по настоящия регламент.

(151) Правните системи на Дания и Естония не позволяват налагането на административните наказания „глоба“ или „имуществена санкция“, посочени в настоящия регламент. Правилата относно административните наказания „глоба“ или „имуществена санкция“ могат да се прилагат по такъв начин, че в Дания глобата или имуществената санкция да се налага от компетентни национални съдилища като наказание, а в Естония глобата или имуществената санкция да се налага от надзорния орган в рамките на процедура за нарушение, при условие че това прилагане на правилата в посочените държави членки има ефект, равностоен на административни наказания „глоба“ или „имуществена санкция“, налагани от надзорни органи. Поради това компетентните национални съдилища следва да вземат под внимание препоръката на надзорния орган, иницииращ глобата или имуществената санкция. Във всички случаи наложените глоби или имуществени санкции следва да са ефективни, пропорционални и възпиращи.

(152) Когато административните наказания не са хармонизирани в настоящия регламент или при необходимост в други случаи, като например при сериозни нарушения на настоящия регламент, държавите членки следва да прилагат система, която предвижда ефективни, съразмерни и възпиращи санкции. Естеството на тези санкции, наказателни или административни, следва да бъде определено съгласно правото на държавата членка.

Член 84 - Санкции

1. Държавите членки определят правила за други санкции, приложими за нарушения на настоящия регламент по- специално за нарушения, които не подлежат на административно наказание „глоба“ или „имуществена санкция“ съгласно член 83, и вземат всички необходими мерки за гарантиране на тяхното прилагане. Тези санкции са ефективни, пропорционални и възпиращи.

2. Всяка държава членка уведомява Комисията за тези разпоредби в своето право, които приема съгласно параграф 1 до 25 май 2018 г., и я уведомява незабавно за всяко последващо, свързано с тях изменение.

Изложения 149, 152, към Член 84

(149) Държавите членки следва да могат да установят правила относно наказателна отговорност за нарушения на настоящия регламент, включително за нарушения на националните правила, приети по силата и в рамките на настоящия регламент. Тези наказания могат да предвиждат отнемане на облагите, получени в резултат на нарушаване на настоящия регламент. Налагането на наказания за нарушения на тези национални правила и на административни наказания обаче не следва да води до нарушаване на принципа ne bis in idem съгласно тълкуването на Съда.

(152) Когато административните наказания не са хармонизирани в настоящия регламент или при необходимост в други случаи, като например при сериозни нарушения на настоящия регламент, държавите членки следва да прилагат система, която предвижда ефективни, съразмерни и възпиращи санкции. Естеството на тези санкции, наказателни или административни, следва да бъде определено съгласно правото на държавата членка.

Въздействие

 Когато разработвате политики, имайте предвид факторите, които надзорните органи ще вземат предвид при определянето на глобите, по-специално подходът на организацията към уведомяването за нарушения и сътрудничество със съответните надзорни органи.

 Разработете политика/процедура за отговор на одит или искане за информация.

 Проверете позицията относно задълженията в съответните договори с трети страни (например споразумения с доставчици или клиенти).

 Обмислете прилагането на законодателството за подробности, относно съответстващите процедури в съответните държави-членки.