Изменения в законодательстве: эстонские компании могут столкнуться с огромными штрафами

Copy
Иллюстративное фото.
Иллюстративное фото. Фото: Arvo Meeks

После вступления в силу изменений, вытекающих из законодательства ЕС, Инспекции по защите данных станет гораздо проще штрафовать предприятия за нарушение защиты данных. Сумма штрафа может достичь 20 миллионов евро, а в некоторых случаях даже превысить ее, считает эксперт по защите данных юридической фирмы Hedman Андрес Оявер.

До сих пор штрафы по Общему регламенту о защите данных (GDPR) в Эстонии не применялись, одной из причин этого было отсутствие определения ответственности юридического лица, что позволяло компаниям откладывать принятие решений о защите данных.

С 1 ноября ситуация изменится, поскольку вступят в силу принятые в марте этого года поправки к Пенитенциарному кодексу и другим законам, дающие Инспекции по защите данных право налагать штрафы за нарушение защиты данных без привлечения к ответственности конкретного физического лица.

Эксперт по защите персональных данных Андрес Оявер отметил, что в течение пяти лет эстонские компании и государственные органы действовали в ситуации, когда защита персональных данных не считалась приоритетом. «С одной стороны, профессионалы в этой области признают серьезность недостатков, но с другой стороны, трудно объяснить необходимость изменений руководству, в частности, из-за несоразмерного соотношения затрат и рисков, а потенциально большие штрафы до сих пор не были аргументом. К сожалению, в этой ситуации проигравшими остаются люди, чьи данные не защищены», - говорит Оявер.

Если раньше Инспекция по защите данных ограничивалась выдачей штрафных предупреждений, то с 1 ноября наложение штрафов значительно упростится, а их размер достигнет уровня, установленного GDPR. Таким образом, с ноября размер штрафов может достичь 20 миллионов евро, а в некоторых случаях даже превысить эту сумму.

Инспекция по защите данных рекомендует пересмотреть рабочие процессы

Инспекция по защите данных рекомендовала всем предприятиям, которые работают с персональными данными, привести свои внутренние процессы обработки данных в соответствие с требованиями Общего положения о защите данных. Кроме того, предприятиям и государственным органам необходимо знать, какие данные они хранят, для каких целей обрабатывают, как долго и кто имеет к ним доступ.

«Это конкретные вещи, о которых инспекция будет спрашивать в своих процедурах мониторинга, и это будет для них показателем того, продумало ли учреждение или компания то, что происходит с данными. Если запрошенные данные не будут предоставлены контролером данных, это будет сигналом для инспекции к более глубокому контролю», - сказал Ояавер.

Наверх