Кратко и по существу — какие нормы GDPR, какие санкции и как оценивать ответственность платформы.
1) Нормы GDPR, которые, скорее всего, применимы
- Принципы обработки (качество, минимизация, ограничение целей) — ст. 5.
- Законность обработки и основания (приёмлемость целей) — ст. 6.
- Особые категории данных (если есть) — ст. 9.
- Обязанности контролёра: общая ответственность и доказательство соответствия — ст. 24.
- Privacy by design / by default — ст. 25.
- Технические и организационные меры безопасности — ст. 32.
- Оценка воздействия (DPIA), если риск высокий — ст. 35.
- Условия работы с процессорами и субподрядчиками — ст. 28.
- Уведомление надзорного органа о нарушении — ст. 33 (сроки и содержание).
- Информирование субъектов данных при высоком риске — ст. 34.
- Право на возмещение ущерба и ответственность — ст. 82.
- Штрафы и меры надзорных органов — ст. 83 и ст. 58.
2) Возможные санкции и компенсации
- Административные штрафы (ст. 83): максимумы
- за наиболее серьёзные нарушения: либо $€20000000$, либо $4\%$ глобального годового оборота предприятия за предыдущий финансовый год — в пользу того, что больше.
- за другие нарушения: либо $€10000000$, либо $2\%$ глобального годового оборота — в пользу того, что больше.
- Корректирующие меры (ст. 58): предписания приводить обработку в соответствие, временное/постоянное ограничение или запрет обработки, приказы исправить/удалить данные, проверки/аудиты.
- Гражданско-правовая ответственность (ст. 82): пострадавшие могут требовать возмещения материального и нематериального ущерба. Контролёр отвечает за причинённый вред; процессор — в пределах своей вины.
- Иные последствия: репутационные потери, обязательства по уведомлению пользователей, возможные уголовно-правовые последствия по национальному праву.
3) Как примерно оценить ответственность платформы (пошагово)
- Шаг 1 — факты: какие данные утекли (виды, категория), сколько субъектов, длительность утечки, способ (взлом, уязвимость, инсайдер).
- Шаг 2 — установление нарушений обязанностей: проверяйте соблюдение ст. 32 (мера безопасности), ст. 25 (design), ст. 28 (контракты с процессорами), ст. 33–34 (уведомления), ст. 35 (DPIA если требовалась).
- Шаг 3 — оценка степени вреда: число пострадавших $n$, характер вреда (финансовый/идентификационный/психологический), наличие особых категорий. Оценка потенциальной общей компенсации: используйте формулу общего возмещения $T=n\times d$, где $d$ — средний ущерб на человека (примерная оценка). Например, при $n=1,000,000$ и $d=€100$: $T=1,000,000\times €100=€100,000,000$.
- Шаг 4 — расчёт возможного штрафа: определить применимую «брекетную» категорию (максимум $4\%$ или $2\%$). Пример: если глобальный годовой оборот = $€1,000,000,000$, то $4\%$ = $€40,000,000$, значит потенциальный максимум — $€40,000,000$.
- Шаг 5 — взвешивание смягчающих и отягчающих факторов (ст. 83(2)):
- отягчающее: умысел/небрежность, длительность, большое число пострадавших, особо чувствительные данные, повторные нарушения;
- смягчающее: быстрая реакция и уведомление, эффективные меры по уменьшению вреда, сотрудничество с DPA, наличие сертификаций, компенсационные программы.
- Шаг 6 — распределение ответственности между контролёром и процессором (если задействованы оба) — изучить договоры (ст. 28), фактические роли и степень вины.
4) Практические рекомендации (что нужно сделать немедленно)
- Уведомить надзорный орган не позднее $72$ часов с момента обнаружения (ст. 33).
- Оценить риск для субъектов данных и при необходимости уведомить пострадавших (ст. 34).
- Сохранить и собрать доказательства (логи, решение инцидента, меры устранения).
- Включить DPIA/внутренний аудит безопасности, пересмотреть контракты с процессорами.
- Подготовить коммуникацию, план компенсаций/поддержки (кредитный мониторинг, бесплатная смена учётных данных и т. п.).
- Готовиться к возможным санкциям и к судебным искам (юридическая стратегия, страхование киберрисков).
5) Примечания по практической оценке суммы штрафа/компенсаций
- Надзорные органы используют казуистический подход: нет жёсткой формулы; учитываются все перечисленные факторы ст. 83.
- Часто итоговая сумма штрафа существенно ниже максимума, но совокупные издержки (штрафы + возмещения + репутация + оперативные расходы) могут превышать штраф в разы.
- Для ориентировочной калькуляции: подсчитайте потенциальные требования компенсаций $T=n\times d$ и сравните с допустимым максимумом штрафа (либо $€20000000$ или $4\%$ оборота; либо $€10000000$ или $2\%$ оборота).
Если нужно — могу быстро посчитать пример оценки штрафа и общего возмещения по заданным значениям: укажи число пострадавших $n$, предполагаемый средний ущерб на человека $d$ и глобальный годовой оборот.