О чём эта статья

Статья 83 — штрафы. Самое часто цитируемое положение GDPR.

83(1) — Принцип

Каждый надзорный орган обеспечивает, чтобы штрафы за нарушения, упомянутые в 83(4), 83(5) и 83(6), в каждом отдельном случае были эффективными, пропорциональными и сдерживающими.

83(2) — Критерии определения штрафа

При решении о размере штрафа в каждом случае учитывается:

(a) характер, тяжесть и продолжительность нарушения;

(b) умышленный или неосторожный характер;

(c) действия по уменьшению ущерба;

(d) степень ответственности контролёра или обработчика;

(e) предыдущие нарушения;

(f) степень сотрудничества с надзорным органом;

(g) категории затронутых данных;

(h) способ, которым DPA узнал о нарушении;

(i) соблюдение ранее принятых мер;

(j) соблюдение кодексов поведения или сертификаций;

(k) любые другие отягчающие или смягчающие факторы.

83(4) — Штрафы первого уровня

До €10 миллионов или до 2% годового мирового оборота (что больше) за нарушения:

  • Art. 8 (согласие ребёнка);
  • Art. 11 (обработка без идентификации);
  • Art. 25–39 (большая часть обязанностей контролёра/обработчика);
  • Art. 42–43 (сертификация);
  • Art. 41(4) (мониторинг).

83(5) — Штрафы второго уровня

До €20 миллионов или до 4% годового мирового оборота (что больше) за нарушения:

  • Art. 5, 6, 7, 9 (основные принципы и согласие);
  • Art. 12–22 (права субъектов);
  • Art. 44–49 (передача в третьи страны);
  • любые обязательства национального права по главе IX;
  • несоблюдение приказа DPA по Art. 58(2).

83(6) — Несоблюдение приказа DPA

Несоблюдение приказа DPA — до €20 миллионов или 4% оборота.

83(7) — Публичные органы

Государства-члены могут установить штрафы для публичных органов отдельно.

83(8) — Гарантии процесса

Полномочия по штрафам осуществляются с надлежащими процессуальными гарантиями.

Почему это важно

Высокие штрафы — главный экономический стимул соблюдения GDPR. Известные штрафы:

  • Meta: €1.2 миллиарда (2023, передача в США без основания)
  • Amazon: €746 миллионов (2021, реклама без согласия)
  • WhatsApp: €225 миллионов (2021, прозрачность)
  • Google: €90 миллионов (2022, cookie-баннер)

Для AdTech-индустрии 4% мирового оборота — это значительные суммы, делающие нарушения GDPR коммерчески опасными. Поэтому большие платформы реально перестраивают инфраструктуру под GDPR. Маленькие компании часто продолжают нарушать в надежде, что DPA до них не дойдёт.