GDPR Fines

Millised on GDPR-i rikkumisel määratavad trahvid?

Mitmetasandiline lähenemine GDPR-i trahvidele ja karistustele

Isikuandmete kaitse üldmäärus (GDPR) esitab mitmetasandilise lähenemise karistuste määramisel, mis tähendab, et rikkumise laad, raskus ja kestus määrab karistuse suuruse. GDPR-i raames võib ettevõttele karistuse määrata kahel viisil:

  • Andmesubjekti (st inimese) kaebuse põhjal algatatud uurimise tulemusel;
  • Andmekaitse järelevalveasutuse algatatud uurimise tulemusel;

Igal inimesel, kellel on tekkinud kahju seoses GDPR-i nõuete rikkumisega, on õigus tekkinud kahjude hüvitamisele vastutava või volitatud töötleja poolt (tsiviilõiguslikud nõuded).

Igal inimesel on õigus pöörduda andmekaitse järelevalveasutuse poole ning esitada kaebus ettevõtte vastu, kui inimene leiab, et tema isikuandmeid on kasutatud viisil, mis on vastuolus GDPR-ist tulenevate nõuetega või kui ettevõte eirab inimese nõudmisi oma andmete osas (nt õigus olla unustatud).

Kaebuse põhjal on järelevalveasutusel kohustus alustada väidetava rikkumise toime pannud ettevõtte suhtes uurimist ning juhul, kui tuvastatakse GDPR-i nõuete rikkumine, on järelevalveasutusel õigus ettevõtet karistada. Eesti Andmekaitse Inspektsioon on öelnud, et arvestades rikkumise raskust ja ettevõtte tegevust, esitavad nad kõigepealt ettevõttele ametliku hoiatuse ning juhul, kui ettevõte ei muuda seepeale oma isikuandmete töötlemise praktikat, määravad talle rahatrahvi. Loomulikult, kui rikkumine on ulatuslik ning raske, määratakse karistus viivitamatult ning vajadusel rakendatakse ettevõtte suhtes täiendavaid piiranguid (nt töötlemiskeeld).

Lisaks võivad järelevalveasutused määrata ettevõttele trahvi selle eest, kui ettevõte ei järgi GDPR-ist tulenevaid nõudeid.

GDPRi trahvide suurus

  1. Maksimaalne trahvi suurus, mida võib ettevõttele rikkumise eest määrata, on kuni 20 miljonit eurot või kuni 4 % ettevõtte eelneva majandusaasta ülemaailmsest kogukäibest, olenevalt sellest, kumb summa on suurem:.
  2. Trahvi suurus, mida võib määrata näiteks isikuandmete ebatäpse töötlemise ülevaate eest või rikkumistest teatamata jätmise eest, on kuni 10 miljonit eurot või kuni 2 % ettevõtte eelneva majandusaasta ülemaailmsest kogukäibest, olenevalt sellest, kumb summa on suurem.

Riigisiseste seadustega pannakse paika trahvimäärad ettevõtetele, kellel puudub ülemaailmne käive.

GDPR Register on lahendus, mis aitab ettevõtetel kaardistada isikuandmete toimingud ning koostada isikuandmete töötlemisülevaade kooskõlas GDPR-i artikli 30 nõuetega.

Vt GDPR artiklit 83 kirjeldust siit.

Andmetöötluse keelamine

GDPR-ist tulenevalt on järelevalveasutustel volitus kehtestada ettevõtetele ajutine või alaline töötlemispiirang, sh töötlemiskeeld. Teisisõnu, kui järelevalveasutus leiab, et ettevõtte andmetöötlus ei järgi GDPR-i nõudeid, võivad nad seada ettevõttele töötlemispiirangud, ning juhul, kui ettevõte oma andmetöötlustoiminguid muuta ei kavatse või nende tegevus ei vasta olulises osas GDPR-i nõuetele, võib järelevalveasutus kehtestada ettevõttele töötlemiskeelu. Töötlemispiirangute või töötlemiskeelu kehtestamine ei välista trahvide määramist.

Share on facebook
Share on linkedin
Share on twitter
Share on pinterest
Share on email

Korraldage oma vastavus asjakohaste GDPR-i tööriistadega.
Registreeru demole ja 14-päevasele prooviversioonile juurdepääsu saamiseks.

Säästa aega ja ole kindel tulemuses

Latest Posts
Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks?

Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks?

Euroopa Liidu ja Ameerika Ühendriikide andmekaitse raamistik: Atlandi-ülesed mesinädalad andmevoogude jaoks, kuid kauaks? Euroopa Komisjon jõudis järeldusele, et Ameerika Ühendriigid...
Isikuandmete töötlemisülevaade

Isikuandmete töötlemisülevaade

Mis on isikuandmete töötlemisülevaade? Isikuandmete kaitse üldmääruse (GDPR) artikkel 30 nõuab ettevõtetelt, et nad säilitaksid ettevõttesisese isikuandmete töötlemisülevaate (andmetöötlustoimingute registri),...
Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni

Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni

Justiitsministeerium saatis kooskõlastusringile haldustrahviõiguse kontseptsiooni, mis lubaks finants-, konkurentsi- ja andmekaitseõiguse rikkumistele edaspidi tõhusamalt reageerida. Kontseptsiooniga kavandatakse Eesti õiguskorda uus...
Esimesed GDPR trahvid on siin: miljonid eurod ebapiisava selgituse eest

Esimesed GDPR trahvid on siin: miljonid eurod ebapiisava selgituse eest

Maikuu lõpus möödus aasta isikuandmete kaitse määruse jõustumisest ning kuigi Eestis on Andmekaitse Inspektsioon olnud tagasihoidlik, on mujal Euroopas määratud...
Millal võib riik koguda isikuandmeid?

Millal võib riik koguda isikuandmeid?

Riik võib isikuandmeid töödelda vaid seadusega ette nähtud piirides. Isikuandmete töötlemine võib olla mõnes õigusaktis otse reguleeritud või tuletatud sellise...
GDPRi esimene aasta: palju õppimist ja 56 miljoni euro eest trahve

GDPRi esimene aasta: palju õppimist ja 56 miljoni euro eest trahve

Võib öelda, et uue isikuandmete kaitse üldmäärusega (IKÜM) kaasnenud paradigma muutusega algas uus ajastu andmekaitse ja privaatsuse mõtestamisel digitaalmaailmas. Selge on see,...
DEMOPÄEV: Tööriistad andmekaitsespetsialistidele, IT-juhtidele ja GDPR huvilistele

DEMOPÄEV: Tööriistad andmekaitsespetsialistidele, IT-juhtidele ja GDPR huvilistele

9. mail 2019 tutvustati andmekaitsespetsialistidele ja IT-juhtidele tarkvaralahendusi, mida saab kasutada GDPR nõuete täitmiseks. TAMO koolitusmoodul – SAAS lahendus ettevõtete...
Andmekaitseinspektsiooni (AKI) ja andmesubjekti teavitamine rikkumisest

Andmekaitseinspektsiooni (AKI) ja andmesubjekti teavitamine rikkumisest

Vastavalt Isikuandmete kaitse üldmäärusele (GDPR) ja Isukuandmete Kaitse Seadusele tuleb Andmekaitseinspektsiooni (AKI) viivitamatult teavitada isikuandmetega seotud rikkumisest. Aga mida ja kuidas...
IP-aadressi anonümiseerimine Google Analytics-is

IP-aadressi anonümiseerimine Google Analytics-is

Paljud ettevõtted kasutavad Google Analytics-it abivahendina kogumaks väärtuslikku teavet klientide käitumise kohta oma veebisaitidel või mobiilirakendustes. Vaikimisi kasutab Analytics veebisaidi...
Isikuandmete edastamine kolmandatesse riikidesse

Isikuandmete edastamine kolmandatesse riikidesse

Euroopa Liidu andmekaitse üldmäärus (General Data Protection Regulation - GDPR) on kehtestanud ranged reeglid andmete edastamisel kolmandatesse riikidesse ja rahvusvahelistesse organisatsioonidesse....