GDPR罚款：它们有多高，你怎么能避免它们?

 
当欧盟的“一般数据保护条例”于2018年5月生效时，也许它最具争议性和引发恐惧的组成部分是对制裁采取更为严厉的做法。
该法规赋予数据当局更大的权力，使公司承担责任。在英国，信息专员办公室现在可以对公司年度营业额的高达4%的罚款，或者对最严重的数据违法行为进行2000万欧元(以较大者为准)。
尽管GDPR是欧洲法规，但英国法律引入了或多或少相同的条款，包括更严厉的罚款，作为英国2018年数据保护法案的一部分，该法案旨在协调英国和欧盟之间的法律 – 并将继续无论英国脱欧如何运作。
已经对欧洲各地的公司征收了数百起罚款，其中绝大多数都是数千人因为相当轻微的违规行为而被罚款。然而，有一些重大罚款已达到可能的上限。
今年1月，法国数据保护机构CNIL因缺乏透明度而未能获得适当的同意作为其广告模式的一部分，对谷歌罚款5000万欧元。
迄今为止最大的两笔罚款都是由英国的ICO征收的。 7月，英国航空公司在调查2018年9月的数据泄露事件后被罚款1.83亿英镑，该公司未能实施足够强大的安全政策。一天后，万豪国际集团因类似的缺陷被罚款9900万英镑，导致2018年11月系统遭到破坏。
许多人设想由于GDPR而产生的巨额定期罚款从未真正实现过，但是，很明显监管机构如果认为自己受到重视，就不会回避发出重大罚款。
罚款的分层方法
根据新数据保护规则第83条，监管机构将坚持采用双层结构来管理制裁。较高级别的潜在罚款高达2000万欧元，占全球年营业额的4%，以较高者为准。较低级别的最高罚款额为1000万欧元，占年营业额的2%，以较高者为准。
第83条规定，对于那些未能“按设计和默认”将数据保护政策纳入其向公众提供的服务的组织，通常应向较低级别的罚款发放。此外，任何未能与数据监管机构合作的公司，无论违规行为的性质如何，也可能属于这一层级。
较低层还标志着未能分配数据保护官员的公司(当需要明确表示需要时)，未能通知数据主体的公司，以及他们的个人数据受到损害的公司，以及那些未能保持充足的公司他们正在处理的数据的记录。
另一方面，经常引起恐慌的更高级别将仅适用于最严重的GDPR侵权行为，包括违反主体数据和隐私权，不遵守数据保护的基本原则，并拒绝遵守来自的要求和要求。数据监管机构，例如拒绝遵守先前的警告或处理数据的命令。还将考虑组织如何处理用户同意。
你会一直被罚款吗?
尽管许多所谓的“符合GDPR标准”的软件供应商声称，对于绝大多数组织而言，罚款几乎肯定远远低于GDPR规定的规模。法规本身明确规定，所有罚款将按照“有效，相称和具有说服力”的精神逐案管理。
监管机构将考虑侵权的性质，严重程度和持续时间，组织数据处理的范围和性质，以及受影响的数据主体数量和遭受的损害程度。
许多ICO代表告诉我们，他们将与公司合作以帮助合规，而且当局的目的不是为了对其监管的人产生恐惧。
该立法还明确指出，疏忽的意图和范围，以及先前为遵守的任何努力以及为减轻受影响数据主体的损害而采取的任何行动都将被考虑在内。这意味着组织应该记录所有流程，并展示他们的工作，以向数据保护监管机构证明他们正在尽一切可能遵守。
其他因素包括组织在侵权方面的历史，受影响的个人数据类别，报告任何侵权行为的速度以及与数据监管机构的合作程度。对于英国来说，这就是ICO。
律师事务所Kirwans的副律师James Pressley引用了一个案例，根据1998年数据保护法案，ICO向Carphone Warehouse发出罚款400,000英镑 – 最高罚款的80%，同时引用WhatsApp的Facebook购买和承诺消息服务让ICO不要将任何WhatsApp UK用户数据转移到Facebook。
“当与这种规模的组织打交道时，很容易想象新的GDPR限制的罚款可以被认为是’相称的’，”他警告说。
ICO将如何在GDPR后运作?
负责在英国执行数据监管的ICO因其作为保守监管机构而享有声誉，倾向于宽大处理。
鉴于GDPR下可能的罚款规模和严重程度 – 比1998年“数据保护法”规定的最高500,000英镑高出40倍 – 现在所有人都在关注ICO的运作方式。
“虽然罚款可能是我们工具箱中的大锤，但我们可以使用许多其他工具，这些工具非常适合手头的任务，同样有效，”Denham在去年8月的一次演讲中说道。
在同一次讲话中，她向各组织保证，“根据GDPR对大规模罚款的预测只是扩大我们根据”数据保护法“发布的罚款是无稽之谈”，表明ICO将继续以类似的方式运作。到目前为止，罚款是最后的手段。
然而，Denham也热衷于驳回对合规的“宽限期”的预测，其中ICO在引入GDPR后的前几个月将是宽松的，因为企业有两年的准备时间。
“现任信息专员伊丽莎白•德纳姆(Elizabeth Denham)已经给予ICO更高的知名度，并使其更加积极主动，例如最近对Cambridge Analytica办公室的突袭行动，”普雷斯利继续说道。
“这将完全符合ICO通过征收巨额罚款来展示其新权力的方法，这将有助于实现使许多私人组织符合要求的双重目的。”
她还表示，1998年“数据保护法”所涵盖的任何领域的侵权行为将被视为模糊。相反，自我报告不合规领域的组织将受到好评。