Аналізуємо кейсово цікаві штрафи та екстраполюємо на можливі бізнес-процеси українського бізнесу при виході на ринок ЄС та визначаємо відповідні ризики. Буде цікаво для СЕО / бізнес-аналітиків, СТО.

У 2016 році у Європейському Союзі був прийнятий General Data Protection Regulation (Загальний регламент захисту даних або ж GDPR). Якщо трішки спростити, Регламент застосовується до компаній, що здійснюють обробку персональних даних людей, які перебувають на території ЄС (навіть, якщо сама компанія не знаходиться у ЄС).

Сьогодні ж очевидною є тенденція виходу українських компаній на європейський ринок – і цей процес лише набирає обертів. Проте одним із ключових факторів, які необхідно враховувати при підкоренні нових бізнес-горизонтів – це відповідне локальне регулювання, зокрема, стосовно персональних даних. Тому в разі розширення бізнесу на територію ЄС вимоги GDPR доведеться виконувати. 

З моменту введення в дію GDPR пройшло 4 роки, і сьогодні штрафи за порушення його вимог – це не просто загрозливі положення Регламенту, а досить поширене явище. 

Ця стаття присвячена ризикам і деяким помилкам, які можуть трапитися на шляху побудови GDPR compliance у компанії, а також висновкам, які можна з них зробити. Говорять, що вчитися на помилках корисно, але краще все ж не на своїх. Тому далі розглянемо декілька прикладів порушень вимог GDPR,  результатами яких стали штрафи (і подекуди досить немаленькі) з боку Data Protection Authorities (DPA).

Права суб’єкта даних 

Тож кейс перший – колишній директор однієї компанії подав скаргу до бельгійського DPA, так як у зв’язку зі звільненням працівник видалив усі дані з робочого ноутбука перед тим, як передати обладнання компанії. За словами директора, він видалив лише приватну інформацію (таку як скринька персональної електронної пошти). При цьому представники компанії вказали, що директор видалив як приватну, так і робочу інформацію, тому вони відновили всі дані на персональному комп’ютері. Відповідно, колишній директор попросив скористатися своїм правом на видалення персональних даних, обмеження їх обробки та заперечення обробки (що передбачені статтями 17, 18 та 21 GDPR). Компанія ж відмовила директору, а DPA визнав таку відмову порушенням вимог GDPR щодо можливості суб’єкта даних скористатися своїми правами, передбаченими Регламентом. Крім того, DPA наголосив, що компанія незаконно обробляла дані на момент їх відновлення, адже не мала для цього законної підстави. Тож за ненадання суб’єкту даних можливості скористатися своїми правами, а також обробку даних без правової підстави штраф склав 7 500 євро.

У цьому контексті можна також вказати на ще одну маленьку історію. Так, суб’єкт даних подав скаргу до іспанського DPA у зв’язку з тим, що продовжував отримувати рекламні повідомлення у WhatsApp від Clínica Dental San Francisco, незважаючи на те, що він попросив видалити свої дані (right to erasure (‘right to be forgotten’)). У цій ситуації початковий штраф у розмірі 7 000 євро був зменшений до 4 200 євро, так як контролер одразу визнав штраф та сплатив його.

Висновок. Головний висновок із цих кейсів – необхідно поважати суб’єктів даних і права, якими їх наділяє GDPR.

Виконуючи вимоги GDPR, бізнес не лише уникає штрафів, а й отримує довіру своїх клієнтів. 

Законні підстави обробки даних 

Розглянемо наступну ситуацію: іспанський DPA оштрафував Vodafone España S.A.U. на 42 000 євро у зв’язку зі скаргою суб’єкта даних, який вказав, що продовжував отримувати рахунки від компанії, хоча його договірні відносини з нею припинилися. При цьому, суб’єкт даних відмовився від отримання повідомлень від Vodafone, усі попередні рахунки вже були сплачені, а сама компанія погодилася із цим, але продовжувала надсилати повідомлення. Тому DPA наголосив, що компанія обробляла дані без законної підстави.

Ще одним цікавим випадком є кейс, у якому іспанський DPA оштрафував власника кафе у зв’язку зі скаргою колишнього співробітника. Так, власник закладу відповів на негативні коментарі щодо кафе, при цьому зазначивши персональні дані працівника та причину його звільнення. Штраф склав 1500 євро, але може послугувати гарним прикладом того, що не варто зазначати персональні дані колишніх працівників без відповідної правової підстави.

Висновок. Тож перед обробкою персональних даних необхідно переконатися, що у Вас є законні підстави обробляти такі дані. 

Надійний захист персональних даних 

Французький DPA (CNIL) наклав штраф у сумі 1,5 млн євро на компанію Dedalus Biologie, що розповсюджує програмні рішення для медичних лабораторій, у зв’язку із витоком даних майже 500 000 осіб. Ці дані включали інформацію про імена, прізвища, номер соціального страхування та медичні дані осіб. Витік даних стався через ряд порушень вимог GDPR з боку компанії – зокрема, її представники не вжили відповідних технічних та організаційних заходів для забезпечення безпеки персональних даних. Наприклад, не було запроваджено спеціальної процедури щодо переміщення даних, і дані не були зашифровані – ці обставини стали однією з основних причин витоку даних.

Ще одним прикладом може виступати необережне поводження з персональними даними данським агентством, за яке воно було оштрафоване DPA на 13 400 євро. Так, агентство загубило флешку, що містила більше 800 сторінок чутливої та конфіденційної інформації. Під час розслідування DPA встановив, що дані на флешці не були зашифровані, і в агентстві не було запроваджено жодної політики для співробітників щодо поводження із портативними носіями інформації. Більше того, дізнавшись про інцидент, агентство не повідомило про витік даних наглядовий орган як того вимагає стаття 33 GDPR. DPA наголосив, що шифрування даних на портативних носіях є необхідною та обов’язковою мірою безпеки особливо, якщо такі носії містять персональні дані.

Висновок. Отже, у контексті GDPR варто наголосити на важливості запровадження технічних і організаційних заходів для забезпечення захисту персональних даних (прикладами можуть бути: шифрування, data backup, встановлення паролей для входу в систему, підписання відповідних NDA з працівниками та підрядниками, які мають доступ до персональних даних, privacy тренінги для персоналу, охорона офісу і т.д.). 

Право бути проінформованим 

Шведський DPA наклав штраф на фінансову компанію Klarna Bank AB у розмірі 720 000 євро за невиконання бізнесом обов’язку щодо інформування суб’єктів даних. Зокрема, компанія не розмістила на своєму веб-сайті достатню інформацію щодо цілей та правових підстав обробки даних, щодо одержувачів персональних даних у випадку передачі таких даних третім особам, щодо третіх країн, куди передавалися персональні дані, а також недостатньо інформувала суб’єктів даних про їх права за GDPR.

Іспанський DPA оштрафував іншу компанію на 8 000 євро за те, що політика приватності (privacy policy) на сайті не відповідала вимогам статті 13 GDPR, зокрема, сайт містив застарілу інформацію та посилався на закони, що були нечинними. 

Висновок. Тут все просто та зрозуміло – якісні та актуальні Privacy Policy та Cookie Policy (а також cookie банер), складені відповідно до вимог GDPR, беззаперечно є must have будь-якого веб-сайту компанії на сьогоднішній день. Проте варто пам’ятати, що такі базові документи ще не означають, що компанія є GDPR compliant, адже цей процес включає в себе як зовнішні, так і внутрішні процеси. 

Дотримання принципів

У Греції DPA притягнув до відповідальності банк у зв’язку із тим, що останній надіслав документ із персональними даними суб’єкта третій особі. Помилка сталася у зв’язку із тим, що співвласник акаунту вказав неправильну електронну адресу. Банк дізнався про цю обставину, але не припинив надсилати документи, а лише вказав суб’єкту даних виправити інформацію про себе. На думку DPA, банк порушив принцип конфіденційності, не припинивши надсилати повідомлення. Крім того, банк не повідомив вчасно про витік даних. Штраф склав 10 000 євро.

Висновок

Принципи – це не просто красиві формулювання, але й важливі засади обробки персональних даних, які повинні пронизувати весь процес такої обробки у компанії. 

DPA&DPO

Ще одними досить розповсюдженими підставами отримання штрафів у зв’язку із GDPR є: 

  • недостатня співпраця з наглядовим органом (наприклад, іспанський DPA оштрафував компанію на 600 євро за несвоєчасне вжиття заходів, які наказував запровадити DPA, а також за ненадання необхідної інформації на запит DPA);
  • недостатня участь Data Protection Officer (DPO) в обробці даних бізнесу. Так, DPA Люксембургу наклав на компанію штраф у розмірі 15 400 євро за те, що контролер не залучив DPO до всіх питань, пов’язаних із захистом персональних даних у компанії. Банк у Бельгії був оштрафований на 75 000 євро за конфлікт інтересів DPO, так як додатково DPO виступав керівником відділу, якому він мав підпорядковуватися у якості DPO.  

Висновок. Тож тісна співпраця із наглядовим органом (як на його запит, так і у випадку data breach) і призначення DPO у випадках, коли того вимагає Регламент (а саме: стаття 37) – важливі елементи GDPR-compliance.

Загальні висновки

Варто зазначити, що усі кейси наведені тут у якості прикладу, а порушення вимог GDPR можуть бути різноманітними. Крім того, для Регламенту не має значення, чи компанія є технічним гігантом, чи маленьким бізнесом – штраф загрожує всім, хто не береже та не оброблює персональні дані належним чином. Зазначені випадки та штрафи можуть виступити хорошою мотивацією слідувати вимогам Регламенту.

Проте у разі, якщо Ви обробляєте персональні дані резидентів ЄС, дотримуватися вимог GDPR необхідно в першу чергу для того, аби зробити Вашу компанію ‘safe space’ для персональних даних клієнтів. Тож важливо пам’ятати, що безпечна обробка та захист персональних даних повинні стати невід’ємною частиною та принципом діяльності Вашої компанії, а не лише намаганням уникнути штрафу від контролюючого органу. Відповідальне та бережливе ставлення до персональних даних – це важливий крок на шляху до отримання та утримання в подальшому довіри Вашого клієнта і збереження репутації компанії. 

Автор: Анна Мацієнко. IT юрист Legal IT Group