3 штрафи за GDPR та висновки для українських компаній
В той час коли ще деякі компанії вирішують чи потрібно їм впроваджувати заходи, для можливості відповідати вимогам General Data Protection Regulation (GDPR/Регулювання), європейська «машина захисту персональних даних» набирає обертів, і вже є перші суб’єкти, до яких були застосовані нові штрафні санкції, що передбачаються GDPR.
Після набрання GDPR законної сили, деякі скептики говорили, що можливість застосування штрафів доволі невелика, так як Регулювання має скоріше декларативний характер, а ніж практичний. Разом з тим, Європейський інспектор з питань захисту персональних даних Джованні Буттареллі заявив в своєму інтерв’ю медіа ресурсу “Reuters” , що вже до кінця поточного року перші контролери будуть притягнуті до відповідальності за порушення умов GDPR. З його слів, відповідальність необов’язково повинна виявлятися в штрафах, так як GDPR передбачає також винесення попередження, ультиматуму, обмеження чи заборону діяльності.
Станом на сьогоднішній день, на території Європейського Союзу вже зафіксовані перші факти порушення норм GDPR, однак, в даній статті будуть розкриті тільки деякі з них, які стосуються порушень, що потягли за собою накладення на відповідного суб’єкта штрафу.
Австрія, GDPR та персональні дані перехожих
В Австрії, місцевий контролюючий орган (DSB) розпочав провадження проти австрійського підприємства, яке навпроти свого офісу розмістило камеру зовнішнього відеоспостереження (CCTV камера). Основною проблемою став той факт, що камера, яка не була промаркована належним чином, окрім приміщення офісу, захоплювала ще й значну частину тротуару, яким рухалися перехожі, тим самим спричиняючи порушення вимог GDPR та місцевого законодавства.
Порушення виявилося в тому, що незаконним чином здійснювався збір та обробка персональних даних перехожих, які пересувалися тротуаром. Штраф, який був застосований до підприємства склав 4000 Євро.
Висновок: розміщуючи камери відеоспостереження в публічних місцях, необхідно інформувати населення про наявність камери та про здійснення відеозйомки, а також аргументувати необхідність її здійснення.
Португалія та доступ до персональних даних пацієнтів в рамках GDPR
Португальський контролюючий орган (CNPD) наклав штраф за порушення GDPR на місцеву клініку.
Суть порушення виявлялося в тому, що працівники клініки, зокрема, але не виключно, лікарі, дієтологи та психологи мали доступ до персональних даних пацієнтів через фальшиві облікові записи. Так як дане порушення стосувалося незаконного надання доступу до чутливих даних, CNPD вирішив накласти штраф в розмірі 400 000 Євро.
Висновок. Здійснюючи обробку персональних даних, зокрема чутливих, потрібно вживати максимальних заходів щодо захисту даних і не надавати можливості стороннім особам користуватися такими даними. Разом з тим, необхідно встановлювати чіткий режим доступу до персональних даних, офіційно розподіляючи обов’язки щодо обробки даних між конкретними працівниками та іншими зацікавленими особами.
Велика Британія. Як не розробляти програмне забезпечення, щоб порушити GDPR.
Іншим прикладом, на який не потрібно рівнятися, є справа, яка ініційована контролюючим органом Великої Британії (ICO) стосовно канадської компанії AggregateIQ, яка займається цифровим маркетингом та розробкою програмного забезпечення.
Штраф у розмірі 17 000 000 фунтів стерлінгів може бути застосований до цієї компанії через те, що її діяльність пов’язують з діяльністю компанії Cambridge Analytica. Зокрема, у 2016 році AggregateIQ використала персональні дані з Facebook, якими раніше заволоділа Cambridge Analytica, для розробки програмного забезпечення, з допомогою якого здійснювалася цільова реклама виборців у США під час президентської кампанії. Відповідне повідомлення з вимогою усунення порушень та надання інформації було направлене AggregateIQ і по його невиконанню, згаданий вище штраф буде застосований.
Висновок. Розробляючи програмне забезпечення або здійснюючи рекламну діяльність, в тому числі в інтернеті, звертайте не аби яку увагу на питання стосовно цільової аудиторії, до якої буде застосоване розроблюване вами програмне забезпечення або якій буде надаватися відповідна реклама, зокрема, необхідно задатися питанням, чи маєте ви достатньо правових підстав для обробки їхніх персональних даних.
На що варто звернути увагу українським компаніям, які працюють у відповідності з GDPR
Загалом, аналізуючи практику застосування штрафних санкцій європейськими органами за порушення GDPR, потрібно зауважити на тому, що контролюючими органами накладаються штрафи різних розмірів, залежно від вчиненого правопорушення. Як ми можемо спостерігати, штрафи у більших розмірах накладаються в тих випадках, коли порушення стосуються або великих об’ємів персональних даних, або чутливих персональних даних.
Головне, на що потрібно звернути увагу це той факт, що до відповідальності можуть бути притягнуті як компанії з території Європейського Союзу, так і компанії, які зареєстровані поза межами ЄС, про що яскраво свідчить справа, яка стосується притягнення до відповідальності канадської компанії AggregateIQ.
Отже, адаптуючи свій бізнес під вимоги General Data Protection Regulation не забувайте, що ризик застосування до вас штрафних санкцій залежить виключно від рівня вашої відповідальності, з якою ви підходите до вирішення даного питання.
Не імітуйте відповідність до GDPR, а здійснюйте заходи адаптації професійно, і ваша компанія не стане наступною, до якої будуть застосовані штрафні санкції.