GDPR або General Data Protection Regulation. Тренди 2022.
General Data Protection Regulation (GDPR) – це Загальний регламент про захист даних, який містить 99 статей та 173 пункти Преамбули, що вступив в силу у 2018 році, проте новини та тенденції щодо захисту персональних даних в Європі – все ще з’являються доволі часто. Щоб розібратися з тим, що ж нового трапилось чи очікується в найближчий час, давайте спершу згадаємо, що ж взагалі таке GDPR в загальних рисах?
Для багатьох найбільш цікавим у вивченні GDPR є інформація про штрафи, їхній розмір та кількість. За допомогою відповідної інфографіки з відкритих ресурсів, можна слідкувати за усіма штрафами за невиконаннями правил GDPR, а також проаналізувати їх та зробити певні висновки.
GDPR в цифрах та схемах
1. Кількість штрафів помісячно
Зі вступу GDPR у дію, контролюючі органи активно почали виконувати свої функції та штрафувати порушників Регламенту. На даний момент не можна казати про якийсь стрімкий ріст кількості штрафів, проте така кількість поступово зростає, що, в цілому свідчить про те, що система активно функціонує та набирає оберти. В 2021 році кількість штрафів варіюється від 22 до 47 щомісяця.
2. Найбільші за розміром штрафи
Завдяки цій таблиці, можна зрозуміти, що технічні гіганти також мають проблеми з дотримання законодавства з захисту персональних даних. Наприклад, компанія Amazon була оштрафована на 746 мільйонів євро за недотримання принципів обробки даних, що призвело до data breach (витоку даних).
Цей штраф став найбільшим за весь час дії GDPR. Також, WhatsApp та Google були оштрафовані на 225 та 50 мільйонів доларів відповідно. У випадку WhatsApp проблема була в тому, що компанія недостатньо прозоро розкривала відомості щодо своїх операцій з персональними даними та не надавала достатньо інформації користувачам про те, як саме оброблялися їхні дані. Також, у контролюючого органу були питання стосовно чіткості інформації, наданої в Політиці конфіденційності компанії. Google, в свою чергу, виявився винним у відсутності прозорості, відповідного інформування користувачів та отриманні належної згоди на персоналізацію реклами.
3. Кількість штрафів за сферами бізнесу
Найбільш частими “жертвами” штрафних санкцій стають представники індустрії виробництва та продажу товарів, медіа-сервіси, та публічний сектор освіти. Це не дивно, адже, зазвичай, саме ці представники бізнесу працюють в інтернеті, що й містить в собі основні складнощі щодо належного виконання правил щодо захисту персональних даних.
4. Кількість штрафів за країнами
Які країни найчастіше застосовують штрафні санкції за порушення GDPR? В лідерах з великим відривом – Іспанія, далі йде Італія, Румунія та Угорщина Цікаво, що при 320 виписаних штрафах в Іспанії – їхній загальній розмір сягає трохи більше 36 мільйонів євро, в той же час 97 штрафів від Італії – сягають розміру у майже 90 мільйонів.
5. Загальна сума штрафів за типами порушень
Які порушення GDPR є найбільш розповсюдженими? Серед них “невідповідність загальними принципам обробки даних” (783 мільйона євро як загальна сума 182 штрафів), “недостатнє виконання зобов’язань з інформування” (234 мільйона, 64 штрафи), “недостатня правова підстава для обробки даних” (183 мільйона, 301 штраф). Таким чином, можна зрозуміти, які порушення є найбільш поширеними та суворо караними.
Завдяки розглянутим статистичним даним, можна зробити висновок, що контролюючі органи активно виконують свої функції та оштрафованим може бути кожен: від малих бізнесів до світових гігантів.
Також, стає більш зрозумілим які саме категорії компаній знаходяться в зоні ризику та на відповідність яким вимогам GDPR треба звернути більше уваги. Загалом, інфографіка в черговий раз підтверджує, що GDPR – це те, чого навряд чи можна уникнути, томі у компаній точно є потреба працювати над відповідністю цьому Регламенту ЄС задля успішного функціонування в епоху інтернету.
Загальні відомості про GDPR
Ключові визначення, які знадобляться для розуміння цієї статті та GDPR в цілому:
«Персональні дані» означає будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати («суб’єкт даних»).
«Обробка» означає будь-яку операцію або низку операцій з персональними даними або наборами персональних даних з використанням автоматизованих засобів або без них, такі як збирання, реєстрація, організація, структурування, зберігання, адаптація чи зміна, пошук, ознайомлення, використання, розкриття через передавання, розповсюдження чи надання іншим чином, упорядкування чи комбінування, обмеження, стирання чи знищення.
«Контролер» означає фізичну чи юридичну особу, орган публічної влади, агентство чи інший орган, який самостійно чи спільно з іншими визначає цілі та засоби опрацювання персональних даних.
«Процесор» означає фізичну чи юридичну особу, орган публічної влади, агентство чи інший орган, який опрацьовує персональні дані від імені контролера.
Територіальна дія GDPR
Дія GDPR прямо розповсюджується на 27 країн Європейського Союзу та 3 країни Європейської Економічної зони. Важливо, пам’ятати, що навіть компанії, що зареєстровані поза межами ЄС та ЄЕЗ та не мають осідку на цій території, можуть підпадати під дію GDPR, за умови що вони:
• пропонують свої товари чи послуги людям, що знаходяться в ЄС; або
• займаються моніторингом поведінки людей, що знаходяться в ЄС.
Через це, фактично, дія GDPR розповсюджується на всі країни світу, якщо ваша компанія займається діяльністю зазначеною вище. Детальніше про те, яка саме зрозуміти чи розповсюджується на вашу компанію GDPR – можна прочитати у відповідній статті.
Підстави для обробки персональних даних
Що ж включає в себе GDPR та чому він такий важливий? Перш за все, обробляти персональні дані просто так не вийде.
Регламент передбачає вичерпний перелік підстав, базуючись на яких має проходити обробка:
• згода суб’єкта даних (тобто того, чиї персональні дані обробляються);
• обробка необхідна для виконання чи вступу в договір;
• обробка є необхідною для дотримання встановленого законом зобов’язання;
• обробка є необхідною для того, щоб захистити життєво важливі інтереси суб’єкта даних або іншої фізичної особи;
• обробка є необхідною для виконання завдання в суспільних інтересах;
• обробка є необхідною для цілей законних інтересів контролера або третьої сторони, окрім випадків, коли над такими інтересами переважають інтереси фундаментальних прав і свобод суб’єкта даних.
Міжнародна передача даних
Поміж інших, GDPR також містить вимоги щодо міжнародної передачі персональних даних. Виходячи з норм GDPR, міжнародна передача даних до третьої країни, тобто країни, яка не входить до Європейського Союзу та не імплементувала норми GDPR у своє національне законодавство повинна відповідати додатковим вимогам.
Європейська Комісія складає список третіх країн, де гарантується адекватний рівень захисту персональних даних. Навіть якщо країна в яку ви хочете передати дані не входить до цього списку, існують інші підстави для такої передачі. Насамперед потрібно забезпечити достатні заходи безпеки передачі, а також переконатися, що для суб’єктів даних доступні їх юридично закріплені права та ефективні засоби правового захисту. Про міжнародну передачу даних можна більш детально ознайомитись у статтях 44-49 Регламенту або у відповідній аналітичній статті.
Нові тенденції в контексті захисту персональних даних в ЄС
ePrivacy Regulation
Звісно, усі загальній питання GDPR не освітлити в одній статті, тому перейдемо до тенденцій розвитку права у сфері захисту персональних даних в Європі. Поговоримо про ePrivacy Regulation, який повинен був вступити в дію разом з GDPR, проте цього не відбулось й до сьогодні.
Переважно, Регламент нас цікавить в контексті використання файлів cookie, які за Регламентом по суті входять в категорію «метадані електронних комунікацій» – це означає дані, які обробляються в мережі електронних комунікацій з метою передачі, поширення або обміну вмістом електронних комунікацій; включаючи дані, що використовуються для відстеження та ідентифікації джерела та призначення комунікації, дані про місцезнаходження пристрою, створені в контексті надання послуг електронного зв’язку, а також дату, час, тривалість і тип зв’язку.
А отже і до використання файлів кукіс також висуваються нові вимоги та заборони. Наприклад, так звані «cookie walls» стали дуже розповсюдженими: багато веб-сайтів надають доступ до контенту чи послуг тільки після надання згоди на використання файлів cookie. Згідно з проектами ePrivacy Regulation, коли користувач має можливість або надати згоду, або не користуватися сайтом взагалі – така згода не може вважатися “freely given”(вільно наданою), а отже й не відповідає вимогам про надання згоди.
Також, поточний проект ePrivacy Regulation дещо звужує перелік випадків, коли компанії можуть використовувати файли cookie без згоди користувача.
Одним із таких винятків, наприклад, є використання файлів cookie, необхідних для верифікації особи при оплаті товарів чи послуг за допомогою сервісу. Однак, в цілому, вимоги до згоди будуть більш жорсткими та для використання файлів cookie потрібна буде чітка згода користувача. Таким чином, усі third-party cookies (кукі третіх сторін), наприклад, файли кукі, що використовуються GoogleAds; або пікселі Facebook – не зможуть відслідковувати користувача без його згоди.
ePrivacy Regulation також покриває інші важливі теми, пов’язані із захистом персональних даних, про які ми поговоримо в наступному аудіо-фрагменті цієї статті ?
Очікується, що Регламент набуде чинності не раніше 2023 року. Перехідний період , який дасть змогу компаніям підготуватися до нового законодавства, у 24 місяці означає, що нові правила навряд чи вступлять в силу раніше 2025 року.
Data Protection Officer (DPO)
Хто такий DPO та в яких випадках його потрібно призначати? Ця посада відокремилась від Legal та Information Security департаментів після появи GDPR та людина, яка її займає, відповідає за:
- надання рекомендацій контролеру, процесору та їхнім співробітникам щодо їхніх обов’язків відповідно до Регламенту;
- здійснення моніторингу відповідності GDPR іншим положенням про захист даних та політик контролера або процесора,
- надання рекомендацій щодо оцінювання впливу на захист даних і здійснення моніторингу його проведення (Data Protection Impact Assessment);
- співпрацю з наглядовими органами.
В останній час все більше компаній замислились про залучення DPO для своєї компанії, адже коли
- основні види діяльності контролера або процесора становлять операції обробки, які, в силу їхньої специфіки, обсягів та/чи цілей, вимагають регулярного, систематичного і широкомасштабного моніторингу суб’єктів даних; або
- основні види діяльності контролера або процесора становлять широкомасштабну обробку спеціальних категорій даних та персональних даних про судимості і кримінальні злочині;
то призначення DPO буде обов’язковим згідно з GDPR.
GDPR прямо не визначає, що таке “широкомасштабна обробка” та “регулярний і систематичний моніторинг”, проте European Data Protection Board в своєму Guidelines on Data Protection Officers вказує наступне. При визначення того, чи мала місце широкомасштабна обробка, треба дослідити такі фактори:
- кількість залучених суб’єктів даних – або як конкретне число, або як частка від відповідного населення;
- обсяг даних, що обробляються;
- тривалість або постійність діяльності з обробки даних;
- географічний масштаб обробки.
Також наводяться приклади того, що може вважатися широкомасштабною обробкою:
- обробка персональних даних для поведінкової реклами за допомогою пошукової системи;
- обробка даних (контент, трафік, місцезнаходження) провайдерами телефонних або інтернет-послуг;
- обробка даних про місцезнаходження клієнтів міжнародної мережі швидкого харчування в режимі реального часу для статистичних цілей.
Прикладами регулярного та систематичного моніторингу можуть бути:
- надання телекомунікаційних послуг;
- ретаргетинг за допомогою електронної пошти;
- практики щодо запобігання шахрайству;
- відслідковування місцезнаходження, наприклад, мобільними застосунками;
- моніторинг даних про самопочуття, що відбувається за допомогою пристроїв, що носить з собою користувач (наприклад, смарт-годинник).
Таким чином, можна зробити висновок, що доволі широкий перелік діяльності підпадає від вимогу про призначення DPO, тому його призначення стає дедалі актуальнішим. Більш того, деякі компанії призначають DPO добровільно задля того, щоб покращити свій рівень GDPR-compliance та зробити свою компанію більш обізнаною в питаннях захисту персональних даних, що може вберегти від штрафів. Зауважте, що DPO може бути як і працівником компанії, так і залученим ззовні. Ви, звісно, можете звернутися до нас, та команда Legal IT Group буде рада стати вашим DPO ? Також, наявна можливість самому розібратися в тонкощах IT-права та безпосередньо GDPR за допомогою наших курсів. Можливо, скоро ви самі зможете стати DPO!
Open Data Directive
Open Data Directive вступила в силу в липні 2019 та підлягала імплементації в законодавство країн-членів ЄС до липня 2021. Директива зосереджується на економічних аспектах повторного використання даних, заохочуючи країни ЄС надавати якомога більше даних для повторного використання. У Директиві розглядаються матеріали, які зберігаються органами державного сектору в країнах ЄС на національному, регіональному та місцевому рівнях, тобто матеріали міністерств, державних агенцій, муніципалітетів.
Ця Директива – це дуже гарна новина для компаній, що використовують дані з публічних реєстрів, адже вже зараз публічні органи повинні будуть надавати дані для повторного використання, де це можливо, у відкритих і машиночитаних форматах. Динамічні дані мають бути доступними через API та масове завантаження, якщо це необхідно. Більш того, Директива вводить концепцію високоцінних наборів даних (HDV), яка визначається як дані, повторне використання яких пов’язане з важливими вигодами для суспільства та економіки. До деяких з них також повинен бути наданий доступ у згаданому раніше форматі.
Алгоритми
Важливе місце в сучасній дискусії щодо захисту персональних даних займає автоматизована обробка даних – коли юридично значуще, або важливе рішення щодо особи приймається автоматично, у тому числі профайлінг – тобто автоматизована обробка персональних даних для оцінки певних фактів, відомостей про особу. За загальним правилом, такі практики заборонені і суб’єкти даних повинні бути вільними від автоматизованої обробки даних та профайлінгу. Проте, якщо суб’єкт даних надав згоду; якщо це необхідно для укладання договору або дозволено законодавством ЄС або держави-члена, якому підпорядковується контролер, то така обробка може мати місце. Трохи детальніше про практику застосування таких алгоритмів ви можете прослухати у наступному аудіо-блоці ?
“Whistleblower Directive”
Так звана “Whistleblower Directive” (Directive (EU) 2019/1937 of the European Parliament and of the Council of 23 October 2019 on the protection of persons who report breaches of Union law) вступила в силу 16 грудня 2019 року. Країни ЄС мали два роки, щоб імплементувати цю Директиву, тобто до 17 грудня 2021 року. Чому це нас цікавить в контексті GDPR? Ця Директива встановила вимоги до захисту осіб, що повідомляють про порушення законодавства ЄС з боку компаній. Звісно, порушення законодавства з захисту персональних даних також входить до цього переліку. Захищаються не лише працівники, а також і ті, хто подається на роботу, колішні працівники та журналісти. Такі особи повинні бути вільними від звільнення, приниження та інших форм дискримінації.
На кого це розповсюджується? Компанії з кількістю працівників понад 250 осіб мають створити відповідні внутрішні канали звітності до грудня 2021 року, компанії від 50 до 249 осіб – до грудня 2023. Особи, що хочуть повідомити про порушення, повинні мати можливість подавати звіти в письмовій формі через онлайн-систему, поштову скриньку або поштою та/або усно через телефонну гарячу лінію або автовідповідач, тобто компанії повинні надати таку можливість.
Зважаючи на це, компанії, на які розповсюджується Директива, повинні замислитись щодо своїх практик захисту персональних даних, оновити внутрішні документи (Data Processing Agreement, Data Protection Impact Assessment тощо) та бути готовими надати можливості, що передбачені Директивою. Також, в цьому контексті варто ще раз нагадати, що важливо слідкувати за змінами законодавства ЄС та держав-членів і бути готовим виконувати їхні вимоги.
Для підготовки необхідних для GDPR-compliance документів – ви також можете звернутися до нас ?
Дякуємо за увагу!