GDPR штрафи: тренди 2020. кого і за що штрафують?

У травні 2020 року виповниться два роки як був введений в дію Регламент Європейського Парламенту і Ради (ЄС) 2016/679 про захист персональних даних. Перед початком нової ери в регулюванні захисту персональних даних було багато дискусій. Юристи наводили жах на своїх клієнтів чотирма буквами – GDPR. Усіх лякав розмір штрафних санкцій, і як виявиться – не дарма.

За час дії, цей Регламент змусив вкласти компанії з усього світу величенні суми коштів в розробку юридичних та технічних механізмів роботи з персональними даними. Але інколи такі заходи були недостатніми. Регулятори різних країн вже накладають величезні штрафи.

У даній статті ми розкажемо кого та за що штрафували. Це дасть розуміння яких помилок допускаються компанії в обробці персональних даних.

Статистика каже, що з початку 2019 року кількість накладених штрафів у порівнянні з кінцем 2019 року стрімко зросла. Якщо на початку року мова йшла про один десяток випадків застування санкцій, то на кінець року їх кількість перевищує сотню за місяць. Така тенденція зростання залишиться і у 2020 році.

 

Нещодавно Британський наглядовий орган – Information Commissioner (ICO) наклав штраф на аптеку за те, що вона залишила близько 500 000 документів у незапертих шафах в задній частині свого приміщення.

Неможливість опрацьовувати данні таким способом, що забезпечує належний захист від несанкціонованої або незаконної обробки та випадкової втрати, знищення або пошкодження є порушенням GDPR.

 

Найпопулярніші порушення GDPR:

v  Недостатні технічні та організаційні заходи для забезпечення інформаційної безпеки

v  Недостатня правова база для обробки даних

v  Недотримання принципів обробки даних

v  Недостатнє виконання інформаційних зобов’язань

 

Недостатні технічні та організаційні заходи для забезпечення інформаційної безпеки (ст. 32 GDPR)

Британський наглядовий орган – Information Commissioner (ICO) вирішив на прикладі British Airways та Marriott International, Inc. показати що буває у випадку виявлення проблем в інформаційній безпеці. Санкції за порушення сягатимуть €204,600,000 та €110,390,200 відповідно.

British Airways недогледів фітингові сайти які створювали враження асоційованості з компанією та крали дані користувачів, а  Marriott International, Inc. при поглинанні іншої компанії не перевірив законність зібраних нею персональних даних.

Цікавим є той факт, що ці компанії самостійно повідомили про кібер-інциденти в системі захисту персональних даних та співпрацювали з контролюючим органом  під час розслідування. Також вони внесли вдосконалення в механізми безпеки.

 

Недостатня правова база для обробки даних

Найвідоміший кейс в цій категорії порушень – Google, який не створив зручну і зрозумілу політику конфіденційності для своїх користувачів.

DPA перевіряв відповідність операцій з обробки за GDPR шляхом аналізу поведінки користувача та документів до яких він матиме доступ при створенні облікового запису  Google на телефоні з операційною системою Android. Якщо коротко, то DPA дійшов висновку що документи зовсім не user-friendly.

Більше того, Комітет зауважив, що деяка інформація не завжди є чіткою та вичерпною. Користувачі не в змозі повністю зрозуміти суть та мету операцій з обробки даних, які здійснює Google. Це також стосується обробки даних в маркетингових цілях. Інформація про операції з обробки даних для персоналізації реклами розміщена в декількох документах і не дозволяє користувачеві дізнатися про їхній обсяг.

 

У чому помилка?

«Перед створенням облікового запису, користувачеві пропонується встановити прапорці «Я згоден з Умовами використання Google» і «Я згоден на обробку моєї інформації, як описано вище і більш докладно описано в Політиці конфіденційності», щоб створити обліковий запис.

Таким чином, користувач дає свою згоду в повному обсязі на всі операції з обробки персональних даних, що виконуються GOOGLE на основі цієї згоди (персоналізація реклами, розпізнавання мови і т.д). Однак GDPR передбачає, що згода є «конкретною», тільки якщо воно дається окремо для кожної мети.»

 

Недотримання принципів обробки даних

Лідером за розміром отриманого штрафу за це порушення поки що є Deutsche Wohnen SE.

А все через те, що в ході перевірки в 2017 році було виявлено що компанія:

(1) зберігала дані колишніх орендарів не перевіряючи чи є потреба в їх збережені та

(2) використовувала систему архівування, яка не дозволяла видаляти непотрібні дані для конкретної мети.

Звісно вони удосконалили свою систему, але контролюючий орган вирішив що вжиті заходи для виправлення порушень не були достатніми, і досі не відповідають принципам обмеження зберігання та мінімізації даних.

 

Недостатнє виконання інформаційних зобов’язань

Іспанську La Liga de Fútbol Profesional було оштрафовано через те, що через мобільний додаток Ліга могла активувати мікрофон телефону для розпізнавання навколишніх звуків.

Це було зроблено для того, що б знаходити бари, які транслюють футбольні матчі без сплати відповідних зборів.  DPA вирішив що звук теж можна віднести до даних, за допомогою яких можна ідентифікувати особу.

Контролюючий орган La Agencia de Protección de Datos вказав, що такий функціонал додатку в правилах користувача не розкривається прозоро та зрозуміло. На їх думку необхідно отримувати згоду користувача на такі дії не тільки при установці мобільного додатку, оскільки користувач не пам’ятає на що він давав згоду. Тому необхідно отримувати його згоду кожний раз, коли активується збір таких даних.

 

Висновки

GDPR дає зрозуміти, що організації повинні нести відповідальність за зібранні ними персональні дані. Ця інформація має справжню цінність, тому компанії мають юридичний обов’язок забезпечувати її безпеку, як і будь-якого іншого активу. Це забезпечується шляхом проведення юридичного аудиту для оцінки не лише того, які особисті дані були набуті, але і того, як вони захищені.