3 штрафа за GDPR и выводы для украинских компаний
В то время когда некоторые компании до сих пор решают нужно ли внедрять мероприятия, для того чтобы отвечать требованиям General Data Protection Regulation (GDPR / Регулировка), европейская «машина защиты персональных данных» набирает обороты, и уже есть первые субъекты, к которым были применены новые штрафные санкции, предусматриваемые GDPR.
После вступления GDPR в законную силу, некоторые скептики говорили, что возможность применения штрафов довольно небольшая, так как Регулирование имеет скорее декларативный характер, нежели практический. Вместе с тем, Европейский инспектор по защите персональных данных Джованни Буттарелли заявил в своем интервью медиаресурса «Reuters», что уже до конца текущего года первые контроллеры будут привлечены к ответственности за нарушение условий GDPR. По его словам, ответственность необязательно будет проявляться в штрафах, так как GDPR предусматривает также вынесение предупреждения, ультиматума, ограничение или запрет деятельности.
По состоянию на сегодняшний день на территории Европейского Союза уже зафиксированы первые факты нарушения норм GDPR, однако, в данной статье будут раскрыты только некоторые из них, которые касаются нарушений, повлекших за собой наложение штрафа на соответствующий субъект.
Австрия, GDPR и персональные данные прохожих
В Австрии, местный контролирующий орган (DSB) начал производство против австрийского предприятия, которое напротив своего офиса разместило камеру наружного видеонаблюдения (CCTV камера). Основной проблемой стало то, что камера, (которая не была промаркирована должным образом) кроме помещения офиса, захватывала еще и значительную часть тротуара, по которому премещались прохожие.
Соотвественно, незаконным образом осуществлялся сбор и обработка персональных данных прохожих, которые передвигались по тротуару, тем самым данная ситуация нарушала требования GDPR и местного законодательства. Штраф, который был применен к предприятию составил 4000 евро.
Вывод: размещая камеры видеонаблюдения в общественных местах, необходимо информировать население о наличии камеры и об осуществлении видеосъемки, аргументировать необходимость ее осуществления.
Португалия и доступ к персональным данным пациентов в рамках GDPR
Португальский контролирующий орган (CNPD) наложил штраф за нарушение GDPR на местную клинику.
Суть нарушения проявлялось в том, что работники клиники, в частности, но не исключительно, врачи, диетологи и психологи имели доступ к персональным данным пациентов через фальшивые учетные записи. Так как данное нарушение касалось незаконного предоставления доступа к чувствительным данным, CNPD решил наложить штраф в размере 400 000 Евро.
Вывод. Осуществляя обработку персональных данных, в частности чувствительных, нужно принимать максимальные меры по защите данных и не предоставлять возможности посторонним лицам пользоваться такими данными. Вместе с тем, необходимо устанавливать четкий режим доступа к персональным данным, официально распределяя обязанности по обработке данных между конкретными работниками и другими заинтересованными лицами.
Великобритания. Как разрабатывать программное обеспечение, чтобы нарушить GDPR.
Еще одним примером, на который не нужно равняться, дело, инициатором которого стал контролирующий орган Великобритании (ICO) в отношении канадской компании AggregateIQ, которая занимается цифровым маркетингом и разработкой программного обеспечения.
Штраф в размере 17000000 фунтов стерлингов может быть применен к этой компании за то, что ее деятельность связывают с деятельностью компании Cambridge Analytica. В частности, в 2016 году для разработки программного обеспечения AggregateIQ использовала персональные данные с Facebook, которыми ранее завладела Cambridge Analytica (с помощью которых была осуществлена целевая реклама избирателей во время президентской кампании в США) . Соответствующее сообщение с требованием устранения нарушений и предоставления информации было направлено AggregateIQ и по его невыполнению, упомянутый выше штраф будет применен.
Вывод. Разрабатывая программное обеспечение или осуществляя рекламную деятельность, в том числе в интернете, необходимо задаться вопросом, есть ли у вас достаточно правовых оснований для обработки персональных данных вашей целевой аудитории.
На что стоит обратить внимание украинским компаниям, работающим в соответствии с GDPR
В общем, анализируя практику применения штрафных санкций европейскими органами за нарушение GDPR, отметим, что контролирующие органы накладывают штрафы разных размеров, в зависимости от совершенного правонарушения. Штрафы в больших размерах накладываются в тех случаях, когда нарушения касаются или больших объемов персональных данных, или чувствительных персональных данных.
Главное, на что нужно обратить внимание это тот факт, что к ответственности могут быть привлечены как компании с территории Европейского Союза, так и компании, зарегистрированные за пределами ЕС, о чем ярко свидетельствует дело, которое касается привлечения к ответственности канадской компании AggregateIQ.
Адаптируя свой бизнес под требования General Data Protection Regulation не забывайте, что риск применения штрафных санкций к вам зависит исключительно от уровня ответственности, с которой вы подходите к решению данного вопроса.
Не имитируйте соответствие с GDPR, а осуществляйте меры адаптации профессионально, и ваша компания не станет следующей, к которой будут применены штрафные санкции.
