Топ 5 Privacy ризиків для ІТ бізнесу в 2022
Минуло понад 3 роки з моменту, коли GDPR вступив у силу. З того часу світ приватності не стояв на місці. Штрафи від контролюючих органів за порушення GDPR вже не таке поодиноке явище. Аналіз наявних кейсів дає можливість відстежити тенденції порушень у сфері захисту персональних даних компаніями. Тож, аналізуємо, робимо висновки і покращуємо механізми захисту даних.
Гучні GDPR штрафи в 2021. Кому та за що?
TikTok 750 тис. євро (Нідерланди)
Голландський DPA (Data Protection Authority) (AP) оштрафував відеопортал TikTok на 750 000 євро за порушення недоторканності приватного життя маленьких дітей.
Причина: Відсутність Privacy Policy нідерландською мовою.
Що сталось: Порушення недоторканості приватного життя дітей і обов’язку компанії надати інформацію (згідно ст.12 GDPR).
Відомо, що основною аудиторією TikTok є діти. Інформація, яку користувачі отримували від TikTok при установці і використанні програми, була англійською мовою і тому не була зрозумілою користувачам.
У цьому випадку відеопортал оштрафований за порушення ст. 12 GDPR, яка передбачає, що контролер повинен вжити необхідних заходів для надання суб’єкту даних інформації у стислій, прозорій, доступній для розуміння та легко доступній формі, з використанням чітких і простих формулювань, зокрема, для будь-якої інформації, яку спеціально призначено для дитини.
Відсутність Політики конфіденційності нідерландською мовою – не єдина причина, чому регулятор оштрафував відеопортал. До TikTok був ряд інших запитань, зокрема, щодо правової підстави обробки даних, а також механізмів захисту дітей.
TikTok обмежено в обробці даних в Італії
У січні 2021 року італійський регулятор наклав негайне обмеження на обробку, що виконується TikTok, стосовно даних користувачів, вік яких неможливо встановити з упевненістю.
Причиною тому стала смерть 10-річної дівчинки з Палермо внаслідок участі у TikTok челенджі. Резонансу справа набула ще й через те, що реєстрація у TikTok заборонена для користувачів до 13 років.
Компанія врахувала цей досвід у своїх наступних нововведеннях, зокрема, TikTok розширив функції батьківського контролю.
WhatsApp (Ірландія): 225 млн. євро
Фокус регулятора: порушення зобов’язань про розкриття інформації (transparency).
Однак, крім цього, компанія не повідомляла користувачам, хто має доступ до даних, порушила обіцянку, що не буде ділитись даними з материнською компанією (Facebook) та здійснила ряд інших порушень.
Хронологія розслідування була наступною:
- Грудень 2018 р.: початок провадження (з огляду на звернення користувачів і запит німецького регулятора).
- Грудень 2020 р. – 28 липня 2021 р.: попереднє рішення розглянули інші наглядові органи та EDPB: наглядовий орган збільшив розмір штрафу.
- Вересень 2021 р.: регулятор наклав штраф (225 млн. євро).
Основними скаргами користувачі були: примушування до згоди на обробку даних під загрозою відмови від надання послуги та відсутність правової підстави обробки даних, розкриття даних користувачів Facebook.
Booking.com (Нідерланди): 475 тис. євро
Причина: порушення строку повідомлення про data breach.
Цей кейс доводить, що необхідно пам’ятати не лише про збереження конфіденційності даних, а й про безпеку даних.
Що сталось: невідома особа отримала доступ до системи резервування номерів у готелях ОАЕ (до імен, телефонів, адрес, даних про бронювання, та, для меншої кількості користувачів – до даних кредиток і навіть захисних кодів від них) – доступ до Booking-акаунтів працівників готелів.
Згодом зловмисники намагались отримати дані кредиток інших користувачів, вдаючи працівників Booking.com.
Хронологія розслідування була наступною:
- 10 січня 2019 р. : про витік даних стало відомо в компанії.
- 7 лютого 2019 р.: формуляр повідомлення про витік даних подано регуляторові.
- 4 лютого 2019 р.: компанія повідомила користувачів про витік і запропонувала компенсацію збитків.
- Грудень 2020 р.: регулятор оштрафував компанію.
Нагадуємо, що, як тільки контролеру стає відомо про порушення захисту персональних даних, яке створює ризик для прав і свобод фізичних осіб, він повинен повідомити наглядовий орган про таке порушення протягом 72 годин після того, як йому стало про це відомо (п.85 преамбули GDPR).
Цей кейс показовий тим, що відсутність миттєвого накладення санкцій не гарантує, що такі санкції не будуть накладені згодом. У цьому випадку пройшов майже рік між моментом повідомлення компанією регулятора про data breach і безпосередньо моментом, коли компанія все ж була оштрафована.
Glovo group 2 600 000 євро
Що сталось:
- Порушення принципів мінімізації даних, а також обмеження зберігання.
- Порушення щодо алгоритмів роботи системи Foodinho для оцінки водіїв.
Причина: контролер не вжив достатніх технічних та організаційних заходів для забезпечення безпечної обробки даних та не проводив data protection impact assessment.
Розслідування проти Foodinho (італійська служба доставки їжі) зосереджувалося переважно на водіях Foodinho. У ході цього процесу DPA виявила деякі серйозні порушення, серед яких порушення щодо алгоритмів роботи системи оцінки водіїв Foodinho. Зокрема, регулятор виявив, що контролер неналежним чином поінформував співробітників про те, як працює система, і не гарантує точності та правильності результатів алгоритмів, що використовуються для оцінки водіїв.
Критичним також виявилось те, що регулятор виявив порушення принципів мінімізації даних, а також обмеження зберігання. Наприклад, системи обробляли дані водіїв у тій мірі, яка перевищувала мету обробки, і в деяких випадках зберігали дані значно довше, аніж це необхідно.
Результат: Італійська DPA оштрафувала Foodinho s.r.l. (компанію, якою володіє Glovo) на 2 600 000 євро.
Vodafone (Іспанія) 8 150 000 євро
Причина: Суб’єкти даних скаржилися на рекламні дзвінки та повідомлення (електронна пошта та SMS), здійснені від імені Vodafone España у рамках маркетингових кампаній без згоди таких суб’єктів.
Порушення: Контакти з суб’єктами даних продовжилися навіть після того, як вони скористалися своїм правом на заперечення.
Окрім того, обтяжуючим фактом було враховано, що Vodafone España регулярно отримувала штрафи у понад 50 справах із січня 2018 року по лютий 2020 року, а також той факт, що лише за два роки до регулятора надійшло 162 скарги.
Штраф складався з декількох частин:
- 6 000 000 євро – за порушення
- 2 150 000 євро – за порушення національного законодавства.
Тому не слід нехтувати нормами національного законодавства. Існує думка, що GDPR вичерпно покриває всі можливі вимоги національного законодавства. Однак, ця теза не відповідає дійсності. Враховувати локальні закони потрібно, адже вони можуть передбачати додаткові обмеження чи специфіку здійснення тих чи інших дій у сфері захисту персональних даних.
Grindr (Норвегія): 11,7 млн. доларів (у процесі)
Норвезький регулятор попередив американську компанію про намір накласти штраф.
Скаржник: Norwegian Consumer Council.
Причина: розкриття чутливої інформації про сексуальну орієнтацію рекламним мережам без правової підстави на це.
Важливо: норвезький регулятор вказує, що «вірить, що згода на обробку даних потрібна для глибокого (intrusive) профайлингу і відслідковування (tracking) для рекламних і маркетингових цілей (та для роботи брокерів даних)».
Регулятор зазначив, що компанія надає дані, у тому числі про сексуальну орієнтацію (враховуючи специфіку соцмережі) безлімітній кількості рекламних мереж, які у свою чергу можуть її використовувати для подальшого таргетингу реклами. Більше того, є випадки, коли у країнах, де гомосексуальні зв’язки вважаються злочином, використовувався Grindr для переслідування таких осіб, що є виявом дискримінації.
У березні 2021 р. Grindr надав пояснення щодо попереджень регулятора, де пояснив, які заходи вжив для того, аби захистити користувачів. На даний момент справа не закрита.
Звертаємо увагу, що у цій статті ми виділили кейси з компаніями з гучними іменами та високими розмірами штрафів, але не радимо сподіватися, що контролюючий орган звертає увагу лише на великі компанії, адже таке уявлення хибне. За порушення GDPR є безліч штрафів меншого масштабу. Вже згадана компанія Vodafone España регулярно отримувала штрафи у понад 50 справах на різні суми перед тим, як отримати масштабний штраф на 8 150 000 євро.
Імітація PRIVACY COMPLIANCE як ключовий ризик
Документи (неповний пакет)
Багато компаній роблять стандартні cookies policy, privacy policy і на цьому закривають питання з GDPR. Цей підхід надто ризиковий, адже GDPR compliance не обмежується розміщенням базових документів. Натомість наявність у компанії лише окремих елементів радше є імітацією compliance. Найпоширенішими випадками імітації data protection compliance є:
- Лише зовнішній «декларативний» пакет документів без втілення його в життя (privacy policy, cookies policy);
- Відсутність внутрішніх політик (наприклад, Information Security Policy);
- Відсутність необхідних реєстрів (наприклад, Personal Data Breach Register, Records of the Processing Activities.
При підготовці компанії до GDPR необхідно враховувати сферу діяльності, юрисдикцію і специфіку обробки персональних даних у конкретному випадку. Окрім належної документації, для compliance повинна бути впевненість у системах і розуміння того, де зберігаються і як обробляються дані
Плутання GDPR з ISO 27001
ISO 27001 – це міжнародний стандарт для систем управління інформаційною безпекою (ISMS), який можуть прийняти організації. Стандарт включає вимоги до створення, виконання, управління і вдосконалення системи управління інформаційною безпекою компанії. Усі організації, які відповідають вимогам ISO 27001, можуть пройти сертифікацією, яка є переважно добровільною.
ISO не покриває GDPR. Ці документи справді схожі у деяких моментах, але не ідентичні. Дотримання стандартів ISO може допомогти досягнути GDPR compliance, однак, не гарантує цього, адже вимоги ISO вужчі, аніж GDPR, та переважно менш фокусуються на захисті персональних даних як окремої категорії інформації
Наприклад, ISO не містить вимоги повідомити суб’єкта даних про data breach, у той час як GDPR передбачає повідомлення суб’єктів даних, коли при data breach є високий ризик для прав і свобод осіб. Окрім того, GDPR передбачає право суб’єкта на видалення своїх даних, а також право контролювати передачу даних третім особам (також відоме як data portability), у той час як ISO 27001 не містить таких положень.
Інші варіанти
Іншими випадками імітації compliance є:
- Відсутність знань про захист персональних даних у персоналу в рамках його функцій і робочих задач;
- Наявність надто узагальнених механізмів захисту даних без конкретних дій, що ефективно захищають персональні дані;
- Порушення принципів захисту персональних даних, встановлених GDPR.
Кейси (імітація)
Наведена нижче агрегована статистика демонструє за які порушення була найбільша сума штрафів за GDPR.
Топ-штрафи станом на 2021 рік:
- 16 липня 2021: Amazon Europe Core S.à.r.l. (746,000,000 євро) (#1 у загальному списку найбільших штрафів)
- 02 вересня 2021: WhatsApp Ireland Ltd. (225,000,000 євро) (#2 у загальному списку найбільших штрафів)
- 08 січня 2021: notebooksbilliger.de (10,400,000 євро) (#10 у загальному списку найбільших штрафів)
- Ще 6 штрафів були накладені у 2020 році.
- Найстаріший штраф – 2019 року.
Таким чином, 3 штрафи із топ-10 найбільших штрафів за GDPR були накладені у 2021 році, враховуючи, що рік то ще не закінчився.
Джерело: https://www.enforcementtracker.com/?insights
Окремі приклади штрафів:
- Tiktok – на думку регулятора, політика приватності не відповідає вимогам GDPR щодо захисту неповнолітніх користувачів (9 квітня 2021 року);
- Marbella Resorts S.L. – консьєрж робив копії паспортів, хоча був уповноважений тільки видавати ключі та перевіряти, чи був номер зарезервований; згодом суб’єкт даних найшов свої дані на сайті для дорослих; регулятор вважає, що компанії слід було краще проводити дьюділ (аудит) обробки даних клієнтів (6 липня 2021 року);
- Caixabank S.A. – клієнтам банку запропонували погодитися з новою політикою приватності, що дозволяє банку передавати дані іншим компаніям у групі компаній; клієнти не могли відмовитися від такої передачі і їм необхідно було звертатися до кожної компанії групи окремо (13 січня 2021 року).
Тому звертаємо увагу на тенденції та вчимося на чужих помилках, аби не повторювати історії цих компаній.
5 privacy ризиків у 2022 для Вашої компанії
Таким чином, спостерігається тенденція накладення жорсткіших штрафів за порушення GDPR. Аналіз наявних кейсів є хорошим інструментом для визначення ключових privacy ризиків.
Тому враховуємо помилки інших компаній для покращення власних механізмів збору, обробки і захисту даних. GDPR – це суворий правопорядок, але регулятори не мають на меті всіх штрафувати, натомість – побудувати privacy-культуру і повагу до особистого простору, у тому числі в інтернеті. Аналізуємо ризики, імплементуємо необхідні зміни у компанії, слідкуємо за тенденціями і гайда до compliance ?