Прошло больше года с момента введения General Data Protection Regulation (далее – GDPR, Регламент), ознаменовавшего огромный сдвиг в способах обработки персональных данных пользователей компаниями по всему миру.

Для большинства компаний, которые хранят и обрабатывают персональные данные, GDPR, в принципе, ассоциируется с колоссальными штрафами, которые могут достигать
20 000 000 евро или 4% от годового оборота компании (в зависимости от того, какая сумма больше) за нарушения требований Регламента. Об этом прямо указывается в статье 83 Регламента.

В течении первого года действия GDPR, надзорные органы во всех государствах-членах ЕС были терпимы к таким нарушениям, так как это был переходный период. Подавляющее большинство штрафов за несоблюдение GDPR составляло десятки или максимум сотни тысяч евро. Исключением стали компания Google, которая была оштрафована французским надзорным органом в январе 2019 года на 57 млн. долларов США, а также компания Facebook, которая получила штраф в размере 644 000 долларов США.

GDPR штраф

Но как только GDPR отметил свою первую годовщину с момента введения, надзорные органы дали понять всему миру, что с GDPR шутки плохи.

Так, несколько недель назад интернет буквально взорвала новость о том, что на авиакомпанию British Airways (BA) был наложен штраф в размере 183,39 млн. фунтов стерлингов (230 млн. долларов США), в связи с ошибкой безопасности, допущенной в 2018 году, которая поставила под угрозу разглашение персональных данных около 500 000 клиентов. В результате атаки, вскрывшей огрехи системы информационной безопасности британских авиалиний, пострадали сотни тысяч клиентов, пользовавшихся веб-сайтом этой компании с апреля по июнь 2018 года. На сегодняшний день это самая большая сумма взыскания, наложенная за несоблюдение требованиям GDPR.

Вслед за сообщением о многомиллионном штрафе, наложенном на British Airways, появилась информация о том, что UK Information Commissioner’s Office (ICO) приняло решение наказать и гостиничного гиганта Marriott International, Inc., наложив на компанию штраф в размере 99 млн. фунтов стерлингов (123 млн. долларов США). В сообщении ICO отмечается, что в результате «киберинцидента» произошла утечка 339 млн. записей о гостях по всему миру.

Может показаться, что европейские надзорные органы сфокусировали все внимание на больших корпорациях, однако это совсем не так. На сегодняшний день существует достаточно кейсов, доказывающих, что надзорные органы «не дремлют», а активно проводят расследования как в отношении крупных компаний, так и в отношении небольших предприятий.

Из последних кейсов, Национальная футбольная лига Испании (LaLiga) была оштрафована Испанским органом по защите данных (AEPD) на сумму 250 000 евро за то, что предложила приложение, которое 1 раз в минуту получало доступ к микрофону мобильных телефонов пользователей, чтобы обнаружить пабы, показывающие футбольные матчи без оплаты. По мнению AEPD, LaLiga не проинформировала пользователей приложения об этой практике. Кроме того, приложение не соответствовало требованиям для отзыва согласия.

штраф GDPR

Управление по защите персональных данных (UODO) в Польше 26 марта 2019 года издало свой первый административный штраф согласно GDPR. На IT-компанию был наложен штраф в размере приблизительно 220 000 евро за невыполнение своих информационных обязательств в соответствии с требованиями прозрачности, закрепленными в статье 14 GDPR. В ходе расследования инцидента было установлено, что компания собирала и обрабатывала личные данные из общедоступных реестров. UODO обнаружил, что компания не смогла проинформировать более 6 миллионов субъектов, чьи данные она обработала, и поэтому лишила таких субъектов права на подачу возражения против обработки, запроса исправление данных или их удаление.

В то же время в Дании была оштрафована местная таксомоторная компания на сумму 160 000 евро за хранение клиентских номеров, которые не пользуются услугами компании.

В мае 2019 года французский регулятор (CNIL) оштрафовал компанию SERGIC (компания, специализирующаяся на девелопменте, покупке, продаже, аренде и управлении недвижимостью) на сумму 400 000 евро. Основания штрафа: отсутствие основных мер безопасности и чрезмерное хранение данных.

Что касается первого, конфиденциальные пользовательские документы, загруженные арендаторами (включая удостоверения личности, медицинские карты, налоговые уведомления, справки, выданные фондом семейных пособий, решения о разводе, выписки со счета), были доступны онлайн без какой-либо процедуры аутентификации. Хотя эта уязвимость была известна компании с марта 2018 года, она не была окончательно устранена до сентября 2018 года. Кроме того, компания хранила документацию, предоставленную пользователями, дольше, чем это необходимо. CNIL принял во внимание серьезность нарушения (отсутствие должной заботы об устранении уязвимости и тот факт, что документы раскрывают очень интимные аспекты жизни пользователей), размер компании и ее финансовое положение.

Это лишь малая часть реальных разбирательств, однако, все эти кейсы только подтверждают серьезные намерения надзорных органов по отношению к процессу сбора, обработки, хранения и защиты персональных данных в соответствии с GDPR. При этом неважно, кто является нарушителем – интернет-гигант или небольшая компания, осуществляет она свою деятельность на территории Евросоюза или нет, является ли компания обработчиком или контроллером.

Сегодня многие компании в Украине, в том числе IT, уверенны, что GDPR их не касается, и у них нет необходимости быть GDPR compliant. Однако, в данной ситуации нельзя принимать опрометчивое решение.

Во-первых, следует понимать, что если на вашего клиента наложили штраф за несоблюдение GDPR на его сайте/приложении или ином продукте, в разработке которого вы принимали участие, клиент может взыскать этот штраф с вас в регрессном порядке.

Во-вторых, контрагенты или клиенты с большой долей вероятности могут выставить требования по исполнению вами основных требований GDPR. Логично предположить, что если ваша деятельность не соответствует регламенту, то, сотрудничество с вами прекратят.

В третьих, регулирующий орган может опубликовать на своем веб-сайте информацию о вашем несоответствии регламенту и, как следствие, вы потеряете клиентов. Более того, на данный момент страны ЕС работают над созданием «blacklist» и блокировкой неблагонадежных сайтов, не соответствующих GDPR.

To be, or not to be… Вы можете заплатить сравнительно небольшую цену специалистам по разработке и внедрению GDPR compliance и защитить свои данные, став GDPR compliant или продолжать работать в режиме «вдруг пронесет». Решение за вами!

Адвокат
А.В. Луук

Провести due diligence вашей компании.