Минуло понад 3 роки з моменту, коли GDPR вступив у силу. З того часу світ приватності не стояв на місці. Штрафи від контролюючих органів за порушення GDPR — вже не таке поодиноке явище. Аналіз наявних кейсів дає можливість відстежити тенденції порушень у сфері захисту персональних даних компаніями. Тож аналізуємо, робимо висновки і покращуємо механізми захисту даних.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Гучні GDPR штрафи у 2021 р.
TikTok (Нідерланди): 750 тис. євро
Голландський DPA (Data Protection Authority, AP) оштрафував відеопортал TikTok на 750 тис. євро за порушення недоторканості приватного життя маленьких дітей.
Причина: відсутність Privacy Policy нідерландською мовою.
Що сталося: порушення недоторканості приватного життя дітей і обов’язку компанії надати інформацію (згідно ст. 12 GDPR).
Відомо, що основною аудиторією TikTok є діти. Інформація, яку користувачі отримували від TikTok при установці і використанні програми, була англійською мовою і тому не була зрозуміла користувачам. У цьому випадку відеопортал оштрафований за порушення ст. 12 GDPR, яка передбачає, що контролер повинен вжити необхідних заходів для надання суб’єкту даних інформації у стислій, прозорій, доступній для розуміння та легкодоступній формі, з використанням чітких і простих формулювань, зокрема, для будь-якої інформації, яку призначено для дітей.
Відсутність політики конфіденційності нідерландською мовою — не єдина причина, чому регулятор оштрафував відеопортал. До TikTok був ряд інших запитань, зокрема, щодо правової підстави обробки даних, а також механізмів захисту дітей.
TikTok обмежено в обробці даних в Італії
У січні 2021 р. італійський регулятор наклав негайне обмеження на обробку, що виконується TikTok, стосовно даних користувачів, вік яких неможливо встановити з упевненістю.
Причиною тому стала смерть 10-річної дівчинки з Палермо внаслідок участі у TikTok-челенджі. Резонансу справа набула ще й через те, що реєстрація у TikTok заборонена для користувачів до 13 років.
Компанія врахувала цей досвід у своїх наступних нововведеннях, зокрема, TikTok розширив функції батьківського контролю.
WhatsApp (Ірландія): 225 млн євро
Фокус регулятора: порушення зобов’язань про розкриття інформації (transparency). Крім того, компанія не повідомляла користувачам, хто має доступ до даних, порушила обіцянку, що не буде ділитись даними з материнською компанією (Facebook) та здійснила ряд інших порушень.
Хронологія розслідування:
- грудень 2018 р.: початок провадження (з огляду на звернення користувачів і запит німецького регулятора);
- грудень 2020 — 28 липня 2021 р.: попереднє рішення розглянули інші наглядові органи та EDPB, наглядовий орган збільшив розмір штрафу;
- вересень 2021 р.: регулятор наклав штраф (225 млн євро).
Найчастіше користувачі скаржилися на примушування до згоди на обробку даних під загрозою відмови від надання послуги та відсутність правової підстави обробки даних, розкриття даних користувачів Facebook.
Booking.com (Нідерланди): 475 тис. євро
Причина: порушення строку повідомлення про data breach. Цей кейс доводить, що необхідно пам’ятати не лише про збереження конфіденційності даних, а й про безпеку даних.
Що сталося: невідома особа отримала доступ до системи резервування номерів у готелях ОАЕ (до імен, телефонів, адрес, даних про бронювання та для меншої кількості користувачів — до даних кредиток і навіть захисних кодів від них) — доступ до Booking-акаунтів працівників готелів. Згодом зловмисники намагались отримати дані кредиток інших користувачів, вдаючи працівників Booking.com.
Хронологія розслідування:
- 10 січня 2019 р. про витік даних стало відомо в компанії;
- 7 лютого 2019 р. формуляр повідомлення про витік даних подано регуляторові;
- 4 лютого 2019 р. компанія повідомила користувачів про витік і запропонувала компенсацію збитків;
- у грудні 2020 р. регулятор оштрафував компанію.
Нагадаю, що як тільки контролеру стає відомо про порушення захисту персональних даних, яке створює ризик для прав і свобод фізичних осіб, він має повідомити наглядовий орган про таке порушення протягом 72 годин (п. 85 преамбули GDPR).
Цей кейс показовий тим, що відсутність миттєвого накладення санкцій не гарантує, що такі санкції не будуть накладені згодом. У цьому випадку пройшов майже рік між моментом повідомлення компанією регулятора про data breach і безпосередньо моментом, коли компанія все ж була оштрафована.
Glovo group: 2,6 млн євро
Що сталося:
- порушення принципів мінімізації даних, а також обмеження зберігання;
- порушення щодо алгоритмів роботи системи Foodinho для оцінки водіїв.
Причина: контролер не вжив достатніх технічних та організаційних заходів для забезпечення безпечної обробки даних та не проводив data protection impact assessment.
Розслідування проти Foodinho (італійська служба доставки їжі) зосереджувалося переважно на водіях. У ході цього процесу DPA виявила деякі серйозні порушення, в т.ч. щодо алгоритмів роботи системи оцінки водіїв Foodinho. Зокрема, регулятор виявив, що контролер неналежним чином поінформував співробітників про те, як працює система, і не гарантує точність та правильність результатів алгоритмів, що використовуються для оцінки водіїв. Критичним також стало те, що регулятор виявив порушення принципів мінімізації даних, а також обмеження зберігання. Наприклад, системи обробляли дані водіїв у тій мірі, яка перевищувала мету обробки, і в деяких випадках зберігали дані значно довше, аніж це необхідно.
Результат: італійська DPA оштрафувала Foodinho s.r.l. (компанію, якою володіє Glovo) на 2,6 млн євро.
Vodafone (Іспанія): 8,15 млн євро
Причина: суб’єкти даних скаржилися на рекламні дзвінки та повідомлення (електронна пошта та SMS), здійснені від імені Vodafone España у рамках маркетингових кампаній без згоди таких суб’єктів.
Порушення: контакти з суб’єктами даних продовжилися навіть після того, як вони скористалися своїм правом на заперечення. Обтяжуючим фактором стало те, що Vodafone España регулярно отримувала штрафи у понад 50 справах з січня 2018 по лютий 2020 р., а також той факт, що лише за 2 роки до регулятора надійшли 162 скарги.
Штраф складався з кількох частин:
- 6 млн євро — за порушення вимог GDPR;
- 2,15 млн євро — за порушення національного законодавства.
Тому не слід нехтувати норма ми національного законодавства. Існує думка, що GDPR вичерпно покриває всі його можливі вимоги, однак ця теза не відповідає дійсності. Враховувати локальні закони потрібно, адже вони можуть передбачати додаткові обмеження чи специфіку здійснення тих чи інших дій у сфері захисту персональних даних.
Grindr (Норвегія): $11,7 млн (у процесі)
Норвезький регулятор попередив американську компанію про намір накласти штраф.
Скаржник: Norwegian Consumer Council.
Причина: розкриття чутливої інформації про сексуальну орієнтацію рекламним мережам без правової підстави для цього.
Важливо: норвезький регулятор вказує, що «вірить, що згода на обробку даних потрібна для глибокого (intrusive) профайлингу і відслідковування (tracking) для рекламних і маркетингових цілей та для роботи брокерів даних».
Регулятор зазначив, що компанія надає дані, у т.ч. про сексуальну орієнтацію (враховуючи специфіку соцмережі) безлімітній кількості рекламних мереж, які, у свою чергу, можуть її використовувати для подальшого таргетингу реклами. Більше того, є випадки, коли у країнах, де гомосексуальні зв’язки вважаються злочином, Grindr використовувався для переслідування таких осіб, що є виявом дискримінації.
У березні 2021 р. Grindr надав пояснення щодо попереджень регулятора, де повідомив, які заходи вжив для того, щоб захистити користувачів. На даний момент справа не закрита.
Підкреслюю, що у цій статті ми виділили кейси з компаніями з гучними іменами та високими розмірами штрафів, але не радимо сподіватися, що контролюючий орган звертає увагу лише на великі фірми. Є безліч штрафів меншого масштабу за порушення GDPR. Вже згадана компанія Vodafone España отримувала штрафи на різні суми у понад 50 справах перед тим, як отримати масштабний штраф на 8150 тис. євро.
Імітація Privacy Compliance як ключовий ризик
Неповний пакет документів
Багато компаній роблять стандартні cookies policy, privacy policy і на цьому закривають питання з GDPR. Цей підхід надто ризиковий, адже GDPR compliance не обмежується розміщенням базових документів. Наявність у компанії лише окремих елементів радше є імітацією compliance.
Найпоширенішими випадками імітації data protection compliance є:
- лише зовнішній «декларативний» пакет документів без втілення його в життя (privacy policy, cookies policy);
- відсутність внутрішніх політик (наприклад, Information Security Policy);
- відсутність необхідних реєстрів (наприклад, Personal Data Breach Register, Records of the Processing Activities.
При підготовці компанії до GDPR необхідно враховувати сферу діяльності, юрисдикцію і специфіку обробки персональних даних у конкретному випадку. Окрім належної документації, для compliance має бути впевненість у системах і розуміння того, де зберігаються і як обробляються дані.
GDPR vs ISO 27001
ISO 27001 — міжнародний стандарт для систем управління інформаційною безпекою (ISMS), який можуть прийняти організації. Стандарт включає вимоги до створення, виконання, управління і вдосконалення системи управління інформаційною безпекою. Усі організації, які відповідають вимогам ISO 27001, можуть пройти сертифікацію, яка є переважно добровільною.
ISO не покриває GDPR. Ці документи справді схожі у деяких моментах, але не ідентичні. Дотримання стандартів ISO може допомогти досягти GDPR compliance, однак не гарантує цього, адже вимоги ISO вужчі, аніж GDPR, та переважно менш фокусуються на захисті персональних даних як окремої категорії інформації. Наприклад, ISO не містить вимоги повідомити суб’єкта даних про data breach, тоді як GDPR передбачає повідомлення суб’єктів даних, коли при data breach є високий ризик для прав і свобод осіб. Окрім того, GDPR передбачає право суб’єкта на видалення своїх даних, а також право контролювати передачу даних третім особам (також відоме як data portability), тоді як ISO 27001 не містить таких положень.
Іншими випадками імітації compliance є:
- відсутність знань про захист персональних даних у персоналу в рамках його функцій і робочих завдань;
- наявність надто узагальнених механізмів захисту даних без конкретних дій, що ефективно захищають персональні дані;
- порушення принципів захисту персональних даних, встановлених GDPR.
Кейси (імітація)
Наведена нижче агрегована статистика демонструє, за які порушення були найбільші суми штрафів за GDPR.
Топ-штрафи станом на 2021 р.:
- 16 липня 2021 р., Amazon Europe Core S.à.r.l., 746 млн євро — № 1 у загальному списку найбільших штрафів;
- 2 вересня 2021 р., WhatsApp Ireland Ltd., 225 млн євро — № 2 у загальному списку найбільших штрафів;
- 8 січня 2021 р., Notebooks- billiger.de, 10,4 млн євро — № 10 у загальному списку найбільших штрафів;
- ще 6 штрафів були накладені у 2020 р.;
- найстаріший штраф — 2019 р.
Таким чином, 3 з топ-10 найбільших штрафів за GDPR були накладені у 2021 р. От окремі приклади штрафів:
- TikTok: на думку регулятора, політика приватності не відповідає вимогам GDPR щодо захисту неповнолітніх користувачів (9 квітня 2021 р.);
- Marbella Resorts S.L.: консьєрж робив копії паспортів, хоча був уповноважений тільки видавати ключі та перевіряти, чи був номер зарезервований. Згодом суб’єкт даних знайшов свої дані на сайті для дорослих. Регулятор вважає, що компанії слід було краще проводити дьюділ (аудит) обробки даних клієнтів (6 липня 2021 р.);
- Caixabank S.A.: клієнтам банку запропонували погодитися з новою політикою приватності, що дозволяє банку передавати дані іншим у групі компаній. Клієнти не могли відмовитися від такої передачі, і їм необхідно було звертатися до кожної компанії групи окремо (13 січня 2021 р.).
Тож звертаємо увагу на тенденції та вчимося на чужих помилках, щоб не повторювати історії цих компаній. Спостерігається тенденція накладення жорсткіших штрафів за порушення GDPR. Аналіз наявних кейсів є хорошим інструментом для визначення ключових privacy ризиків.