Цікаво, чи залишився сьогодні ще хтось, хто не чув про GDPR? 25 травня ми відзначатимемо річницю з дати набрання чинності Загальним регламентом захисту даних (англ. General Data Protection Regulation, GDPR; Regulation (EU) 2016/679).
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Багатостраждальний GDPR був прийнятий у 2016 р. з метою посилення контролю фізичних осіб-резидентів і громадян Європейського Союзу та фізичних осіб у межах Європейської економічної зони над своїми персональними даними. Ще однією метою була уніфікація наявних норм із захисту даних. Різноманіття норм у цій сфері неодноразово призводило до правових колізій та було економічно невигідним. Проте, як відомо, європейці не люблять зайві розтрати.
Здавалося б, GDPR мав стати ідеальним вирішенням проблеми. Бізнесу було надано достатньо часу (2 роки), для того щоб адаптуватися до законодавчих змін. Відмова від GDPR-комплаєнсу для компаній означала ризикувати грошима. Штраф за невиконання вимог Регламенту міг досягати десятків мільйонів євро або 2-4% від загального доходу компанії (залежно від того, яка сума буде більшою). Регулятор попереджав: у разі порушення закону вибір завжди буде на користь особи, право якої було порушено. Компанії почали фактично «дути на холодне» та мали бути до всього готовими. Однак все-таки знайшлися чи відчайдушні, чи неуважні, що оступилися і поплатилися.
Порушити не можна виконати
Пригадаємо, що мали зробити компанії, які збирають персональні дані своїх клієнтів/користувачів, щоб забезпечити відповідність нормам GDPR:
- адаптувати свою внутрішню документацію (договірна база, внутрішні політики компанії тощо) відповідно до вимог Регламенту;
- аналогічно адаптувати веб-документацію (Угоду користувача, Політику конфіденційності, Політику збору персональних даних, Політику збору кукіс, тощо);
- провести інструктаж своїх працівників щодо вимог до збору та обробки персональних даних;
- забезпечити відповідність технічних умов збору, обробки та зберігання даних умовам Регламенту;
- призначити Офіцера із захисту даних (англ. Data Protection Officer, DPO), якщо необхідно;
- забезпечити права осіб щодо їхніх персональних даних (право на забуття за наявності умов, право на отримання копії своїх зібраних даних та ін.).
Розберемося, хто і як порушив ці GDPR-заповіді, та як саме ми можемо навчитися на чужих помилках.
Перші вісники
Звичайно, увагу суспільства найбільше привертають ті, хто «відзначився» раніше ніж інші. Однак, як виявляється, бути першим – не завжди почесно. Через 5 днів після набрання чинності Регламентом корпорація ICANN подала позов у Регіональний суд німецького міста Бонн проти компанії EPAG (німецька компанія, що входить до складу провідних світових реєстраторів доменів Tucows).
Передісторія полягає в тому, що EPAG вирішила відмовитися від збору технічних та адміністративних контактних даних реєстрантів доменних імен. ICANN стверджувала, що відсутність таких даних може ускладнити ідентифікацію осіб-реєстрантів доменних імен правоохоронними органами, власниками прав на захищені товарні знаки, працівників сфери кібербезпеки та ін. Також ICANN посилалася на необхідність публікації таких даних згідно з умовами своїх контрактів. При цьому EPAG запевняла, що збір, обробка та зберігання таких даних є прямим порушенням Регламенту (наприклад, публікація імен і контактів реєстрантів доменних імен у Whois).
Сталося так, як і гадалося. Ще від початку подейкували, що обидві компанії діють за згодою, щоб створити судовий прецедент, який надасть можливість зрозуміти, як корелюються між собою вимоги GDPR і правила Whois. В результаті суд виніс рішення, в якому постановив не вживати жодних дій щодо EPAG. Європейська судова інстанція так і не встановила, чи може збір, обробка та зберігання адміністративних і технічних даних реєстрантів доменних імен вважатися порушенням Регламенту. Однак можна зробити висновок, що реєстрант і реєстратура мають право відмовитися від збору таких даних.
Ще один німецький кейс привернув увагу суспільства. Соціальна мережа Knuddels.de стала першим німецьким платником штрафу згідно з Регламентом. Близько 880 тис. імейлів та 2 млн паролів користувачів платформи було скомпрометовано, що призвело до фактичного витоку персональних даних. Причиною інциденту стала хакерська атака. Як наказує GDPR, компанія одразу повідомила про витік своїх користувачів і Державного комісара з питань захисту даних та свободи інформації Баден-Вюртембергу. Регулятор наклав на компанію штраф у розмірі 20 тис. євро.
«Вироку» передувало розслідування, в результаті якого виявилося, що компанія неналежно зберігала паролі користувачів. Таким чином платформа порушила вимоги Регламенту щодо шифрування та псевдонімізації персональних даних «в міру потреби». Попри очікування, штрафи виявився невеликим. Регулятор стверджує, що компанія полегшила свою долю, оскільки одразу попередила його і користувачів про інцидент. До того ж компанія активно співпрацювала з регулятором під час розслідування та вклала шестизначні суми для покращення технічних умов зберігання даних. Платформа також узяла до відома і виконала всі рекомендації та юридичні вимоги регулятора щодо правомірної обробки персональних даних. Це було особливо до вподоби Державному комісару, адже у своєму офіційному зверненні він зазначив, що остаточною метою завжди залишається саме належний захист персональних даних громадян, а не просто покарання порушника.
Не менш цікавий кейс створив у вересні 2018 р. австрійський підприємець, який встановив камери відеонагляду навпроти свого закладу. Окрім безпосередньо закладу, камери також знімали значну частину публічного простору. Незважаючи на невеликий штраф у 5280 євро, таке рішення австрійського регулятора цікаве для нас тим, як GDPR регламентує відеоспостереження у публічних місцях.
Порушення полягало в тому, що відеонагляд «зачепив» частину тротуару та місця для паркування навпроти входу в кафе. Регулятор зазначив, що таке спостереження було встановлене без законної мети та не мало відповідних позначок, які попереджали б перехожих про відеонагляд. До того ж персональні зображення громадян не видалялися протягом 72 годин, як вимагає закон. Компанія не надала доказів щодо обґрунтованого зберігання таких зображень протягом тривалого періоду. Варто зауважити, що у своєму рішенні регулятор також посилався на норми Австрійського закону про захист даних.
Здоров’я не купиш
У 2018 р. португальський наглядовий орган у сфері захисту даних провів інспекцію в одному з госпіталів країни, де виявив значні порушення GDPR. Як наслідок, медична установа була оштрафована на 400 тис. євро. Госпіталь порушив базові принципи обробки персональних даних, серед яких був принцип мінімізації даних. Він означає, що обробник даних не може мати більше таких даних, ніж потрібно для обробки. Ціна таких порушень становила 150 тис. євро.
Наступних помилок госпіталь припустився, порушивши принцип цілісності та конфіденційності в результаті невикористання технічних та організаційних заходів для запобігання незаконному доступу до персональних даних. Це коштувало установі додаткових 150 тис. Євро.
Остаточним ударом у вигляді штрафу у 100 тис. євро стало порушення госпіталем вимог щодо забезпечення постійної конфіденційності, цілісності, доступності та стійкості систем і послуг, а також невиконання технічних та організаційних заходів для забезпечення рівня безпеки, адекватного ризикам. Останнє включає процес регулярного тестування та оцінки заходів.
Госпіталь стверджував, що користувався системами, які були надані Міністерством охорони здоров’я Португалії, а не власними розробками, тому не вважає себе відповідальним. До того ж неочікуваним було рішення регулятора призначити штраф публічній організації. Однак, як повідомив португальський наглядовий орган, проігнорувати такі порушення з боку медичної установи було б порушенням принципу рівності всіх перед законом.
Загалом, госпіталь поводився достатньо недбало, розуміючи, що порушує закон. Наприклад, він надав технічним співробітникам можливість доступу до даних на тому рівні, який дозволений медичним працівникам. В установі були відсутні внутрішні правила щодо створення профілів користувачів в інформаційній системі госпіталю. Кожен лікар мав можливість отримати однаковий рівень доступу до даних пацієнтів у будь-який час. Система також містила інформацію про певну кількість акаунтів лікарів установи, тоді як реальна кількість медпрацівників була в декілька разів меншою. Також ситуацію ускладнював той факт, що медична установа обробляла дані, які належать до категорії чутливих (біометричні та генетичні дані, дані про стан здоров’я тощо). Отже, у регулятора були всі причини не пошкодувати лікарню, щоб вона поплатилася за свою недбалість.
Великі гравці
У 2014 р. британська мережа супермаркетів Morrisons потрапила у скандал. Тоді скривджений та мстивий колишній співробітник компанії отримав неавторизований доступ до бази даних і навмисно розмістив персональні дані близько 100 тис. працівників онлайн та в газетах.
Постраждалі звернулися з позовом проти компанії про порушення своїх прав згідно із Законом про захист даних 1998 р. Враховуючи, що справа досі триває, на початку травня цього року, пройшовши чергову інстанцію (апеляційну), Morrisons були визнані винними у порушенні вже іншого закону, а саме Загального регламенту захисту даних. Що стосується мстивого співробітника, то він був ув’язнений на 8 років ще у 2015 р. Наразі Morrisons готує чергову апеляцію до Верховного суду.
Нагадаю, що це не перша неприємність для Morrisons. У 2017 р. компанія була оштрафована на 10,5 тис. фунтів стерлінгів за розсилку більше ніж 130 тис. маркетингових імейлів членам своєї мережевої картки. Отримувачі намагалися відписатися від розсилки за допомогою опції opt-out, але продовжували отримувати електронні листи. Тоді заступник Комісара зазначив, що «компанія має поважати побажання своїх клієнтів, коли мова йде про те, як їхня особиста інформація використовується для маркетингу».
Не Європою єдиною
Ще один серйозний гравець у 2018 р. порушив GDPR, а саме право на забуття. Верховний суд Фінляндії зобов’язав Google видалити зі своєї пошукової системи персональні дані про особу, засуджену за вбивство, включаючи всі пов’язані з цим посилання. Такий кейс має всі шанси стати прецедентним.
Незважаючи на обставини, суд зазначив, що право особи на приватність не може бути порушене навіть через скоєний ним злочин. До того ж видалення інформації не позбавить суспільство права на інформацію, адже особа була засуджена із так званою «зменшеною відповідальністю», що надає йому можливість користуватися усіма правами згідно з GDPR. Спочатку до компанії звернувся фінський регулятор, Омбудсмен із захисту даних, надіславши письмове прохання про видалення даних. Почувши відмову компанії, яка посилалася на законодавство про свободу слова, регулятор звернувся до суду.
Це не єдиний випадок, коли норми GDPR розповсюджувалися на неєвропейські компанії. Знову ж таки, Google був засуджений на 50 млн євро на початку 2019 р. Національною комісією у справах інформаційних технологій та прав людини Франції. Регулятор посилався на те, що компанія не повідомляла користувачів про мету і способи обробки даних, а також не отримувала згоду осіб на таку обробку, чим порушила принципи прозорості та законності. Незважаючи на те, що головний офіс Google знаходиться поза межами ЄС, компанія Google Ireland Limited є контролером даних відповідно до GDPR, що не призначила Офіцера із захисту даних для контролю за діями компанії з обробки даних на території ЄС.
Чого очікувати далі
Зазначені кейси, на жаль, не єдині у своєму роді. Близько 60 тис. заяв про порушення GDPR було подано і близько 100 штрафів виписано з моменту набрання чинності Регламентом. Це означає, що протягом наступного року можна очікувати підвищену увагу до нового європейського закону і ще більше судових прецедентів. Наразі надважливим залишається питання колізій між GDPR та місцевим законодавством в окремих країнах. 2019 р. має шанси подарувати нам нові кейси, які вирішать питання співіснування Регламенту та окремих законів у сфері захисту даних у конкретних юрисдикціях.
Які висновки можна зробити зараз та яких принципів дотримуватися (окрім тих, що були зазначені на початку статті):
- співпрацюйте з органами, адже будь-яка кооперація та визнання помилок може значно зменшити штрафи;
- приділяйте особливу увагу чутливим даним;
- пильнуйте за діями своїх працівників і будьте готові нести за них відповідальність у будь-якому випадку;
- якщо ви маєте сумніви щодо того, чи розповсюджується на вас закон, краще забезпечте GDPR-комплаєнс вашої організації чи компанії.
Потрібно вчитися на чужих помилках!