Прошел уже целый год со дня вступления в силу Директивы Евросоюза 2016/679, более известной как GDPR. Ниже – о самых показательных прецедентах и основных тенденциях применения GDPR в Европе.
В течение первых месяцев после вступления в силу GDPR большинство европейских национальных регуляторов начали с предварительных расследований, в основном предлагая рекомендации для компаний-нарушителей и совсем незначительные штрафы.
Одним из первых, в ноябре 2018 года немецкий регулятор оштрафовал местного провайдера социальных сетей за нарушение обязательства по обеспечению безопасности данных пользователей сети. После хакерской атаки летом 2018 года провайдер обратился к уполномоченному органу с уведомлением об утечке данных и одновременно уведомил об этом пользователей сети. Однако в ходе разбирательств выяснилось, что пароли пользователей хранились в незащищенном виде. В процессе рассмотрения данного инцидента провайдером были внедрены меры по усовершенствованию информационной безопасности компании, что повлияло на решение регулятора и привело к применению незначительного штрафа в размере 20,000 евро.
Как в Европе, так и за ее пределами многие пророчили "показательную казнь" для парочки крупных всемирно известных корпораций. Это послужило бы примером для остальных и ускорило процесс адаптации к новым требованиям европейского законодательства в части защиты персональных данных граждан ЕС.
После выработки определенной практики применения требований нового законодательства, европейские надзорные органы от превентивных мер перешли к активным действиям.
Компания Google попала под "прицел" европейского надзорного органа еще в начале 2018-го. А уже весной 2019 года весь интернет пестрел заголовками о "крупнейшем штрафе в истории применения GDPR" в размере 50 млн евро.
Французский орган по защите персональных данных начал расследование в отношении рекламной политики Google еще весной 2018 года, вскоре после поступления жалоб от двух правозащитных организаций. В своем отчете регулятор назвал причины, по которым корпорация была оштрафована.
Как выяснилось, Google не централизует процесс сбора пользовательских данных на одной странице, а вместо этого требует выполнять до 5-6 действий, в результате чего пользователи в полной мере не осознают масштабы использования их персональных данных.
Такая важная информация как цели обработки данных и категории личных данных, используемых для персонализации рекламы, чрезмерно разбросана в нескольких документах. Доступ к ним можно получить, перейдя по ряду ссылок, что делает такую информацию труднодоступной для пользователя. Помимо этого, регулятор отмечает, что цели обработки данных описаны слишком обобщенно и расплывчато, а из формулировок непонятно, что является правовой основой для обработки персональных данных и их использования для персонализации рекламы: согласие пользователя или законный интерес компании.
Помимо прочего, комиссия посчитала текст соглашения об обработке персональных данных недостаточно информативным и однозначным. Например, когда Google просит согласия на показ персонализированной рекламы, компания не предупреждает, что речь идет о рекламе во всех ее сервисах.
Есть большая вероятность того, что Google будет не единственным технологическим гигантом, оштрафованным на столь значительную сумму.
В ноябре 2018 года нидерландским регулятором было проведено расследование в отношении Microsoft. В его результате было установлено, что механизм сбора данных телеметрии, используемый программой Microsoft Office, нарушает общие положения GDPR. В отчете речь идет о 8 нарушениях, которые удалось обнаружить в подписках ProPlus Office 2016 и Office 365, а также в веб-версии Office 365. Представители надзорного органа заявили, что определили «крупномасштабный и скрытый сбор личных данных пользователей» с помощью встроенных в программу возможностей сбора телеметрии без надлежащего информирования пользователей.
Также во время расследования было обнаружено, что система сбора телеметрии отправляет данные о голландских пользователях на серверы США, чем было крайне обеспокоено правительство Нидерландов. Ведь на сервера также могла попасть конфиденциальная информация, поскольку Office установлен и используется на правительственных компьютерах.
Именно это расследование привлекло к Microsoft внимание Европейского надзорного органа по защите персональных данных, который в апреле 2019 сделал официальное заявление о начале проверке всех контрактов, заключенных между корпорацией и учреждениями ЕС, на их соответствие требованиям GDPR.
Facebook тоже не смог остаться не замечен. В апреле 2019 года ирландский регулятор анонсировал официальное расследование относительно небезопасного хранения компанией пользовательских паролей.
Может сложиться впечатление, что европейские регуляторы сфокусировали все внимание на больших корпорациях, однако это не совсем так.
В марте 2019 года польский регулятор впервые оштрафовал небольшую местную аналитическую компанию, которая занимается сбором персональных данных из общедоступных реестров на 220 000 евро за нарушения требований GDPR в части неуведомления пользователей о порядке обработки персональных данных. В то же время в Дании была оштрафована местная таксомоторная компания на сумму $180 000 долларов за хранение клиентских номеров, которые не пользуются услугами компании.
Все эти кейсы только подтверждают серьезные намерения европейцев по отношению к процессу сбора, обработки, хранения и защиты персональных данных. И не имеет значения, кто является нарушителем – интернет-гигант или небольшая компания, осуществляет она свою деятельность на территории ЕС или нет.
У представителей частного сектора была возможность привести все свои бизнес-процессы в соответствие с новыми европейскими требованиями еще с начала 2016 года, но, как показала практика, требования были выполнены поверхностно, что привело к негативным последствиям как для компаний-нарушителей, так и для пользователей.
В целом, первый год применения GDPR вышел плодотворным и насыщенным, но и следующий обещает быть не менее интересным. Анализ подобных кейсов помогает выявить и оценить уязвимости и риски, с которыми может столкнуться потенциальный нарушитель, и предотвратить негативные последствия, не дожидаясь реальных штрафов и "ухода" клиента.
Пока что ни одна украинская компания не столкнулась со штрафами европейских регуляторов.
Подписанное между ЕС и Украиной Соглашение об Ассоциации вступило в силу в полном объеме с 1 сентября 2017, а это значит, что перед украинским бизнесом открылись новые возможности для сотрудничества с ЕС в связи с функционированием зоны свободной торговли.
Однако бизнесу придется столкнуться с рядом вызовов, поскольку предусмотренная Соглашением зона свободной торговли определяет правовую базу для свободного перемещения товаров, услуг, капиталов, частично рабочей силы между Украиной и ЕС. Соблюдение норм европейского законодательства является обязательным.
Если украинский бизнес намерен сотрудничать с европейскими клиентами, то возможность избежать влияния GDPR в таком случае будет маловероятной.