Новости

Первые штрафы по GDPR. Ошибки, которые приведут к банкротству

14 августа 2019
Сотни тысяч евро выплачивают компании, которые нарушили европейский закон о защите пользовательской информации. Юристы по защите персональных данных разбирают кейсы предприятий, которым конфиденциальность клиентов стоила дорого

Что такое GDPR и кого это касается

GDPR (General Data Protection Regulation) — акт Европейского союза (ЕС), имеющий экстерриториальное действие. Это значит, что его можно применять вне зависимости от того, есть в стране национальные законы о защите персональной информации или нет. Например, в России штрафы за неправильную работу с персональными данными могут доходить до 300 тыс. руб. Но GDPR опаснее отечественного законодательства. Если российская компания нарушит регламент, то ее могут оштрафовать на сумму до €20 млн или на 4% от общего мирового оборота за предшествующий финансовый год.

В Европейском союзе уже насчитывается больше десяти дел по GDPR. Штрафы накладываются как на крупные компании (Google, Facebook, Uber), так и на небольшие (медицинский центр в Португалии). Надзорный орган каждой страны фокусируется на предприятиях разных размеров: в Германии регуляторы, как правило, делают упор на малый и средний бизнес, а во Франции и Великобритании — на крупный. У регуляторов нет цели обанкротить компанию, но согласно GDPR штраф должен быть существенным, чтобы организация поняла серьезность своего нарушения. Описанные ниже кейсы помогают понять, какие реальные риски несет бизнес, если не соответствует требованиям GDPR, а также как можно эти риски снизить.

Google LLC: непрозрачная обработка информации

В мае 2018 года в Национальную комиссию по делам информационных технологий и правам человека (CNIL) поступили коллективные жалобы от правозащитных ассоциаций None of Your Business и La Quadrature du Net. Причина — ненадлежащая обработка персональных данных Google LLC. После проведения проверки комиссия обнаружила целый ряд нарушений и приняла решение оштрафовать компанию. Чтобы доказать вину, комиссия протестировала сервисы Google и системы Android с использованием сценариев поведения пользователя: она повторила пути пользователя при запуске устройства на системе Android и регистрации в сервисах Google.

Непонятные правила. При первом запуске устройства предлагается создать учетную запись «без каких-либо действий со стороны пользователя». При отказе от регистрации в сервисах Google клиент видит предупреждение, что часть действий в операционной системе (ОС) будет недоступна. Такое смешение сервиса и системы мешает пользователю понимать правовые последствия предоставления своих данных.

Нарушение принципа прозрачности. Регламент в ст. 13 закрепляет закрытый перечень информации, которую необходимо предоставлять пользователю. Google эту обязанность не выполнила. Пользователи не могли ознакомиться с информацией на первом уровне. Они могли увидеть ее только в самих сервисах или получив письмо по электронной почте. Google апеллирует к тому, что GDPR не содержит положения, предписывающего представлять такую информацию одновременно и сразу на первом уровне. Потому формально компания выполняет требования. А комиссия обосновывает свою позицию тем, что информация должна быть представлена в «легкодоступной форме» (ст. 12 GDPR). Это означает, что пользователь должен иметь возможность заранее определить, каковы масштабы и последствия обработки предоставленной им информации.

Недостаточная информированность клиента. Как установила комиссия, информацию можно разделить на три типа.

  • Данные, собираемые при использовании сервисов.
  • Данные, генерируемые активностью.
  • Результаты аналитики.

Второй тип информации представляется через ОС Android и необходим для предоставления около 20 услуг. Для некоторых из них используется третий тип данных.

В совокупности эта информация дает детальное представление о частной жизни человека, хотя компания не дает понятных комментариев о целях такой обработки. Комиссия пришла к выводу, что организация должна объяснять на первом уровне, зачем ей требуются личные пользовательские данные.

Незаконное использование данных. В пользовательском соглашении Google содержится положение о том, что клиент выбирает, предоставлять ли ему информацию о себе, чтобы получать персонализированную рекламу. Однако надзорный орган счел, что такое согласие не соответствует требованиям, так как оно прописано недостаточно подробно.

По мнению специалистов Google, компания соблюдает рекомендации CNIL от 5 декабря 2013 года в отношении файлов cookie и персонализированной рекламы. Но, как утверждает комиссия, информация должна быть представлена в более понятной форме, чтобы пользователь мог сразу определить, кто контролер и с чем его просят согласиться.

Учитывая масштабы обработки данных, штраф составил €50 млн.

Оператор телефонных сетей: незаконная обработка информации

В 2018 году гражданин Болгарии подал жалобу на оператора телефонных сетей «Т.Б.» ЕАД: он сообщил, что компания без разрешения обрабатывает его данные.

Клиент долго пользовался услугами этого оператора и вдруг обнаружил, что его перевели на другой тарифный план. Уполномоченный орган решил, что обработка информации в рамках другого тарифного плана незаконна, потому что пользователь не давал своего согласия. Дальнейшая проверка показала, что оператор телефонных сетей неоднократно нарушал процесс обработки персональных данных. За это компанию оштрафовали на 53 тыс. левов (примерно €27 тыс.).

Португальский госпиталь: отсутствие защиты информации

Португальский госпиталь Centro Hospitalar Barreiro Montijo был оштрафован на €400 тыс. за нарушение Общих правил защиты данных.

По правилам GDPR каждый процесс обработки информации должен соответствовать ст. 5 и 6. Надзорный орган Португалии провел проверку в госпитале, которая показала, что сотрудники имели неограниченный доступ ко всем данным пациентов, независимо от специальности врача. В клинике не были приняты необходимые технические и организационные меры для защиты информации клиентов (ст. 32 GDPR). Вызвала вопросы и система управления аккаунтами сотрудников: в больнице были зарегистрированы 985 врачей, в то время как в действительности работали только 296.

В качестве возражения госпиталь сослался на то, что использует систему ИТ, предоставленную государственным больницам Министерством здравоохранения Португалии. Однако надзорный орган решил, что именно больница обязана обеспечивать соответствие ИТ-системы регламенту GDPR.

SERGIC: избыточная обработка информации

Компания SERGIC специализируется на покупке, продаже, аренде и управлении недвижимостью. В ней работают 486 человек, а в 2017 году оборот составил около €43 млн. Предприятие нарушило принцип минимизации данных и не обеспечило необходимые меры для защиты конфиденциальности.

SERGIC предоставляет свои услуги через сайт, куда клиенты могут загружать документы, необходимые для аренды недвижимости и подтверждения прав на объект. Один из пользователей заметил, что при подстановке дополнительного знака в адрес сайта он может получить данные других клиентов. Помимо нарушения конфиденциальности было выявлено, что выгруженные данные вообще не требовались для аренды недвижимости. В ответ компания заявила, что они действительно не являются обязательными в соответствии с указом от 5.11.2015 № 2015-1437 и что пользователи сами загружают лишние документы.

Надзорный орган считает, что несанкционированного доступа можно было избежать: например, если бы компания внедрила средства аутентификации. Такая мера позволяет гарантировать, что лица, получающие доступ к документам, были теми, кто их создал. Реализация такой функции является важной мерой предосторожности: она обеспечила бы конфиденциальность персональных данных в соответствии со ст. 32 (1) ii и значительно снизила бы риск несанкционированного доступа. Ведь загруженные документы могут раскрыть многие аспекты частной жизни. В результате на компанию был наложен штраф в размере €400 тыс.

Авторы: Максим Лагутин, сооснователь и ведущий эксперт по защите персональных данных «Б-152», и Валерия Подаруева, консультант в области защиты персональных данных «Б-152»

РБК, 13.08.2019: https://pro.rbc.ru/news/5d4839899a7947b676e6c153