Общий регламент по защите персональных данных (англ. General Data Protection Regulation) (далее — GDPR) — нормативный правовой акт Евросоюза, вступивший в силу 25.05.2018 и значительно ужесточивший правовое регулирование сбора, обработки, хранения, использования персональных данных жителей Евросоюза.

Одной из ключевых особенностей GDPR стало его экстратерриториальное применение, т.е. распространение действия на компании, не имеющие места учреждения на территории Евросоюза, но собирающие и обрабатывающие персональные данные европейцев. Второй ключевой особенностью стали серьезные меры ответственности, применяемые для нарушителей GDPR, — штраф до 20 миллионов евро или 4% годового мирового оборота за предыдущий финансовый год, в зависимости от того, что из этих двух опций больше. При этом каждое национальное ведомство по защите персональных данных конкретной страны Евросоюза может налагать штрафы вне зависимости от того, наложило ли похожий/аналогичный штраф иное национальное ведомство. Главное, чтобы были нарушены права жителей определенной страны Евросоюза.

Соответственно практика применения GDPR была и остается актуальной для белорусских компаний, собирающих и обрабатывающих данные жителей Евросоюза. В частности, это компании ИТ-отрасли, компании сектора телекоммуникаций, то есть те, чья деятельность напрямую связана со взаимодействием с данными (в том числе и персональными). Поэтому важно понимать, насколько критичен подход к нарушениям со стороны регулирующих органов, какой подход они выбирают — «карательный» или «воспитательный», какие статьи GDPR оказываются наиболее «популярными» и каковы размеры вменяемых штрафов.

Наиболее распространенные виды нарушений GDPR

Спустя год после вступления в силу GDPR можно отметить, что правоприменительная практика в настоящий момент еще не настолько обширна. В частности, наиболее показательными являются нарушения GDPR по следующим направлениям:

1. Утечка персональных данных вследствие несоблюдения/неосуществления контроллером/процессором технических и организационных мер для обеспечения уровня безопасности, соответствующего риску возникновения такой утечки (пункт 1 статьи 32 GDPR).

2. Согласие субъекта на обработку персональных данных, полученное под влиянием заблуждения
(статья 5, статья 6, статья 7 GDPR).

3. Нарушение прав субъектов персональных данных, в частности права быть проинформированным об обработке его данных (статья 14 GDPR).

4. Отсутствие явно выраженного согласия субъекта персональных данных на передачу его данных третьим лицам (data sharing) (статьи 5, 6, 7, 14 GDPR).

5. Нарушение принципа минимизации данных, согласно которому объем обрабатываемых персональных данных должен быть ограничен и соответствовать целям их обработки (статья 5 GDPR).

Примеры нарушений GDPR и последовавшие за ними санкции

Один из первых  административных штрафов в размере 20 000 евро был наложен в ноябре 2018 г. Государственным Комиссаром по защите данных и свободе информации Баден-Вюртемберг (LfDI) Федеративной Республики Германия в отношении компании knuddels.de (социальная сеть для знакомств посредством сети Интернет) за нарушение обязательства по защите персональных данных согласно положениям GDPR.

Вследствие хакерской атаки было взломано большое количество учетных записей пользователей социальной сети, в частности стали доступными публично более 800 000 адресов электронной почты и паролей. Стоит отметить, что сразу после инцидента компания незамедлительно уведомила LfDI согласно пункту 1 статьи 33 GDPR. После расследования LfDI постановил, что компания хранила пароли пользователей открыто в незашифрованном текстовом формате. Следовательно, компания сознательно нарушила свое обязательство гарантировать субъектам персональных данных безопасность данных и не осуществила технические и организационные меры для обеспечения уровня безопасности хранения персональных данных, требуемые в соответствии со статьей 32 GDPR.

Тем не менее относительно небольшая сумма штрафа обусловлена «образцовым сотрудничеством»: немедленным направлением уведомления LfDI и обеспечением LfDI всесторонней информацией о причинах утечки данных. Кроме того, LfDI принял во внимание значительные инвестиции компании в совершенствование ее мер обеспечения безопасности данных после произошедшей утечки персональных данных.

За один год с момента вступления в силу GDPR самым крупным административным штрафом отметилась компания Google LLC, разработчик наиболее популярного интернет-поисковика. Национальная комиссия по информатизации и свободе Франции (далее — CNIL) в январе 2019 г. наложила штраф в размере 50 000 000 евро на Google LLC по результатам исследования жалоб, ранее направленных французскими организациями по защите прав на частную жизнь — None Of Your Business и La Quadrature du Net. Google LLC, по данным CNIL, не смогла надлежащим образом проинформировать пользователей о том, как их персональные данные собираются и используются для показа рекламных и маркетинговых сообщений.

Также Google LLC не удалось должным образом получить согласие пользователей в целях использования их данных для показа им персонализированной рекламы — отсутствовало так называемое прямо выраженное согласие, которое реализуется, например, посредством клика (щелчка) по соответствующей галочке договора в электронной форме. Кроме того, CNIL обнаружила, что согласие пользователей Google LLC на использование их персональных данных недействительно, так как информация о сборе и использовании данных неоднозначна и неконкретна (разбита по нескольким документам, затрудняет четкое представление пользователя о том, какие именно персональные данные собираются и как они используются компанией), а также не указан срок хранения таких данных.

Следовательно, компания Google LLC нарушила обязательство по донесению до субъекта персональных данных целей обработки персональных данных (статья 13 GDPR), а также не получила согласие субъекта на обработку персональных данных надлежащим образом или получила его под влиянием заблуждения (статьи 5, 7 GDPR).

Достаточно примечательным прецедентом является наложенный в апреле 2019 г. греческим уполномоченным органом по защите персональных данных административный штраф в общем размере 30 000 евро на компанию Hellenic Petroleum S.A. (нефтепереработка, АЗС) за незаконную обработку персональных данных. Так, в данном случае отсутствовало явно выраженное согласие субъекта персональных данных на обработку особых категорий персональных данных (статья 9 GDPR) и также не были приняты процессором выделенных персональных данных соответствующие технические и организационные меры для обеспечения уровня безопасности таких данных (статья 32 GDPR). Компания Hellenic Petroleum S.A. привлекла подрядчика для проведения исследования потребительских предпочтений от имени компании. Исследование было опубликовано в интернете, в том числе и его результаты, которые включали персональные данные особых категорий (так называемые чувствительные персональные данные), такие как политические мнения, членство в профсоюзах и участие в ассоциациях. Уполномоченный орган по защите персональных данных установил, что компания Hellenic Petroleum S.A. являлась в данной ситуации контроллером (определяла цели обработки персональных данных), а подрядчик — процессором (выполнял поручения контроллера), а соответственно компания Hellenic Petroleum S.A. несет ответственность за действия подрядчика. Явно выраженное согласие субъектов особых категорий (чувствительных) персональных данных согласно статье 9 GDPR не было получено ни компанией, ни подрядчиком. Кроме того, штраф был наложен и за неспособность обеспечить надлежащие технические и организационные меры для защиты таких категорий персональных данных.

Еще одним «свежим» прецедентом является административный штраф в размере 200 000 евро в отношении шведской компании Bisnode, наложенный Органом по надзору за соблюдением законодательства о защите персональных данных Республики Польша, за несоблюдение компанией обязательства уведомить субъектов персональных данных о намерении обрабатывать данные, которые не были получены от субъектов персональных данных напрямую (статья 14  GDPR — Нарушение права субъекта персональных данных быть уведомленным об обработке персональных данных).

Компания Bisnode получила персональные данные из публичных реестров деловой активности (например, реестр юридических лиц) и использовала такую информацию в коммерческих целях (для маркетинга). По словам представителя Bisnode, компания информировала отдельных лиц об обработке их персональных данных только в том случае, если у нее были адреса их электронной почты. В остальных случаях такого информирования не происходило. Компания заявила, что не выполняла свое обязательство по информированию субъектов персональных данных из-за высоких затрат, которые для этого потребуются. Вместо этого она опубликовала обобщенное уведомление об обработке персональных данных на своем веб-сайте. Решение уполномоченного органа по защите персональных данных Республики Польша было основано в том числе и на том, что компания преднамеренно не выполняла свое обязательство в соответствии со статьей 14 GDPR. Помимо штрафа в 200 000 евро на компанию Bisnode было наложено обязательство в течение трех месяцев связаться с 6 миллионами лиц, чтобы выполнить свое обязательство в соответствии со статьей 14 GDPR, что по расчетам компании будет стоить около 8 — 9 миллионов евро.

Примечательным прецедентом является наложенный уполномоченным органом по защите персональных данных Дании в марте 2019 г. административный штраф размером 180 000 долл. США на компанию, занимающуюся перевозками посредством такси. Компания удаляла имена пользователей из своей базы через два года после последней поездки, а остальную информацию оставляла нетронутой, включая и телефонные номера. Таким образом, DPA оштрафовал компанию за несоблюдение принципа минимизации данных — принципа, согласно которому данные должны обрабатываться (в том числе и храниться) столько времени, сколько это необходимо для изначальных целей обработки. Так как в данном случае телефонный номер должен был обрабатываться лишь для целей связи водителя с пользователем (до, а также некоторое время после поездки, например, если пользователь забыл какую-либо вещь в салоне автомобиля), хранение таких персональных данных в течение двух лет было неоправданным.

Общие выводы и рекомендации белорусским компаниям по соблюдению GDPR

Таким образом, практика применения GDPR пока ограничивается лишь наиболее «принципиальными» нарушениями: например, необеспечение надлежащих технических и организационных мер по защите персональных данных, нарушение порядка получения согласия субъекта персональных данных на обработку его персональных данных либо его неполучение, избыточная обработка персональных данных, нарушение прав субъектов персональных данных (право быть проинформированным, право на забвение и др.). Примечательным фактом является практически полное отсутствие взысканий в отношении компаний, которые не учреждены на территории Евросоюза, что может быть на данном этапе хорошим знаком для белорусских компаний. Тем не менее с учетом все более набирающей обороты правоприменительной практики не исключено, что взыскания будут все более часто применяться к иностранным, неевропейским компаниям. Кроме того, будет расти и количество статей GDPR, в соответствии с которыми регулирующие органы будут налагать административные штрафы.

Для обеспечения базового соответствия GDPR белорусским компаниям следует:

1. Надлежащим образом получать согласие на обработку персональных данных. В частности, согласие на обработку особых категорий персональных данных (данные о здоровье, данные о религии, иное) должно быть явно выраженное, например, при помощи подписи, клика на соответствующей галочке веб-сайта или мобильного приложения. При последующей передаче данных субъектов третьим лицам также необходимо получать согласие субъектов. Например, многие ИТ-компании используют персональные данные для маркетинга или аналитических целей с привлечением подрядчиков (процессоров) с непосредственной передачей персональных данных таким подрядчикам. Субъект должен дать информированное и полное согласие на такое использование его персональных данных.

2. Обеспечивать надлежащие технические и организационные меры по обеспечению информационной безопасности в организации. Так, компаниям рекомендуется иметь развернутые и применяемые на практике политики по таким направлениям, как:

— Правила пользования оборудованием (компьютерами, смартфонами) в организации;

— Правила хранения персональных данных (с указанием сроков хранения);

— Правила использования удаленного доступа в компании;

— Правила классификации персональных данных (с определением уровня чувствительности данных);

— Правила использования электронных носителей;

— Правила использования файрволов, антивирусов;

— План реагирования на происшествия и утечки персональных данных;

— Правила системной конфигурации.

3. Реализовывать права субъектов, например право на удаление данных, доступ к данным, экспорт данных (например, используются такие форматы, как svc или json) и иные. При этом необходимо определенно донести до субъектов, как такие права будут реализованы — посредством заполнения формы, письменного запроса в службу поддержки или иным способом.

4. Надлежащим образом оформлять договорные отношения с подрядчиками (процессорами) персональных данных, в том числе когда и сама компания выступает таким подрядчиком (процессором).

5. Обучать работников базовым правилам работы с персональными данными, лимитировать доступ к персональным данным для разных категорий работников, подписывать соответствующие обязательства о неразглашении.