Загальний регламент із захисту даних (GDPR) діє вже рівно три роки, і, якщо у 2018 році регуляторні органи тільки починали свої розслідування та поступово змушували компанії дотримуватися правил приватності, то тепер вони повноцінно та жорстоко карають за найдрібніші порушення. Тож, що ж змінилось у сфері захисту персональних даних? Які нові тенденції GDPR варто врахувати для вдалого співробітництва з іноземними партнерами? За що в цьому році накладають штрафні санкції контролюючі органи? Розберемося у цій статті.

1. ЯКІ НОВІ ТЕНДЕНЦІЇ GDPR?
Розвиток інформаційних технологій, та вже проведені розслідування з боку регуляторних органів дозволяють зробити висновки про необхідність постійного підтримання GDPR compliance в актуальному стані. Для цього, в першу чергу, варто стежити за новими тенденціями та роз’ясненнями контролюючих органів, про які ми вам і розкажемо.
1. Так, регуляторний орган Німеччини дійшов висновку, що суб’єкт персональних даних може погодитися на зниження рівня захисту в індивідуальному порядку, якщо згода надається добровільно згідно зі ст.7 GDPR. Нагадаємо, що саме стаття 7 Регламенту закріплює умови надання згоди. Регулятор досліджував випадки, коли необхідність зберігання та обробки чутливих даних вимагає від контролера дотримання інколи надто високих вимог для дотримання інформаційної безпеки (наприклад, наскрізне шифрування електронної пошти при відправці чутливих даних поштою). Водночас, у компанії-контролера може не бути технічної можливості здійснити такі заходи, а необхідність обмінятися даними через електронну пошту, в тому числі на вимогу суб’єкта персональних даних, є. В такому випадку регуляторний орган Німеччини доходить висновку, що контролер зобов’язаний підтримувати необхідні засоби безпеки, але на прохання суб’єкта персональних даних може знизити рівень захисту в індивідуальному порядку.
2. В квітні цього року регуляторний орган Іспанії надав роз’яснення щодо анонімізації даних. Такий інструмент доволі часто користується популярністю у компаній як спосіб «назавжди» зберегти та законно використовувати дані. Саме тому, AEPD надало роз’яснення щодо помилок, пов’язаних з анонімізацією даних.
- Так, контролюючий орган зазначає, що твердження «анонімізація – це назавжди» є міфом. Ризик в тому, що з часом обставини та технології можуть змінитися, а отже зловмисник матиме змогу спробувати повторно ідентифікувати анонімний набір даних, який ви зберігаєте.

- Регуляторний орган також розвінчує міф про те, що анонімізацію можливо провести повністю в автоматичному режимі. Так, AEPD зазначає, що автоматизовані засоби анонімізації даних можуть і повинні використовуватися, однак з обов’язковою участю особи-експерта. Сама по собі автоматизація матиме беззаперечну ефективність у випадку видаленні прямих ідентифікаторів, в той же час автоматично ідентифікувати непрямі ідентифікатори у різних контекстах вкрай важко.
- В цілому, регуляторний орган знову наголошує на тому, що при правильній анонімізації персональних даних можливо зберегти функціональність цих даних для обраної мети.
3. European Data Protection Board надало цікаві роз’яснення щодо використання віртуальних голосових помічників (VVA).
- При цьому, рада з питань захисту персональних даних наголошує, що контролери даних, які надають послуги VVA, повинні гарантувати, що користувачі можуть здійснювати свої права суб’єктів даних шляхом використання простих голосових команд.
- Провайдери / дизайнери VVA, а також розробники мобільних застосунків повинні обов’язково в кінці процесу інформувати користувачів про те, що їх права були належним чином враховані, голосом або письмовим повідомленням.
- Провайдери / дизайнери VVA повинні враховувати, що при зборі голосу користувача запис може містити голос або дані інших осіб, такі як фоновий шум, які не є необхідними для використання. Тому, розробникам VVA слід розглянути технології, котрі будуть фільтрувати непотрібні дані і гарантують, що записується виключно голос користувача.
- Оскільки дані VVA обробляються для виконання запитів користувача, тобто виключно для надання послуги, яка запитується користувачем, контролери даних звільняються від вимоги отримувати попередню згоду відповідно до ст. 5(3) e-Privacy Directive. В той час, як в іншому випадку така згода є обов’язковою.
2. ПРИГОЛОМШЛИВІ ШТРАФИ 2021.
Регуляторні органи продовжують наполягати на тому, що персональні дані є надто важливими, щоб жартувати з ними. Саме тому, перелік застосованих ними штрафних санкцій зростає з кожним днем. І, якщо раніше, спільнота звертала увагу тільки на значні мільйонні штрафи, накладені на бізнес-гігантів, то тепер всі розуміють, що штраф може бути накладено на ВСІХ. Наведу приклади, які вражають найбільше.
1. В січні 2021 року німецький регулятор застосував до компанії Notebooksbilliger.de, яка займається продажем ноутбуків штраф у розмірі 10,4 млн. Євро. Покарання було накладено за спостереження за працівниками за допомогою постійного відеоспостереження протягом останніх двох років без законних підстав. Камери встановлювали в місцях загального користування працівників, на робочому місці, на складі та в торгових точках. Компанія також реєструвала клієнтів без їхньої згоди, розміщуючи камери в певних місцях, таких як зони відпочинку або торгові зали, де клієнти тестували продукцію.

2. В січні цього року іспанський регуляторний орган наклав штраф на компанію фінансових послуг Caixabank у розмірі 6 млн. Євро за зловживання даними клієнтів. Зокрема, компанія використовувала неточну термінологію в політиці конфіденційності та не виконувала вимоги щодо отримання належної згоди.

3. Підтвердженням екстериторіальної дії GDPR є повідомлення 05 травня цього року щодо наміру норвезького регуляторного органу застосувати до американської компанії Disqus Inc. штраф розміром 2,5 млн. Євро за невиконання вимог GDPR щодо підзвітності, законності та прозорості. Ключовим порушення було те, що компанія Disqus не отримала згоду підручних даних на обробку персональних даних, збережених за допомогою файлів cookie.
Насправді, у вас може скластися враження, що контролюючі органи наглядають тільки за акулами бізнесу, і ваша невелика компанія в безпеці. Але, це не так. Звертаю вашу увагу на те, що штрафи дійсно накладаються на всі без винятку компанії за порушення, які для когось можуть здатися абсурдними. Наводжу деякі приклади.
1. Бельгійський наглядовий орган оштрафував оператора веб-сайту новин на 15 000 Євро за те, що оператор надав на сайті політику конфіденційності тільки англійською мовою, хоча вона також була адресована аудиторії, яка говорить голландською та французькою мовами. Крім того, перша версія політики конфіденційності була важкодоступною і не згадувала правову основу для обробки даних відповідно до GDPR.
2. Наглядовий орган Німеччини наклав штраф в розмірі 80000 Євро на невелику фінансову компанію. Ця компанія не прийняла необхідних заходів для збереження цілісності та конфіденційності інформації при утилізації документів, що містять персональні дані двох клієнтів. Таким чином, без попередньої анонімізації документи були утилізовані в загальній системі переробки макулатури, де ці документи були виявлені сусідом.
3. Голландський орган із захисту даних 19 травня 2021 року оштрафував компанію CP&A BV на 15 000 Євро за обробку даних про стан здоров’я працівників з порушенням GDPR. Зокрема, AP зазначила, що CP&A зафіксували «особливі категорії персональних даних» через онлайн-реєстрацію прогулів, яка не мала необхідної багатофакторної аутентифікації. Окрім цього, AP визначив, що CP&A реєструє конфіденційну інформацію, пов’язану з фізичним та/або психічним здоров’ям працівників, а також характером та причиною їхньої хвороби.
ВИСНОВКИ
За останні три роки переважна більшість компаній зрозуміла необхідність інвестувати кошти в забезпечення належного рівня захисту конфіденційної інформації в своїй компанії. Однак, деякі власники бізнесу досі вважають, що застосування GDPR не має значення, та вони ніколи не будуть притягнуті до відповідальності. В той же час, реальність сьогодення показує, що безкарності за порушення у сфері приватності не буде: чи то зі сторони контрагентів, чи то зі сторони контролюючих органів. Тим компаніям, які вже впровадили GDPR compliance у своїй діяльності також потрібно тримати «руку на пульсі», стежити за новими тенденціями, guidelines, і підтримувати систему конфіденційності в актуальному стані.