GDPR: особливості застосування та штрафні санкції за невідповідність

25 травня 2018 року набрав чинності General Data Protection Regulation (GDPR) – це загальний регламент Європейського Союзу, який встановлює правила збору, обробки та захисту персональних даних фізичних осіб на території ЄС.

Відповідно до статті 3 GDPR його норми стосуються обробки персональних даних фізичних осіб, які перебувають на території ЄС, а також компаній, які обробляють персональні дані фізичних осіб на території ЄС, незалежно від того, де компанія базується.

Враховуючи те, що GDPR стосується не тільки тих компаній, які перебувають на території ЄС, важливо знати чи Ваша компанія підпадає під дію GDPR. Компаніям, які не дотримуються норм регламенту, можуть загрожувати значні штрафи та інші санкції.

Тож, сьогодні ми розглянемо які компанії підпадають під дію GDPR та які штрафні санкції передбачені за недотримання вимог регламенту.

З огляду на статтю 3 регламенту український бізнес теж може підпадати під дію GDPR.

Перш за все, розглянемо на який принципах базується GDPR:

• законність, правомірність і прозорість (персональні дані мають опрацьовуватись у законний, правомірний і прозорий спосіб);
• цільове обмеження та мінімізація даних (персональні дані збираються з конкретною ціллю і не використовуються для інших цілей);
• точність (персональні дані мають бути точними, а неточні дані мають бути видалені або виправлені);
• обмеження зберігання (персональні дані зберігаються в формі, що дозволяє ідентифікацію суб’єктів даних не довше, ніж це є необхідним для цілей їхнього опрацювання);
• цілісність і конфіденційність (персональні дані мають опрацьовувати в спосіб, що забезпечує належну безпеку персональних даних).
• підзвітність (контролер має вміти довести дотримання вищезазначених принципів).

Як зрозуміти чи треба Вашій компанії дотримуватись GDPR? Спробуйте задати собі наступні питання:

• чи здійснює Ваша компанія постачання товарів, надання послуг, виконання робіт в ЄС?
• чи працюють у Вашій компанії громадяни чи резиденти ЄС?
• чи має Ваша компанія представництво в ЄС?
• чи використовує Ваша компанія сервери або ж хмарні системи, які базуються в ЄС?
• чи здійснює Ваша компанія моніторинг діяльності своїх клієнтів та покупців в ЄС?
• чи має Ваша компанія доступ до баз даних клієнтів/працівників з ЄС?

Якщо Ви відповіли хоча б на одне питання «так», тоді Вам обов’язково треба ознайомитись з вимогами GDPR.

У національному законодавстві України немає норм щодо дотримання положень GDPR, але Ваші контрагенти з  ЄС зобов’язані дотримуватися вимог регламенту і тому вимагатимуть цього й від Вас.

Таким чином, GDPR поширюються на всі компанії, інтернет-сайти, комерційні та некомерційні організації, що обробляють особисту інформацію громадян ЄС, незалежно від місцезнаходження.

Що ж робити якщо Ваша компанія виявила необхідність у дотриманні GDPR?

Якщо Ви виявили, що взаємодієте з персональними даними резидентів ЄС, тоді Ви маєте дотримуватись правил GDPR.

З чого ж почати?

1) Проведіть аудит та проаналізуйте яким чином Ваша компанія взаємодіє з персональними даними резидентів ЄС.

2) Забезпечте можливість отримання згоди на збирання, обробку, зберігання персональних даних ваших клієнтів, та можливість відкликання такої згоди у будь-який момент.

3) Подбайте про призначення відповідальних працівників та навчання таких осіб.

4) Розробіть та опублікуйте на сайті публічні документи (як мінімум Privacy policy, Terms of Use, Cookie policy) у відповідності до вимог GDPR.

5) Розробіть план дій на випадок інцидентів з безпекою даних. Такий план повинен включати процедури виявлення, оцінки, реагування на інциденти, а також сповіщення

6) Подбайте про документальне та технічне забезпечення захисту персональних даних.

Які документи має впровадити підприємство у свою діяльність, щоб відповідати стандартам GDPR?

• Personal Data Protection Policy (Article 24);
• Privacy Notice (Article 12, 13, 14);
• Employee Privacy Notice (Article 12, 13, 14);
• Data Retention Policy (Articles 5, 13, 17, 30)
• Data Retention Schedule (Article 30)
• Data Subject Consent Form (Articles 6, 7, 9)
• Porental Consent Form (Article 8)
• DPIA Register (Article 35)
• Supplier Data Processing Agreement (Articles 28, 32. 82)
• Data Breach Response and Notification Procedure (Articles 4, 33, 34)
• Data Breach Register (Articles 33)
• Data Breach Notification Form to the Supervisory Authority (Article 33)
• Data Breach Notification Form to Data Subjects (Article 34)

За недотримання вимог GDPR до бізнесу можуть бути застосовані значні штрафні санкції.

Так, згідно регламенту є дві категорії штрафних санкцій, які застосовуються контролюючими органами за порушення вимог GDPR:

1. До 10 мільйонів євро або, у випадку підприємства, до 2 % від загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою, за наступні порушення:

• умов отримання згоди дитини на веб-сайтах (ст.8 GDPR);
• умов обробки, що не вимагає ідентифікації (ст.11 GDPR);
• загальних обов’язків контролера і оператора (ст. 25–39, 42, 43 GDPR);

2. До 20 мільйонів євро або, у випадку підприємства, до 4 % від загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою, за наступні порушення:

• основних принципів обробки персональних даних (ст.5 GDPR);
• законності обробки персональних даних (ст.6 GDPR);
• умов надання згоди (ст.7 GDPR);
• обробки спеціальних категорій персональних даних (ст.9 GDPR);
• порушення прав суб’єктів даних (ст.12–22 GDPR);
• порушення порядку передачі персональних даних до одержувача в третій країні чи до міжнародної організації (ст.44–49 GDPR).

Крім штрафів Ваша компанія може зіткнутись з такими неприємними наслідками недотримання GDPR:

1. Застосування штрафних санкцій до Ваших контрагентів, що в майбутньому призведе до стягнення збитків з Вас у регресному порядку.
2. Відмова іноземних контрагентів працювати з Вашою компанією через недотримання вимог GDPR.
3. Внесення Вашої компанії в blacklist.
4. Низька конкурентноспроможність Вашої компанії через невідповідність GDPR.
5. Надмірна увага контролюючих органів до Вашої компанії.

Згідно з даними Enforcement Tracker, від моменту впровадження GDPR загальна сума накладених штрафів вже перевищила 4 мільярди євро.

Найбільшими серед них стали штрафи компанії Meta, у розмірі 1,2 млрд євро за передачу даних у США та компанії Amazon, у розмірі 746 млн євро за таргетовану рекламу без згоди користувачів.

Що враховує контролюючий орган при визначенні санкції за порушення GDPR?

1. Характер, тяжкість та тривалість порушення. Контролюючий орган буде враховувати характер порушення, за яких обставин відбулось таке порушення і як довго тривало, скільки осіб постраждало та розмір збитків.
2. Наміри. Враховується чи була наявна вина при вчиненні порушення.
3. Зниження ризику. Штрафні санкції буде зменшено за умови, що компанія сприяла зменшенню збитків.
4. Відповідальність. Контролюючий орган встановить ступінь відповідальності організації.
5. Попередні порушення та історія компанії.
6. Рівень співпраці з контролюючим органом. Буде враховано чи сприяла компанія співпраці та допомозі контролюючому органу при дослідженні ситуації, що склалась.
7. Категорії даних, пов’язаних з порушенням. Наприклад, чи не пов’язане порушення з чутливими даними (расове, етнічне та національне походження; політичні, релігійні та світоглядні переконання; і тд.).
8. Повідомлення про порушення. Контролюючим органом буде досліджуватись чи повідомила компанія самостійно про порушення, чи про порушення повідомила третя особа.
9. Кодекси поведінки. Контролюючий орган перевірить чи дотримувалася компанія затверджених кодексів поведінки або механізмів сертифікації.
10. Інші обтяжуючі або пом’якшуючі фактори.

GDPR встановлює норми щодо захисту фізичних осіб ЄС у зв’язку зі збиранням та обробкою їх персональних даних, захищає фундаментальні права і свободи таких осіб.

Так, навіть, якщо Ваша компанія не знаходиться територіально в ЄС, але взаємодіє з персональними даними фізичних осіб ЄС, тоді Ви теж маєте дотримувати вимог регламенту GDPR. У такому разі проведіть аудит Вашої діяльності та розробіть необхідні документи.

Не нехтуйте вимогою дотримуватись GDPR, адже за порушення регламенту передбачені значні санкції, а тому радимо бути з цим обережними.