Війна змусила бізнес шукати можливості продовжувати ефективно працювати. Точніше, взагалі працювати. Як показує статистика, майже половина ІТ-компаній змінили своє місцезнаходження: чи то в межах країни, чи то за кордон. На жаль, війна триває, і ворог додає нові виклики бізнесу, як відсутність світла, Інтернету, зв’язку, тому питання релокації залишається актуальним. Однак, такий сміливий крок потребує детального аналізу та прорахунків всіх ризиків. Одним із таких ризиків є суворі штрафи за GDPR.
Впевнена, що кожен чув про жорсткі вимоги General Data Protection Regulation (GDPR, Регламент) щодо процесів обробки персональних даних. Однак, здійснюючі бізнес в Україні, насправді мало хто замислюється над дотриманням цих правил. Якщо коротко, то GDPR це регламент, який встановлює, як повинні збиратись, зберігатись, оброблятись, передаватись персональні дані фізичних осіб-громадян ЄС.
Навколо GDPR є багато міфів, таких як «штрафи застосовують тільки до великих компаній», «регламент тільки для тих, хто працює в ЄС», «у нас є політики конфіденційності – отже штрафи нам не страшні». Насправді, тепер багато хто з тих, хто був вимушений перенести свій бізнес до ЄС розуміють, що це дійсно міфи, адже GDPR – це серйозно.
1. Розвінчуємо міфи
Почнемо з головного: якщо ви релокували свій бізнес до ЄС і здійснюєте діяльність там – подбайте про дотримання GDPR. І, насправді, неважливо чи зареєстрували ви компанію в Європі чи фактично здійснюєте там діяльність, яка тим чи іншим чином пов’язана з обробкою персональних даних громадян із ЄС. Це може відбуватися, наприклад, якщо ваші працівники/підрядники тимчасово виїхали в Європу, або тим паче, якщо ви найняли співробітників-громадян ЄС.
Головний принцип GDPR його екстериторіальність, тому, якщо ваша компанія обробляє персональні дані резидентів з ЄС – треба зважати на GDPR,незалежно від місцезнаходження вашої компанії.
Для ІТ аутсорсингу, який надає послуги компаніям з ЄС та здійснює від їхнього ім’я збір, обробку та зберігання/передачу персональних даних громадян ЄС (клієнтів цих компаній) застосування GDPR також не новина. Як правило, європейська компанія просто не буде з вами співпрацювати, не закріпивши ваше зобов’язання з дотримання GDPR.
Кілька слів також варто зазначити для e-commerсе. Звісно, війна не могла не вплинути на економічну ситуацію в Україні, та й українські товари набули неабиякої популярності, тому підприємці шукають нові ринку збуту в Європі. Найбільш розповсюджений варіант – це продаж через інтернет-магазин. Тут зупинимось, адже, якщо ви систематично пропонуєте товари/послуги особам, які знаходяться на території ЄС, тим паче пропонуєте доставку товару в ЄС та можливість оплати в євро (польських злотих, шведських кронах, інше), наша вам порада – задумайтесь над GDPR.
Також нагадаємо, що Регламент підлягає застосуванню, якщо компанія проводить дослідження (наприклад, маркетингові) щодо громадян із Євросоюзу. Можливо, для когось буде відкриттям, але якщо ви збираєте (банально, через форму реєстрації), аналізуєте та використовуєте інформацію про користувачів сайту з території ЄС – ви також повинні дотримуватись GDPR.
2. Які ж основні вимоги GDPR?
Перед тим, як перейти до основних вимог, хочемо зауважити, що Регламент розширив поняття персональних даних фізичної особи. GDPR визначає «персональні дані» як будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати. Термін «можна ідентифікувати» в даному аспекті є вкрай важливим, адже до персональних даних відносять не тільки звичні нам ПІБ, ідентифікаційний код, номер телефону, дата народження, адреса, місце проживання, але й такі дані як IP адреса, метадані (cookies), імейл, аккаунт у соцмережі, фото, відео, звук. Якщо підсумувати, то це все те, що дозволяє визначити особу навіть з прихованим справжнім ім’ям.
Враховуючи таке широке поняття «персональних даних», не важко здогадатись, що GDPR висуває дуже суворі вимоги щодо роботи з цими персональними даними.
Принципи Регламенту наступні:
- Lawfulness, fairness and transparency: дані повинні оброблятися тільки законно, прозоро та справедливо для суб’єкта (тобто, суб’єкт персональних даних повинен надати згоду на таку обробку і розуміти як і для чого будуть оброблятись його дані);
- Purpose limitation: дані повинні збиратись тільки для конкретно визначених цілей, знову ж таки, ціль повинна бути доведена суб’єкта.
- Data minimization: важливий принцип для тих, хто полюбляє збирати якомога більше «раптом знадобиться». Треба збирати саме стільки даних, скільки потрібно для досягнення заявленої цілі.
- Аccuracy: дані повинні бути точними, підтримуватись в актуальному стані, неточні дані повинні бути видалені.
- Storage limitation: строк зберігання повинен відповідати меті.
- 6.Integrity and confidentiality: компанія повинна забезпечувати захист персональних даних від несанкціонованої та незаконної обробки, пошкодження або знищення.
Це основні принципи, яких компанія повинна не тільки дотримуватись, але й бути готовою в будь-який момент продемонструвати їх дотримання.
3. Чим загрожує порушення GDPR?
Чому так багато розмов точиться навколо GDPR? Питання в тому, що недотримання вимог GDPR тягне за собою дійсно серйозні наслідки.
Відповідальність в цій сфері варіюється в залежності від типу порушення.
Так, за незначні порушення, такі як неналежне виконання обов’язків щодо сертифікаціях механізму захисту даних, «незначний» штраф – до 10 000 000 Євро або 2% від річного обігу компанії за попередній рік, залежно від того, яка сума більша.
В той же час, за порушення основних принципів, які ми наводили вище, штраф є вдвічі більший – до 20 000 000 Євро або 4% від обігу компанії за рік, залежно від того яка сума буде більшою.
Під час розгляду справи контролюючі органи враховують такі чинники, як тяжкість, тривалість, характер порушення (навмисний чи ненавмисний), попередні порушення, участь компанії у проведенні розслідування, категорії персональних даних, які постраждали.
4. Аналізуємо кейси 2022 року
Після гучних новин про багатомільйонні штрафи Google, Facebook, Amazon, BritishAirways у 2020-2021 роках може скластися враження, що після цього жодних інших порушень не відбувалось. Більше того, такі новини додали впевненості деяким читачам, що штрафи за порушення GDPR застосовують тільки до великих компаній.
Насправді, це не так. За 2022 рік контролюючими органами було прийнято понад 200 рішень про накладення штрафів. Зупинимось на деяких з них, щоб розуміти тенденції та зробити висновки.
4.1. Французьке DPA наклало штраф у розмірі 800 000 Євро на компанію DISCORD INC. DISCORD пропонує послугу онлайн-зв’язку, за допомогою якої користувачі можуть спілкуватися в чаті або здійснювати відеодзвінки. Під час розслідування DPA виявило, що компанія не змогла встановити, а також дотриматися періоду зберігання даних, який відповідає меті обробки. Наприклад, у базі даних DISCORD було понад два мільйони облікових записів французьких користувачів, які не використовували свій обліковий запис більше трьох років, і приблизно 50 тис. облікових записів, які не використовувалися більше п’яти років. DPA також виявило, що компанія не змогла достатньою мірою забезпечити безпеку персональних даних, приймаючи ненадійні паролі від користувачів. Компанія приймала паролі користувачів, які складалися з шести символів, що містили лише літери та цифри.
4.2. Британське DPA оштрафувало будівельну групу Interserve Group Limited на 5 033 000 Євро. Контролер повідомив DPA про порушення даних відповідно до ст. 33 GDPR. Interserve зазнав кібератаки, під час якої зловмисники надіслали фішинговий лист на поштову скриньку бухгалтерської групи Interserve. Пошту відкрив співробітник, який також завантажив і відкрив прикріплений zip-файл. Це дозволило зловмисникам встановити зловмисне програмне забезпечення та отримати особисті дані 113 000 співробітників. Вилучені дані містили інформацію про банківські рахунки, номери соціального страхування, етнічну приналежність, релігію суб’єктів даних серед іншого. Розслідування DPA показало, що нападу дозволили неналежні заходи безпеки. Співробітники Interserve, наприклад, не пройшли відповідного навчання щодо конфіденційності даних.
4.3. Британське DPA наклало штраф у розмірі 1 547 000 Євро на EasylifeLtd. Easylife — це роздрібний продавець, який продає предмети домашнього вжитку. Під час закупівлі певних товарів компанія робила припущення щодо стану здоров’я клієнта, після чого клієнту пропонувалися для придбання інші продукти по телефону чи SMS, пов’язані зі станом його здоров’я. Зі 122 продуктів у каталозі Easylife Health Club 80 позицій були класифіковані як «продукти, що викликають тригер». Після того, як клієнти придбали ці продукти, Easlylife створив їх профіль, щоб націлити їх на товари, пов’язані зі здоров’ям. Під час розслідування DPA виявило, що компанія збирала та використовувала персональні дані (дані про стан здоров’я) загалом 145 500 суб’єктів даних без їхньої згоди чи навіть відома. DPA виявив, що ця «невидима» обробка персональних даних становить серйозне порушення прав суб’єктів даних, оскільки вони взагалі не можуть реалізувати свої права на конфіденційність і захист даних через відсутність інформації про обробку. Крім того, компанія здійснила 1 345 732 небажаних маркетингових дзвінка особам без їхньої згоди на дзвінки. У DPA вважали це порушенням GDPR.
4.4. Іспанське DPA (AEPD) оштрафувало SEGURCAIXA ADESLAS, S.A. DE SEGUROS Y REASEGUROS. на суму 300 000 Євро. Суб’єкт даних, який подав скаргу, отримував маркетингові електронні листи від контролера, незважаючи на те, що був зареєстрований у списку виключення реклами Robinson. Надсилання електронних листів тривало навіть після того, як суб’єкт даних попросив видалити свої дані.
4.5. Наглядовий орган Німеччини наклав штраф у розмірі 80000 Євро на невелику фінансову компанію. Ця компанія не вжила необхідних заходів для збереження цілісності та конфіденційності інформації під час утилізації документів, що містять персональні дані двох клієнтів. Таким чином, без попередньої анонімізації документи було утилізовано у загальній системі переробки макулатури, де документи було виявлено сусідом.
Це тільки деякі кейси, які, тим не менш, доводять, що контролюючі органи не допустять безкарності за порушення GDPR.
Надаємо рекомендації по GDPR
Перша і найголовніша порада, яку хочемо надати – дійсно дбати про GDPR compliance, а не грати в імітацію. Багато хто помилково вважає, що наявність політик конфіденційності на сайті, наприклад, це вже неабиякий захист персональних даних. Але ж ми впевнені, що після прочитання цієї статті це уявлення однозначно зміниться.
Щодо рекомендацій, виділимо наступні:
- Рекомендуємо в першу чергу провести due diligence та проаналізувати, як саме ваша компанія збирає та обробляє персональні дані, чи належним чином забезпечено захист цих даних.
- Подбайте про документальне та технічне забезпечення захисту персональних даних. Принагідно зазначу, що необхідно розробити та імплементувати в середньому 30 документів.
- Пам’ятайте про те, що ви будете нести відповідальність навіть за умови, що витік інформації стався не з вашої вини (наприклад, хакерська атака).
- Отримуйте згоду на отримання, обробку, зберігання персональних даних ваших клієнтів/користувачів.
- Обов’язково надайте користувачу зрозуміле право на відкликання згоди на обробку своїх персональних даних у будь-який момент.
- Особливу увагу приділяйте чутливим персональним даним.
- У випадку витоку інформації невідкладно повідомляйте контролюючий орган.
- Подбайте про призначення відповідальних працівників та здійсність навчання працівників.
- Поважайте клієнтів та не здійснюйте маркетингові дзвінки, не направляйте листи у випадку, коли клієнт попросив цього не робити.
- Розробіть та опублікуйте на сайті публічні документи (як мінімум Privacy policy, Terms of Use, Cookie policy) у відповідності до вимог GDPR.
Звісно, наведені рекомендації є лише верхівкою айсбергу.
Висновок
В умовах релокації бізнесу в Європу рекомендуємо все ж не нехтувати законодавчими актами Європейського Союзу у сфері збереження персональних даних. Контролюючі органи не будуть робити винятки у разі виявлення порушень, безкарності за порушення у сфері приватності не буде.