В Европе штрафуют на сотни тысяч за нарушения при обработке данных. Как это касается украинцев

Если ваша компания имеет дело с персональными данными и вы работаете с европейским рынком, то, скорее всего, слышали о GDPR, то есть об общем регламенте по защите данных в рамках Европейского Союза. И велика вероятность того, что вы слышали о суммах, которые предусмотрены за его нарушение. Максимальный штраф – 20 млн евро, или 4 % от годового оборота, в зависимости от того, какая сумма выше.

В колонке для MC Today Дмитрий Корчинский из компании Avitar, сертифицированный специалист по защите персональных данных, разбирает три громких кейса, когда компании нарушили GDPR.

Многие компании осознанно нарушают некоторые законы, закладывая при этом в бюджет ожидаемые штрафы. В случае с GDPR предусмотреть сумму штрафа невозможно. Ведь в тексте самого регламента говорится о том, что сумма санкции оценивается для каждого случая индивидуально. Потому это может быть как €5 тыс., так и €5 млн.

Широкий диапазон не позволяет предугадать сумму даже самым опытным финансистам. И компании по всему миру приняли для себя решение либо уйти с рынка Европы, либо же выполнять требования регламента. Ведь дешевле соответствовать GDPR, чем выплачивать штрафы и терять доверие пользователей из-за публичной огласки нарушений. К слову, полное соответствие GDPR зачастую повышает уровень доверия пользователей.

Но соответствовать GDPR сложно – текст регламента длинный и написан юридическим жаргоном. Более того, в GDPR много новых положений, которых не было до этого – вопросы возникают даже у специалистов. Потому неудивительно, что нарушения есть, а компании-нарушители выплачивают штрафы.

Расскажу несколько историй о том, за что несколько компаний уже получили штрафы.

Итак.

1. Что произошло: обработка данных без уведомления

Где: Польша

Сумма: 220 тыс. евро

Представим типичный разговор маркетолога и сейлза:

Сейлз: «Где взять лиды?»
Маркетолог: «В интернете найдем!»

Действительно, множество данных можно найти в открытом доступе. Например, из государственных реестров при желании можно извлечь всю нужную информацию о потенциальном клиенте. Примерно так и поступила варшавская компания, которая взяла из CEIDG, польского аналога ЄДРПОУ, данные 6 миллионов предпринимателей!

И все бы ничего, но компания приступила к коммерческой обработке персональных данных, предварительно не уведомив большинство субъектов. А частичное уведомление повлияло на сумму штрафа, ведь это подтвердило факт осознанности действия. Получается, что компания уведомила тех, кому ей было удобно уведомить, а именно субъектов, у которых был указан адрес электронной почты.

Примечательно, что из 90 тыс. уведомленных 12 тыс. использовали свое право на отказ от обработки персональных данных, что составляет примерно 13 %. Отписка каждого 9-го пользователя показывает важность корректного уведомления об обработке. Но так как уведомления получили лишь 1,5 % от всех субъектов, компании был выставлен штраф в размере 220 тыс. евро.

Как этого можно было избежать?

Компании следовало уведомить всех об обработке данных. Однако просто уведомление не подойдет, ведь оно должно соответствовать всем критериям 14-й статьи GDPR. Если бы компания выполнила требование законодательства и потратила ресурс на уведомления, то не пришлось бы погашать штраф и возвращаться к обработке уже легальным путем. Как говорится, ленивый делает дважды.

Урок: убедитесь, что субъект уведомлен о грядущей обработке его персональных данных. Используйте для уведомления все возможные каналы связи, а не те, которые удобны или выгодны вам. Не приступайте к этому процессу, если существует вероятность того, что пользователь может не знать об обработке.

2. Что произошло: нарушение обработки данных в медицинском учреждении.

Где: Португалия

Сумма: 400 тыс. евро

Португальский регулятор обнаружил сразу три нарушения положений GDPR, поэтому штраф оказался таким высоким. Разберем каждое.

Первое: госпиталь не ограничил круг лиц, которые имели доступ к данным пациентов. Это обошлось в 150 тыс. Второй штраф тесно связан с первым, ведь лица пользовались данными, к которым не должны были иметь доступ. Следовательно, доступ был незаконным. Регулятор оценил второе нарушение в 150 тыс. евро. О причинах последнего нарушения можно догадаться, зная первые две. Ведь если бы руководство госпиталя приняло разумные технические и операционные меры по защите персональных данных, то, вероятно, не было бы и штрафа. Однако решения не нашли, за это госпиталю пришлось расстаться еще со 100 тыс. евро.

Как этого можно было избежать?

Ответ на этот вопрос кроется в третьем нарушении. Госпиталю следовало принять меры по технической и организационной безопасности данных. Например, можно было создать внутреннюю политику, когда определялись бы уровни доступа и информация, к которой определенный пользователь имеет право доступа. Эффективным внедрением этой политики была бы установка CRM-системы, которая технически упорядочивала бы операционные меры.

Урок: внедряйте операционные и технические меры по обработке персональных данных. Создавайте свой продукт, стараясь предусмотреть все возможные риски – будьте проактивны, а не реактивны.

3. Что произошло: хранение информации в текстовом файле.

Где: Германия

Сумма: 20 тыс. евро

В июне немецкий сайт Knuddels.de стал жертвой хакерской атаки, в результате которой данные пользователей платформы попали в открытый доступ. На первый взгляд, ничего страшного, ведь у многих есть аккаунты в социальных сетях, где внушительное количество информации находится в открытом доступе. Но хакеры, взломавшие Knuddels, получили доступ к имейлам и паролям пользователей платформы. Мысль о том, что посторонние люди смогут воспользоваться вашим аккаунтом, уже больше пугает, правда? Еще страшнее, когда данные статистики говорят о том, что 83 % всех пользователей используют одинаковый пароль для нескольких сайтов. Теперь представьте потенциальный урон, который могла нанести эта хакерская атака.

Как этого можно было избежать?

Данные в незашифрованном виде – тривиальная, но чрезвычайно распространенная ошибка. Что удивительно, ведь для ее решения не нужно знать, как запускать ракеты в космос. Нужно всего лишь хранить данные в зашифрованном виде, чтобы даже в случае хакерской атаки можно было спать спокойно.

Кстати, если вы храните данные в зашифрованном виде, с вас снимается обязательство уведомлять пользователей об утечке данных в случае ее возникновения.

Урок: шифруйте данные!