GDPR год спустя: кейсы от Google и Microsoft и уроки для Украины
Прошел уже целый год со дня вступления в силу Директивы Евросоюза 2016/679, более известной как GDPR. Ниже – о самых показательных прецедентах и основных тенденциях применения GDPR в Европе.
Первый пошел!
В течение первых месяцев после вступления в силу GDPR большинство европейских национальных регуляторов начали с предварительных расследований, в основном предлагая рекомендации для компаний-нарушителей и совсем незначительные штрафы.
Одним из первых, в ноябре 2018 года немецкий регулятор оштрафовал местного провайдера социальных сетей за нарушение обязательства по обеспечению безопасности данных пользователей сети. После хакерской атаки летом 2018 года провайдер обратился к уполномоченному органу с уведомлением об утечке данных и одновременно уведомил об этом пользователей сети. Однако в ходе разбирательств выяснилось, что пароли пользователей хранились в незащищенном виде. В процессе рассмотрения данного инцидента провайдером были внедрены меры по усовершенствованию информационной безопасности компании, что повлияло на решение регулятора и привело к применению незначительного штрафа в размере 20,000 евро.
Как в Европе, так и за ее пределами многие пророчили "показательную казнь" для парочки крупных всемирно известных корпораций. Это послужило бы примером для остальных и ускорило процесс адаптации к новым требованиям европейского законодательства в части защиты персональных данных граждан ЕС.
После выработки определенной практики применения требований нового законодательства, европейские надзорные органы от превентивных мер перешли к активным действиям.
Пророчество сбылось
Компания Google попала под "прицел" европейского надзорного органа еще в начале 2018-го. А уже весной 2019 года весь интернет пестрел заголовками о "крупнейшем штрафе в истории применения GDPR" в размере 50 млн евро.
Французский орган по защите персональных данных начал расследование в отношении рекламной политики Google еще весной 2018 года, вскоре после поступления жалоб от двух правозащитных организаций. В своем отчете регулятор назвал причины, по которым корпорация была оштрафована.
Как выяснилось, Google не централизует процесс сбора пользовательских данных на одной странице, а вместо этого требует выполнять до 5-6 действий, в результате чего пользователи в полной мере не осознают масштабы использования их персональных данных.
Такая важная информация как цели обработки данных и категории личных данных, используемых для персонализации рекламы, чрезмерно разбросана в нескольких документах. Доступ к ним можно получить, перейдя по ряду ссылок, что делает такую информацию труднодоступной для пользователя. Помимо этого, регулятор отмечает, что цели обработки данных описаны слишком обобщенно и расплывчато, а из формулировок непонятно, что является правовой основой для обработки персональных данных и их использования для персонализации рекламы: согласие пользователя или законный интерес компании.
Помимо прочего, комиссия посчитала текст соглашения об обработке персональных данных недостаточно информативным и однозначным. Например, когда Google просит согласия на показ персонализированной рекламы, компания не предупреждает, что речь идет о рекламе во всех ее сервисах.
Кто следующий? Microsoft или Facebook?
Есть большая вероятность того, что Google будет не единственным технологическим гигантом, оштрафованным на столь значительную сумму.
В ноябре 2018 года нидерландским регулятором было проведено расследование в отношении Microsoft. В его результате было установлено, что механизм сбора данных телеметрии, используемый программой Microsoft Office, нарушает общие положения GDPR. В отчете речь идет о 8 нарушениях, которые удалось обнаружить в подписках ProPlus Office 2016 и Office 365, а также в веб-версии Office 365. Представители надзорного органа заявили, что определили «крупномасштабный и скрытый сбор личных данных пользователей» с помощью встроенных в программу возможностей сбора телеметрии без надлежащего информирования пользователей.
Также во время расследования было обнаружено, что система сбора телеметрии отправляет данные о голландских пользователях на серверы США, чем было крайне обеспокоено правительство Нидерландов. Ведь на сервера также могла попасть конфиденциальная информация, поскольку Office установлен и используется на правительственных компьютерах.
Именно это расследование привлекло к Microsoft внимание Европейского надзорного органа по защите персональных данных, который в апреле 2019 сделал официальное заявление о начале проверке всех контрактов, заключенных между корпорацией и учреждениями ЕС, на их соответствие требованиям GDPR.
Facebook тоже не смог остаться не замечен. В апреле 2019 года ирландский регулятор анонсировал официальное расследование относительно небезопасного хранения компанией пользовательских паролей.
Ловись, рыбка, большая и маленькая
Может сложиться впечатление, что европейские регуляторы сфокусировали все внимание на больших корпорациях, однако это не совсем так.
В марте 2019 года польский регулятор впервые оштрафовал небольшую местную аналитическую компанию, которая занимается сбором персональных данных из общедоступных реестров на 220 000 евро за нарушения требований GDPR в части неуведомления пользователей о порядке обработки персональных данных. В то же время в Дании была оштрафована местная таксомоторная компания на сумму $180 000 долларов за хранение клиентских номеров, которые не пользуются услугами компании.
Все эти кейсы только подтверждают серьезные намерения европейцев по отношению к процессу сбора, обработки, хранения и защиты персональных данных. И не имеет значения, кто является нарушителем – интернет-гигант или небольшая компания, осуществляет она свою деятельность на территории ЕС или нет.
У представителей частного сектора была возможность привести все свои бизнес-процессы в соответствие с новыми европейскими требованиями еще с начала 2016 года, но, как показала практика, требования были выполнены поверхностно, что привело к негативным последствиям как для компаний-нарушителей, так и для пользователей.
В целом, первый год применения GDPR вышел плодотворным и насыщенным, но и следующий обещает быть не менее интересным. Анализ подобных кейсов помогает выявить и оценить уязвимости и риски, с которыми может столкнуться потенциальный нарушитель, и предотвратить негативные последствия, не дожидаясь реальных штрафов и "ухода" клиента.
Пока что ни одна украинская компания не столкнулась со штрафами европейских регуляторов.
Подписанное между ЕС и Украиной Соглашение об Ассоциации вступило в силу в полном объеме с 1 сентября 2017, а это значит, что перед украинским бизнесом открылись новые возможности для сотрудничества с ЕС в связи с функционированием зоны свободной торговли.
Однако бизнесу придется столкнуться с рядом вызовов, поскольку предусмотренная Соглашением зона свободной торговли определяет правовую базу для свободного перемещения товаров, услуг, капиталов, частично рабочей силы между Украиной и ЕС. Соблюдение норм европейского законодательства является обязательным.
Если украинский бизнес намерен сотрудничать с европейскими клиентами, то возможность избежать влияния GDPR в таком случае будет маловероятной.