Штрафы на миллиарды: как GDPR идет по Европе, миру и Украине
В конце мая исполнился год с момента применения в ЕС Общего регламента по защите данных (GDPR). За это время многие европейские бизнесы успели напрямую столкнуться с новым законодательством в действии. В том числе и увидеть его «суровую сторону».
Те, кто вовремя не подготовились к новому порядку защиты и обработки личных данных, были оштрафованы на тысячи и даже миллионы евро. Украинские компании пока не пострадали от штрафных санкций за несоблюдение Регламента, но уже уяснили потенциальные риски и стараются соответствовать новому законодательству. Какие же изменения произошли за минувший год и чего ожидать дальше?
GDPR: о главном
Общий регламент о защите персональных данных (GDPR) — это постановление Евросоюза для усиления и унификации защиты данных жителей ЕС. Вот уже год как деятельность любой компании, обрабатывающей эти данные, должна строго соответствовать установленным правилам и нормативам в рамках GDPR. При этом жители ЕС имеют право на забвение — в определенных случаях они могут потребовать удалить всю имеющуюся о себе информацию, а также запретить обработку данных.
При несоблюдении Регламента, которое повлечет за собой утечку / неправомерную обработку данных или раскрытие конфиденциальности, предусмотрены санкции и штрафы в размере до 20 млн евро или 4% от годового оборота за предыдущий финансовый год.
Кто должен соблюдать Регламент
В Украине действие Регламента распространяется на предприятия, которые хранят или обрабатывают данные жителей Евросоюза. Это большой сегмент бизнеса в сфере транспорта, страхования, IT, туризма и т.д.
GDPR в Украине касается:
1) предприятий, деятельность которых основана на обработке данных и предполагает регулярное и системное наблюдение за данными субъекта/пользователя/клиента в ЕС в большом объеме (например, финансовые компании, онлайн-магазины);
2) компании, которые имеют представительства/филиалы/департаменты в странах ЕС;
3) в некоторых случаях предприятий, которые предоставляют услуги компаниям из ЕС.
Чтобы знать наверняка должна ли ваша компания соблюдать Регламент, нужно проводить аудит для оценки объема обработки данных жителей ЕС.
Волна штрафных санкций
Первый год внедрения GDPR наглядно показал, что за соблюдением Регламента ведется активный контроль, и выполнение новых правил обязательно для всех. Многие бизнесы не успели вовремя отреагировать на обновление законодательства о защите данных, за что и получили большие штрафы.
Один из самых известных случаев — это халатность Google. Французская комиссия по делам информационных технологий и правам человека (CNIL) оштрафовала создателей поисковой системы на 50 млн евро. Компанию обвинили в нарушении законодательства ЕС, предполагающего донесение до пользователей информации о сборе и обработке их персональных данных.
Крупный штраф в размере 204 млн евро был выставлен British Airways в Великобритании. Авиакомпанию обвинили в несоблюдении требований по безопасности, что привело к утечке данных 500 тысяч клиентов. Сети отелей Marriott в Великобритании был выставлен штраф в 110 млн евро за утечку данных приблизительно 339 млн гостей.
Рекордсменом среди нарушителей стал Facebook со штрафом в 5 млрд евро за нарушение приватности по делу Cambridge Analytica.
Также в этот список попали медицинское учреждение в Португалии (штраф 400 тыс. евро) за необеспечение безопасности и контроля над данными, компания по анализу данных в Польше (штраф 220 тыс. евро) за нарушение правил информирования и другие.
Всего за 12 месяцев действия GDPR было получено более 60 000 сообщений о нарушениях обработки персональных данных и применен 91 штраф.
Ситуация в Украине
До сегодняшнего дня украинские компании пока не получали штрафов за несоблюдение европейского регламента, однако это не значит, что о GDPR можно забыть. По опыту Tet украинские компании, которые планируют расширяться и идти в Европу, уже провели аудит, чтобы понять, какие данные соприкасаются с требованиями регламента.
Если посмотреть профиль предприятий, которые озадачились вопросом и обращались за помощью к нам, то это финсектор, розничная торговля, производство, логистика и транспорт, а также компании с большим числом клиентов в интернет-среде (те же интернет-магазины). Принимая во внимание, что в Украине разрабатывается новый закон о защите данных, каждому предприятию рекомендуется внедрить хотя бы минимальные требования GDPR, поскольку и украинский закон будет во многом схож с европейским. Это лишь вопрос времени.
Если конкретный украинский бизнес подпадает под требования GDPR, то предприятию необходимо назначить ответственное лицо за соблюдение норм Регламента или нанять соответствующего специалиста на аутсорс. За неназначение специалиста по защите данных также предусмотрена административная ответственность — денежный штраф до EUR 10 000 000 или до 2% от годового оборота компании во всем мире (в зависимости от того, какая сумма больше).
Что выгоднее — нанимать работника или приобретать его услуги извне? Однозначного ответа нет, поскольку это зависит от деятельности компании, объема и классификации обрабатываемых данных и так далее. Труд специалистов по защите данных оплачивается по часам. Например, в Латвии часовая ставка в среднем 70 евро, или же это зарплата от 1000 евро в месяц (в зависимости от опыта, сертификации сотрудника и дополнительных IT-знаний). Поэтому каждый случай нужно рассматривать индивидуально.
Все только начинается
Первый год с GDPR позволил выявить слабые места компаний и определиться с дальнейшим курсом развития событий. Украинским предприятиям еще предстоит изучать и воплощать в жизнь новое законодательство с помощью проверенных экспертов. И очевидно, что это не превентивная, а обязательная мера. Ведь на кону стоят не только клиенты и их безопасность, но и репутация бизнеса.
Хотите стать колумнистом LIGA.net - пишите нам на почту. Но сначала, пожалуйста, ознакомьтесь с нашими требованиями к колонкам.