GDPR: ризики для ІТ компанії в умовах релокейту бізнесу

Війна змусила бізнес шукати можливості продовжувати ефективно працювати. Точніше, взагалі працювати. Як показує статистика, майже половина ІТ-компаній змінили своє місцезнаходження: чи то в межах країни, чи то за кордон. На жаль, війна триває, і ворог додає нові виклики бізнесу, як відсутність світла, Інтернету, зв’язку, тому питання релокації залишається актуальним. Однак, такий сміливий крок потребує детального аналізу та прорахунків всіх ризиків. Одним із таких ризиків є суворі штрафи за GDPR.

Впевнена, що кожен чув про жорсткі вимоги General Data Protection Regulation (GDPR, Регламент) щодо процесів обробки персональних даних. Однак, здійснюючі бізнес в Україні, насправді мало хто замислюється над дотриманням цих правил. Якщо коротко, то GDPR це регламент, який встановлює, як повинні збиратись, зберігатись, оброблятись, передаватись персональні дані фізичних осіб-громадян ЄС.

Навколо GDPR є багато міфів, таких як «штрафи застосовують тільки до великих компаній», «регламент тільки для тих, хто працює в ЄС», «у нас є політики конфіденційності — отже штрафи нам не страшні». Насправді, тепер багато хто з тих, хто був вимушений перенести свій бізнес до ЄС розуміють, що це дійсно міфи, адже GDPR — це серйозно.

1. РОЗВІНЧУЄМО МІФИ.

Почнемо з головного: якщо ви релокували свій бізнес до ЄС і здійснюєте діяльність там — подбайте про дотримання GDPR. І, насправді, неважливо чи зареєстрували ви компанію в Європі чи фактично здійснюєте там діяльність, яка тим чи іншим чином пов’язана з обробкою персональних даних громадян із ЄС. Це може відбуватися, наприклад, якщо ваші працівники/підрядники тимчасово виїхали в Європу, або тим паче, якщо ви найняли співробітників-громадян ЄС.

Головний принцип GDPR його екстериторіальність, тому, якщо ваша компанія обробляє персональні дані резидентів з ЄС — треба зважати на GDPR, незалежно від місцезнаходження вашої компанії.

Для ІТ аутсорсингу, який надає послуги компаніям з ЄС та здійснює від їхнього ім’я збір, обробку та зберігання/передачу персональних даних громадян ЄС (клієнтів цих компаній) застосування GDPR також не новина. Як правило, європейська компанія просто не буде з вами співпрацювати, не закріпивши ваше зобов’язання з дотримання GDPR.

Кілька слів також варто зазначити для e-commerсе. Звісно, війна не могла не вплинути на економічну ситуацію в Україні, та й українські товари набули неабиякої популярності, тому підприємці шукають нові ринку збуту в Європі. Найбільш розповсюджений варіант — це продаж через інтернет-магазин. Тут зупинимось, адже, якщо ви систематично пропонуєте товари/послуги особам, які знаходяться на території ЄС, тим паче пропонуєте доставку товару в ЄС та можливість оплати в євро (польських злотих, шведських кронах, інше), наша вам порада — задумайтесь над GDPR.

Також нагадаємо, що Регламент підлягає застосуванню, якщо компанія проводить дослідження (наприклад, маркетингові) щодо громадян із Євросоюзу. Можливо, для когось буде відкриттям, але якщо ви збираєте (банально, через форму реєстрації), аналізуєте та використовуєте інформацію про користувачів сайту з території ЄС — ви також повинні дотримуватись GDPR.

2. ЯКІ Ж ОСНОВНІ ВИМОГИ GDPR?

Перед тим, як перейти до основних вимог, хочемо зауважити, що Регламент розширив поняття персональних даних фізичної особи. GDPR визначає «персональні дані» як будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати. Термін «можна ідентифікувати» в даному аспекті є вкрай важливим, адже до персональних даних відносять не тільки звичні нам ПІБ, ідентифікаційний код, номер телефону, дата народження, адреса, місце проживання, але й такі дані як IP адреса, метадані (cookies), імейл, аккаунт у соцмережі, фото, відео, звук. Якщо підсумувати, то це все те, що дозволяє визначити особу навіть з прихованим справжнім ім’ям.

Враховуючи таке широке поняття «персональних даних», не важко здогадатись, що GDPR висуває дуже суворі вимоги щодо роботи з цими персональними даними.

Принципи Регламенту наступні:

  1. Lawfulness, fairness and transparency: дані повинні оброблятися тільки законно, прозоро та справедливо для суб’єкта (тобто, суб’єкт персональних даних повинен надати згоду на таку обробку і розуміти як і для чого будуть оброблятись його дані);
  2. Purpose limitation: дані повинні збиратись тільки для конкретно визначених цілей, знову ж таки, ціль повинна бути доведена суб’єкта.
  3. Data minimization: важливий принцип для тих, хто полюбляє збирати якомога більше «раптом знадобиться». Треба збирати саме стільки даних, скільки потрібно для досягнення заявленої цілі.
  4. Аccuracy: дані повинні бути точними, підтримуватись в актуальному стані, неточні дані повинні бути видалені.
  5. Storage limitation: строк зберігання повинен відповідати меті.
  6. Integrity and confidentiality: компанія повинна забезпечувати захист персональних даних від несанкціонованої та незаконної обробки, пошкодження або знищення.

Це основні принципи, яких компанія повинна не тільки дотримуватись, але й бути готовою в будь-який момент продемонструвати їх дотримання.

3. ЧИМ ЗАГРОЖУЄ ПОРУШЕННЯ GDPR?

Чому так багато розмов точиться навколо GDPR? Питання в тому, що недотримання вимог GDPR тягне за собою дійсно серйозні наслідки.

Відповідальність в цій сфері варіюється в залежності від типу порушення.

Так, за незначні порушення, такі як неналежне виконання обов’язків щодо сертифікаціях механізму захисту даних, «незначний» штраф — до 10 000 000 Євро або 2% від річного обігу компанії за попередній рік, залежно від того, яка сума більша.

В той же час, за порушення основних принципів, які ми наводили вище, штраф є вдвічі більший — до 20 000 000 Євро або 4% від обігу компанії за рік, залежно від того яка сума буде більшою.

Під час розгляду справи контролюючі органи враховують такі чинники, як тяжкість, тривалість, характер порушення (навмисний чи ненавмисний), попередні порушення, участь компанії у проведенні розслідування, категорії персональних даних, які постраждали.

4. АНАЛІЗУЄМО КЕЙСИ 2022 РОКУ.

Після гучних новин про багатомільйонні штрафи Google, Facebook, Amazon, British Airways у 2020-2021 роках може скластися враження, що після цього жодних інших порушень не відбувалось. Більше того, такі новини додали впевненості деяким читачам, що штрафи за порушення GDPR застосовують тільки до великих компаній.

Насправді, це не так. За 2022 рік контролюючими органами було прийнято понад 200 рішень про накладення штрафів. Зупинимось на деяких з них, щоб розуміти тенденції та зробити висновки.

4.1. Французьке DPA наклало штраф у розмірі 800 000 Євро на компанію DISCORD INC. DISCORD пропонує послугу онлайн-зв’язку, за допомогою якої користувачі можуть спілкуватися в чаті або здійснювати відеодзвінки. Під час розслідування DPA виявило, що компанія не змогла встановити, а також дотриматися періоду зберігання даних, який відповідає меті обробки. Наприклад, у базі даних DISCORD було понад два мільйони облікових записів французьких користувачів, які не використовували свій обліковий запис більше трьох років, і приблизно 50 тис. облікових записів, які не використовувалися більше п’яти років. DPA також виявило, що компанія не змогла достатньою мірою забезпечити безпеку персональних даних, приймаючи ненадійні паролі від користувачів. Компанія приймала паролі користувачів, які складалися з шести символів, що містили лише літери та цифри.

4.2. Британське DPA оштрафувало будівельну групу Interserve Group Limited на 5 033 000 Євро. Контролер повідомив DPA про порушення даних відповідно до ст. 33 GDPR. Interserve зазнав кібератаки, під час якої зловмисники надіслали фішинговий лист на поштову скриньку бухгалтерської групи Interserve. Пошту відкрив співробітник, який також завантажив і відкрив прикріплений zip-файл. Це дозволило зловмисникам встановити зловмисне програмне забезпечення та отримати особисті дані 113 000 співробітників. Вилучені дані містили інформацію про банківські рахунки, номери соціального страхування, етнічну приналежність, релігію суб’єктів даних серед іншого. Розслідування DPA показало, що нападу дозволили неналежні заходи безпеки. Співробітники Interservere, наприклад, не пройшли відповідного навчання щодо конфіденційності даних.

4.3. Британське DPA наклало штраф у розмірі 1 547 000 Євро на Easylife Ltd. Easylife — це роздрібний продавець, який продає предмети домашнього вжитку. Під час закупівлі певних товарів компанія робила припущення щодо стану здоров’я клієнта, після чого клієнту пропонувалися для придбання інші продукти по телефону чи SMS, пов’язані зі станом його здоров’я. Зі 122 продуктів у каталозі Easylife Health Club 80 позицій були класифіковані як «продукти, що викликають тригер». Після того, як клієнти придбали ці продукти, Easlylife створив їх профіль, щоб націлити їх на товари, пов’язані зі здоров’ям. Під час розслідування DPA виявило, що компанія збирала та використовувала персональні дані (дані про стан здоров’я) загалом 145 500 суб’єктів даних без їхньої згоди чи навіть відома. DPA виявив, що ця «невидима» обробка персональних даних становить серйозне порушення прав суб’єктів даних, оскільки вони взагалі не можуть реалізувати свої права на конфіденційність і захист даних через відсутність інформації про обробку. Крім того, компанія здійснила 1 345 732 небажаних маркетингових дзвінка особам без їхньої згоди на дзвінки. У DPA вважали це порушенням GDPR.

4.4. Іспанське DPA (AEPD) оштрафувало SEGURCAIXA ADESLAS, S.A. DE SEGUROS Y REASEGUROS. на суму 300 000 Євро. Суб’єкт даних, який подав скаргу, отримував маркетингові електронні листи від контролера, незважаючи на те, що був зареєстрований у списку виключення реклами Robinson. Надсилання електронних листів тривало навіть після того, як суб’єкт даних попросив видалити свої дані.

4.5. Наглядовий орган Німеччини наклав штраф у розмірі 80 000 Євро на невелику фінансову компанію. Ця компанія не вжила необхідних заходів для збереження цілісності та конфіденційності інформації під час утилізації документів, що містять персональні дані двох клієнтів. Таким чином, без попередньої анонімізації документи було утилізовано у загальній системі переробки макулатури, де документи було виявлено сусідом.

Це тільки деякі кейси, які, тим не менш, доводять, що контролюючі органи не допустять безкарності за порушення GDPR.

5. НАДАЄМО РЕКОМЕНДАЦІЇ ПО GDPR.

Перша і найголовніша порада, яку хочемо надати — дійсно дбати про GDPR compliance, а не грати в імітацію. Багато хто помилково вважає, що наявність політик конфіденційності на сайті, наприклад, це вже неабиякий захист персональних даних. Але ж ми впевнені, що після прочитання цієї статті це уявлення однозначно зміниться.

Щодо рекомендацій, виділимо наступні:

  1. Рекомендуємо в першу чергу провести due diligence та проаналізувати, як саме ваша компанія збирає та обробляє персональні дані, чи належним чином забезпечено захист цих даних.
  2. Подбайте про документальне та технічне забезпечення захисту персональних даних. Принагідно зазначу, що необхідно розробити та імплементувати в середньому 30 документів.
  3. Пам’ятайте про те, що ви будете нести відповідальність навіть за умови, що витік інформації стався не з вашої вини (наприклад, хакерська атака).
  4. Отримуйте згоду на отримання, обробку, зберігання персональних даних ваших клієнтів/користувачів.
  5. Обов’язково надайте користувачу зрозуміле право на відкликання згоди на обробку своїх персональних даних у будь-який момент.
  6. Особливу увагу приділяйте чутливим персональним даним.
  7. У випадку витоку інформації невідкладно повідомляйте контролюючий орган.
  8. Подбайте про призначення відповідальних працівників та здійсність навчання працівників.
  9. Поважайте клієнтів та не здійснюйте маркетингові дзвінки, не направляйте листи у випадку, коли клієнт не надав на це прямої згоди.
  10. Розробіть та опублікуйте на сайті публічні документи (як мінімум Privacy policy, Terms of Use, Cookie policy) у відповідності до вимог GDPR.

Звісно, наведені рекомендації є лише верхівкою айсбергу.

ВИСНОВОК

В умовах релокації бізнесу в Європу рекомендуємо все ж не нехтувати законодавчими актами Європейського Союзу у сфері збереження персональних даних. Контролюючі органи не будуть робити винятки у разі виявлення порушень, безкарності за порушення у сфері приватності не буде.

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Толково навіть дуже, зачарований

Важливі пропущені нюанси, які не варто пропускати

Компанії з країн поза ЄС (Україна) які здійснюють процесінг чи контроль, мають мати представництво та DPO на території ЄС. Тобто просто почепити дісклеймери про кукіси й зробити чекбокси на сайт коли основний HQ наприклад в Україні, чи актівіті з ПД десь у клауді в якихось штатах — таке не канає.

GDPR як такий це регуляція, а не закон. Закон в кожній країні ЄС свій і хоч незначно, але все ж може відрізнятися від GDPR, тому зважати треба завжди на національне законодавство, маючи GDPR як свого роду фреймворк

Обробка даних неповнолітніх без згоди батьків — окремий шлях нарватись на епік фейл в епоху екомерс. Діти йдуть окремим вагоном.

Ось це варто було розкрити більше

чутливим персональним даним.

бо чутливі дані це окрема тема

Загалом стаття супер, найкраще, що було на цю тему українською

Дуже дякую за відгук!
Так, дійсно, не всі аспекти розкрила, бо розкрити всі нюанси в оглядовій статті неможливо. Інакше ніхто б не дочитав її до кінця) Ця стаття більше спрямована на загальне ознайомлення, тому що дійсно власникі бізнесу часто навіть не уявляють, що на них може чекати в умовах релокації. Але сприйму Ваш коментар як виклик до того, щоб більше писати в цю тему і наступні статті буду робити вже з оглядом на окремі аспекти, щоб зачепити більше деталей)

Пишіть, залюбки покритикую :)

Можливо зацікавлять теж останні «покращення» ситуації на цю тему

Австрія noyb.eu/...​-google-analytics-illegal

Німеччина про google fonts gdprhub.eu/...​LG_München_-_3_O_17493/20

результатом стала масова розсилка відверто скамових погроз заплатиабосудитимемось осінню в німеччині і австрії
voonze.com/...​-because-of-google-fonts

Франція взагалі ліпить штрафи регулярно, ось останній

www.cnil.fr/...​d-inc-fined-800-000-euros

Поважайте клієнтів та не здійснюйте маркетингові дзвінки, не направляйте листи у випадку, коли клієнт попросив цього не робити.

Це вже якесь словобуддя, причому фактично невірне. За GDPR ви взагалі не маєте права цього робити, якщо користувач не недавав вираженної згоди на маркетингову комункацію. На compliant сайтах для цього окремий чекбокс існує і за замовченням він вимкнений.

Все вірно, Олександре. Саме про це і йде мова. Для здійснення маркетингової комунікації обов’язковим є отримання згоди користувача, інакше такі дії заборонені. І дійсно, на більшості сайтів, які відповідають вимогам GDPR передбачено неможливість здійснення маркетингової комунікації за замовчуванням, але це не означає, що компанія не може передбачити можливість здійснення розсилки в тому самому чекбоксі. І тут суб’єкт персональних даних може як надати згоду, так і попросити цього не робити.

На більшості сайтів, які відповідають вимогам GDPR передбачено неможливість здійснення маркетингової комунікації за замовчуванням, але це не означає, що компанія не може передбачити можливість здійснення розсилки в тому самому чекбоксі

На підставі чого? Чому тоді більшість сайтів робить чекбокс саме вимкненим за замовченням? В особливості великі компанії, у яких є реальний ризик напоротися на штрафи.

Article 4 GDPR:

‘consent’ of the data subject means any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

Recital 32 GDPR:

Silence, pre-ticked boxes or inactivity should not therefore constitute consent

Якщо ви робите чекбокс opt-out, то consent не може бути легальною базою для здійснення такої діяльності і вам треба буде довести правозастосовчому органу, що ви здійснюєте маркетингову комунікацію на якихось інших підставах (i.e. legitimate interest), а це вже трохи gray area на мій погляд.

Ми з Вами кажемо про одне й те саме.
На підставі чого? На підставі тих норм регламенту, які Ви наводите)
Якщо компанія хоче робити розсилку, то вона повинна отримати активну згоду користувача, не можна зробити pre-ticked boxes заздалегідь. Він повинен зробити активну дію, саме клікнути та надати consent на розсилку. Чекбокс opt-out звісно не є такою згодою.

Може ви й мали на увазі те саме, але з тексту і вашого коментаря це не випливає, а в юриспруденції важлива точність і зрозумілість формулювань. А то інакше виходять закони про які потім кажуть, що вони «як дишло, куди повернеш — туди і вийшло». 😂

Підписатись на коментарі