Все статьи номера
7
Июль 2019года
Работа
Проверки

Первые штрафы по GDPR. Ошибки, которые приведут к банкротству

Больше года действует GDPR, или Общий регламент Европейского союза о защите персональных данных. Санкций за нарушение регламента российские компании пока избегают, чего не скажешь о европейских. В статье рассказали о пяти случаях, когда выписывали штрафы за нарушение GDPR. Они подскажут, что проверить в работе с персональными данными своей компании, чтобы избежать санкций.
Текст: Максим Лагутин, сооснователь и ведущий эксперт по защите персональных данных «Б-152»;
Валерия Подаруева, консультант в области защиты персональных данных «Б-152»

Штрафы по GDPR предусмотрены нешуточные, и количество штрафов по нему уже перевалило суммарно за десяток по всему ЕС. Штрафы накладываются как на крупные компании (Google, Facebook, Uber), так и небольшие (медицинский центр в Португалии). Надзорный орган каждой страны делает фокус на компании разных размеров: в Германии регуляторы в основном делают упор на малый и средний бизнес, тогда как во Франции и Великобритании на крупный. В Европейском регламенте хорошо расписано, на основании каких признаков принимается решение о штрафе и сумме штрафов надзорными органами стран — резидентов Евросоюза. У регуляторов нет цели обанкротить, но, согласно GDPR, штраф должен быть существенным, чтобы организация поняла серьезность своего нарушения.

GDPR — это акт Европейского союза, имеющий экстерриториальное действие. Это значит, что его можно применять вне зависимости от того, есть ли в стране национальные законы о защите персональной информации или нет. В России такие законы есть, а штрафы за неправильную работу с персональными данными могут доходить до 300 тыс. руб. Но регламент опаснее отечественного законодательства. Если российская компания нарушит GDPR, то ее могут оштрафовать на сумму до 20 млн евро или на четыре процента от общего мирового оборота за предшествующий финансовый год.

50
млн €

составил штраф для компании Google LLC за нарушения правил GDPR

Несмотря на то, что регламенту всего год, уже появились первые дела по нарушениям его требований. О них рассказали в статье. Эти дела важны для понимания того, какие реальные риски несут компании, если не соответствуют требованиям GDPR, и как эти риски можно снизить.

Непрозрачная обработка

В мае 2018 года в Национальную комиссию по делам информационных технологий и правам человека (CNIL) поступили коллективные жалобы от правозащитных ассоциаций None Of Your Business и La Quadrature du Net. Предметом жалоб стала ненадлежащая обработка персональных данных Google LLC. В результате проведения проверки комиссия обнаружила целый ряд нарушений и приняла решение о наложении штрафа (cnil.fr).

Главным методом комиссии стало тестирование сервисов Google и системы Android с использованием сценариев поведения пользователя, что предполагает прохождение пути пользователя при запуске устройства на системе Android и регистрации в сервисах Google.

Нарушение №  1. Непонятные правила. При первом запуске устройства пользователю на определенном этапе предлагается создать учетную запись «без каких-либо действий со стороны пользователя».

При отказе от регистрации в сервисах Google пользователь видит предупреждение, что часть действий в ОС не будет доступна. Это смешение сервиса и системы создает трудности для понимания правовых последствий предоставления данных пользователем.

Нарушение №  2. Нарушение принципа прозрачности. Регламент в ст. 13 закрепляет закрытый перечень информации, представление которой субъекту персональных данных является обязательным. Google такую обязанность не выполнил. Ознакомиться с информацией пользователи могли не на первом уровне, а только на дальнейшем их пути, в сервисах, а также по электронной почте в форме письма, которое приходит на электронный адрес. Такая ситуация порождает серьезный правовой спор о содержании требования иерархичного представления информации, которое изложено в руководящих принципах прозрачности.

С одной стороны, это принцип изложения информации, с другой — информация соответствует действию пользователя и при совершении комбинаций кликов и переходов по ссылкам может быть найдена пользователем. Разобщенность информации компенсируется функционалом панели инструментов, где пользователь видит информацию об использовании им сервисов Google.

Компания апеллирует к тому, что GDPR не содержит положения, предписывающего представлять эту информацию одномоментно и сразу, на первом уровне. Потому формально Google выполняет требования, представляя ее постепенно.

Комиссия свою позицию обосновывает тем, что информация должна быть представлена в «легко доступной форме», что есть средство реализации цели установления принципа (ст. 12 GDPR). Это означает, что субъект данных должен иметь возможность заранее определить, каковы масштабы и последствия обработки.

Уполномоченный орган решил, что архитектура представления информации нарушает положения GDPR, поскольку путь между фрагментами информации может занимать по несколько кликов (5–6, а сравнение политики и оферты с разницей в 14 кликов показало наличие «активируемых» кнопок и ссылок, что создало необходимость сравнивать информацию).

Полная информация становилась пользователю доступной не сразу при открытии документа на определенном этапе, а при переходе по ссылкам на дополнительную информацию. В ряде случаев требовался возврат к изначальному документу для перехода по дополнительным ссылкам. Только таким образом мог быть получен объем информации, необходимой для представления.

Нарушение 3. Клиент недостаточно информирован. Как установила комиссия, данные можно разделить на три типа:

— данные, собираемые при использовании сервисов;

— данные, генерируемые активностью;

— результаты аналитики.

Второй тип данных представляется через ОС Android и необходим для по меньшей мере для предоставления 20 услуг. Для некоторых из них используется третий тип данных.

В совокупности они дают очень точное представление о частной жизни человека, а компания не представляет точной информации о целях их обработки. Комиссия пришла к выводу, что информация об этом также должна быть представлена на первом уровне и содержать четкое и ясное описание целей сбора и давать пользователю представление о глубине формируемой информации о его частной жизни и влиянии получения такой информации на него.

Нарушение 4. Не все обрабатываемые данные имели правовую основу. Уполномоченный орган выявил, что Google не всегда может подтвердить реальный сбор согласия и такая обработка не может за отсутствием согласия обрабатываться на основании законного интереса.

Даркнет. Темная сторона Интернета

Утечка баз данных — это главная проблема российских компаний. На черный рынок данные попадают через: злонамеренный инсайд, взлом, недобросовестность (целенаправленное распространение данных клиентов на коммерческой основе), парсинг (сбор и структурирование данных из открытых источников).

Использование данных для рекламных целей было указано в сводках и разделах политики и рекламе, эта информация представляется пользователю при создании учетной записи. В тексте политики содержится положение о том, что пользователь имеет выбор, представлять ли данные для целей персонализации рекламы, что следует рассматривать как информированное и ясное согласие пользователя. Уполномоченный орган считает такое согласие не соответствующим требованиям к согласию.

Выводы комиссии основываются на том, что пользователь не должен догадываться о том, что то или иное его действие или бездействие может быть квалифицировано как согласие.

Google также считает, что процедуры получения согласия для целей персонализированной рекламы, которые он устанавливает, соответствуют рекомендациям CNIL от 5 декабря 2013 года в отношении файлов cookie. В частности, он указывает, что имеется краткая информация о персонализации рекламных объявлений, за которой следует кнопка «Принять» (Политика конфиденциальности и Условия обслуживания). За ней следует кнопка «Дополнительные параметры», которая дает пользователям возможность отключить несколько операций обработки.

Но информация о согласии должна быть представлено в форме, которая позволяет легко определить, кто контролер, и понять, с чем они согласны. Контролер должен четко описать цель обработки данных, для которых запрашивается согласие.

Комиссия решила, что такой способ «получения согласия» не дает пользователю представления о значении совершаемых им действий. Кроме того, они не понимают цель обработки персональных данных и их дальнейшее использование. Проверяющие указали, что согласие должно даваться посредством четкого позитивного акта, устанавливающего свободно предоставленное, конкретное, информированное и однозначное указание на согласие субъекта данных на обработку персональных данных, касающихся его или ее […]. Поэтому молчание, заранее помеченные ячейки или неактивность не должны являться согласием. И поскольку пользователь может принять условия и «дать согласие» без получения информации путем перехода по второй ссылке, его согласие нельзя считать информированным и соответствующим требованиям GDPR.

В результате этих нарушений и с учетом характера деятельности компании, масштабов обработки и длительности существования этих нарушений штраф составил 50 млн евро.

Незаконная обработка

В 2018 году гражданин Болгарии подал жалобу на оператора телефонных сетей, в которой сообщил, что оператор незаконно обрабатывает его данные, поскольку делает это без ведома субъекта персональных данных (cpdp.bg).

Субъект персональных данных являлся клиентом оператора телефонных сетей длительное время и в определенный момент обнаружил, что был совершен переход на другой тарифный план. Правовая сторона вопроса, касающаяся обработки персональных данных, заключалась в следующем: является ли договор, подписанный между клиентом и компанией, основанием для обработки данных в рамках другого тарифного плана, переход на который совершен без санкционирующего действия со стороны клиента. Вопрос о законности такой обработки сопровождался выяснением подлинности подписи заявителя.

В результате уполномоченный орган решил, что обработка в рамках другого тарифного плана не имеет законных оснований, поскольку субъект персональных данных не давал своего согласия. В результате проверки было выявлено, что это неоднократное нарушение оператором телефонных сетей обработки персональных данных, был наложен штраф в размере 53 тыс. лев.

Незаконное хранение
Валерия Подаруева

Немецкий онлайн-банк получил штраф в размере 50 тыс. евро. Один из бывших клиентов попытался повторно открыть счет, однако получил отказ.

Немецкий регулятор в результате проверки выявил, что банк хранит данные своих клиентов, которые были замечены за совершением подозрительных операций или показались внутреннему контролю ненадежными по иным причинам.

Банк пытался обосновать наличие черного списка. Он указал, что он нужен, чтобы выполнить требования закона о банковской деятельности (Закон о банковской деятельности Германии (Kreditwesengesetz)).

Проверяющие выяснили, что из данных черного списка невозможно определить, кто в него был внесен по причине участия в отмывании средств, а кто — по другим причинам.

Это обстоятельство не дает признать хранение данных основанным на требованиях закона. Таким образом, компания хранит и обрабатывает их без законного основания. (zaftda.de).

Отсутствие защиты

Госпиталь Centro Hospitalar Barreiro Montijo был оштрафован на 400 тыс. евро за нарушение Общих правил защиты данных.

Каждый процесс обработки данных должен соответствовать ст. 5 и 6. Надзорный орган выявил три нарушения: нарушение принципа целостности и конфиденциальности, нарушение принципа минимизации данных, который должен препятствовать неизбирательному доступу к клиническим данным пациентов, и неспособность контролера данных обеспечить конфиденциальность и целостность данных. За первые два нарушения госпиталь был оштрафован на 150 тыс. евро и за третье — на 100 тыс. евро.

Надзорный орган Португалии провел проверку в госпитале, которая показала, что сотрудники больницы, психологи, диетологи и другие специалисты имели доступ к данным пациентов. Система управления аккаунтами сотрудников оказалась несовершенной: в больнице было 985 зарегистрированных аккаунтов врачей, в то время как в действительности в ней было только 296 врачей.

Кроме того, врачи имели неограниченный доступ ко всем файлам пациентов независимо от специальности врача. Как сообщается, надзорный орган выявил, что в госпитале не были приняты соответствующие технические и организационные меры для защиты данных пациентов (ст. 32 GDPR).

В качестве возражения госпиталь сослался на то, что использует систему ИТ, предоставленную государственным больницам Министерством здравоохранения Португалии. Надзорный орган однако решил, что именно больница обязана обеспечить соответствие используемой ею ИТ-системы GDPR, и данное обстоятельство не освобождает контролера данных от соблюдения требований GDPR.

Надзорный орган определил, что контроль доступа — минимальное требование для современных организаций. Возможность надлежащего контроля доступа к данным о конфиденциальности является минимальным требованием для работы как государственных, так и частных организаций. Кроме того, организация не имела внутренней документации. Потому доступ был бесконтрольным и технические сотрудники могли видеть данные о здоровье, которые не требуются последним для выполнения работы.

Нельзя полностью соответствовать GDPR
Максим Лагутин

Большинство дел носят примерочный характер. Компании, надзорные органы и суды еще нарабатывают необходимую практику, чтобы трезво оценивать действия на пути к соблюдению GDPR, ведь до сих пор лишь малая толика компаний полностью выполнила требования европейского регламента, остальные находятся на стадии выполнения и оценки рисков. И нельзя полностью соответствовать GDPR, о чем говорят учебники по Privacy и европейские коллеги.

Точно можно сказать, что GDPR с нами надолго и он открывает новую эру в области privacy, о чем недавно сообщил акционерам Аркадий Волож, сооснователь и генеральный директор группы компаний «Яндекс».

У российского бизнеса стоит вопрос, можно ли не выполнять требования GDPR. Ответ: конечно, можно. Но тогда нужно четко принять все риски, которые за ним стоят, потому что GDPR — это не о 99-процентном формальном выполнении требований, а о том, что нужно трезво оценивать риски, ведь полностью выполнить этот европейский регламент попросту невозможно.

Обработка избыточных персональных данных

Один из самых больших штрафов был наложен CNIL также за нарушения принципа минимизации данных и отсутствие соответствующих мер защиты конфиденциальности.

900
тыс.

данных клиентов российских банков разместили злоумышленники на интернет-форуме для платного скачивания. 15 июня 2019 года РКН сообщил, что ограничил доступ к этому сайту, а операторы связи приступили к блокировке (rkn.gov.ru).

Компания SERGIC специализируется на продвижении недвижимости, покупке, продаже, аренде и управлении недвижимостью. В ней работают 486 человек, а оборот в 2017 году составил около 43 млн евро.

В целях своей деятельности компания предоставляет сервис через веб-сайт www.sergic.com, позволяющий клиентам загружать документы, необходимые для аренды недвижимости, подтверждения прав на объект и т. д.

Один из пользователей выявил, что при подстановке дополнительного знака в адрес веб-сайта он может получить данные других пользователей. Результаты показали, что этот каталог содержал 290 870 файлов в день проверки.

Помимо нарушения конфиденциальности было выявлено, что выгруженные описанным выше образом данные не требовались для аренды недвижимости. В ответ на это заявление компания ответила, что данные действительно не являются обязательными в соответствии с Указом от 05.11.2015 № 2015–1437 и она не производит их сбор. Однако пользователи сами загружают лишние и некорректные данные.

Надзорный орган считает, что несанкционированного доступа можно было бы избежать, если бы, например, компания внедрила средства аутентификации, чтобы гарантировать, что лица, получающие доступ к документам, были теми, кто создал их. В данном случае реализация такой функции является важной мерой предосторожности с учетом деятельности компании, которая обеспечила бы конфиденциальность обрабатываемых персональных данных в соответствии со ст. 32 (1) ii и значительно снизила бы риск несанкционированного доступа.

Выявленные несоответствия сопряжены с тем, что представляемые клиентами документы очень разнообразны по своему характеру и включают в себя свидетельства о браке, указы о разводе, трудовые договоры, документы, касающиеся социальных льгот, или налоговую документацию.

Эти документы содержат как идентификационные данные, такие как фамилия, имя и контактная информация, так и большой объем информации, которая может раскрыть многие аспекты частной жизни.

Надзорный орган счел доказанным, что SERGIC на постоянной основе хранит персональные данные кандидатов, которые, во-первых, не требуются для предоставления услуг, а также в течение периода, превышающего сроки, необходимые для достижения цели обработки.

В результате на компанию был наложен штраф в размере 400 тыс. евро.