6 месяцев GDPR

Прошло 6 месяцев с тех пор как вступил в юридическую силу нашумевший GDPR и все стали бояться гигантских штрафов.
Давайте, посмотрим 5 самых ярких моментов как, когда, кем GDPR был применен за эти полгода и какие сейчас тренды его правоприменения.

Напомню, что в Европейском Союзе с 25 мая 2018 года действует регламент ЕС 2016/679 General Data Protection Regulation (GDPR), принятый от 27 апреля 2016 года. C помощью GDPR усилена и приведена к единому образу защита персональных данных всех лиц во всех странах, входящих в Европейский Союз. Отмечу, что GDPR имеет наднациональный характер и страны - участники ЕС могут иметь свои нормы, которые должны полностью соответствовать GDPR.

Национальная комиссия по информационным технологиям и свободам Франции (CNIL) провела аудит Teemo и Fidzup, выявила существенные нарушения, но ограничилась вынесением предупреждения и дала время на их устранение. Оба этих проекта предоставляют SDK для таргетированной рекламы.

Fidzup подвергся критике за то, что в Privacy Policy (Политике конфиденциальности) было недостаточно ясно изложено какие данные собирает и зачем.

Teemo же начинал собирать данные как только пользователи загрузили приложение (то есть до изучения правовых документов), а также хранило данные о геолокации в течение 13 месяцев, что, по словам CNIL, слишком велико, для обозначенных целей - целевой рекламы, ведь GDPR требует от компаний хранить данные исключительно до тех пор, пока они «необходимы».

Считается, что CNIL выявила эти нарушения и для того, чтобы "научить" рынок работе с персональными данными и показать на что смотреть, как действовать бизнесу и какие шаги предпринимать, поэтому обошлись и без штрафов.

Португальский орган по защите данных (CNPD) при аудите обнаружил, что больница Баррейро предоставила своим работникам неограниченный доступ ко всем клиническим данных своих пациентов. Такой доступ могли получить привлеченные на договорной основе врачи (т.е. не из штата больницы) через свой профиль в системе больницы.

Больница пробовала обжаловать этот штраф с основанием, что всю информационную систему им предоставило министерство здравоохранения, результата рассмотрения дела пока нет.

В результате был назначен штраф в размере 300 000 евро за несоблюдение конфиденциальности пациентов и отсутствие ограничения нецелевого доступа к данным пациентов. Второй штраф в размере 100 000 евро был наложен за неспособность больницы обеспечить целостность безопасности данных в их системе.

В октябре Наблюдательный орган Великобритании (ICO) подал требования в AggregateIQ Data Services («AIQ») о стирании всех персональных данных, хранящихся в AIQ, связанных с гражданами Великобритании в течение 30 дней с даты получения. В уведомлении было указано, что если AIQ не исполнит требования, то ICO будет налагать максимальные санкции в отношении ВНП в размере 20 000 000 евро или 4% от общего годового мирового оборота AIQ, в зависимости от того, что больше. Обращу внимание, что это первое подобное требование.

По заявлению Cambridge Analytica - AIQ на основе данных Cambidge Analytica незаконно создало приложения для республиканских избирателей в США в 2016 году, а потом также за £2 700 000 собирало данные граждан во время референдума по "Брексит" в Великобритании, которые использовались в программых "Vote Leave" и "BeLeave" и участвовало в политических действиях в Северной Ирландии.

Срок исполнения требований приостановлен в связи с подачей апелляции AIQ на такие требования.

Австрийский надзорный орган («DSB») наложил штраф на предпринимателя, который разместил камеру рядом со своим заведением, а она звахватила часть дороги и тратуара. Это было рассмотрено DSB как "крупномасштабный мониторинг общественных пространств", что недопустимо в соответствии с GDPR. Кроме того, не было отметки о том, что ведётся запись, а значит, что обязательства по прозрачности не были выполнены.

Ирландская комиссия по защите данных (DPC) начала расследование в соответствии со статьей 110 Data Protection Act 2018, действующего на территории Ирландии о нарушении защиты персональных данных Facebook. В ходе расследования будет рассмотрено соблюдение Facebook обязательств в соответствии с GDPR в рамках осуществления технических и организационных мер для обеспечения безопасности и защиты персональных данных, которые Facebook обрабатывает.

Расследование было начато по заявлению Макса Шремса (активист за неприкосновенность частной жизни), который основал свою жалобу тем, что Facebook предоставляет «бесплатные» онлайн-сервисы в обмен на персональные данные пользователей, а также принуждает пользователей к принятию политики сбора данных, т.к. иначе возможность работы с Facebook невозможна.

Подобная жалоба была направлена на Google.

Большинство европейских государств предоставляют правовую поддержку бизнесу в виде гайдов, методичек и опросников, т.к. бóльшая часть бизнеса не представляет себе как работать в новых правовых реалиях в отношении персональных данных. Поэтому надзорные органы пока применяют, в основном, предупреждения и уведомления. Но правовая грамотность граждан ЕС растёт и было заявлено, что с 2018 года будут больше тестировать штрафы.

К тому же, новые установленные законом меры по защите персональных данных повышают требования, ожидания покупателей и пользователей к бизнесу. И если этим требованиям и ожиданиям не соответствовать, то уже возможна потеря лояльности к продавцу.

Берегите свой бизнес!)