Прошло 6 месяцев с тех пор как вступил в юридическую силу нашумевший GDPR и все стали бояться гигантских штрафов.
Давайте, посмотрим 5 самых ярких моментов как, когда, кем GDPR был применен за эти полгода и какие сейчас тренды его правоприменения.
Напомню, что в Европейском Союзе с 25 мая 2018 года действует регламент ЕС 2016/679 General Data Protection Regulation (GDPR), принятый от 27 апреля 2016 года. C помощью GDPR усилена и приведена к единому образу защита персональных данных всех лиц во всех странах, входящих в Европейский Союз. Отмечу, что GDPR имеет наднациональный характер и страны - участники ЕС могут иметь свои нормы, которые должны полностью соответствовать GDPR.
Предупреждения - Teemo и Fidzup
Национальная комиссия по информационным технологиям и свободам Франции (CNIL) провела аудит Teemo и Fidzup, выявила существенные нарушения, но ограничилась вынесением предупреждения и дала время на их устранение. Оба этих проекта предоставляют SDK для таргетированной рекламы.
Fidzup подвергся критике за то, что в Privacy Policy (Политике конфиденциальности) было недостаточно ясно изложено какие данные собирает и зачем.
Teemo же начинал собирать данные как только пользователи загрузили приложение (то есть до изучения правовых документов), а также хранило данные о геолокации в течение 13 месяцев, что, по словам CNIL, слишком велико, для обозначенных целей - целевой рекламы, ведь GDPR требует от компаний хранить данные исключительно до тех пор, пока они «необходимы».
Считается, что CNIL выявила эти нарушения и для того, чтобы "научить" рынок работе с персональными данными и показать на что смотреть, как действовать бизнесу и какие шаги предпринимать, поэтому обошлись и без штрафов.
Штраф € 400 000 - Centro Hospitalar Barreiro Montijo
Португальский орган по защите данных (CNPD) при аудите обнаружил, что больница Баррейро предоставила своим работникам неограниченный доступ ко всем клиническим данных своих пациентов. Такой доступ могли получить привлеченные на договорной основе врачи (т.е. не из штата больницы) через свой профиль в системе больницы.
Больница пробовала обжаловать этот штраф с основанием, что всю информационную систему им предоставило министерство здравоохранения, результата рассмотрения дела пока нет.
В результате был назначен штраф в размере 300 000 евро за несоблюдение конфиденциальности пациентов и отсутствие ограничения нецелевого доступа к данным пациентов. Второй штраф в размере 100 000 евро был наложен за неспособность больницы обеспечить целостность безопасности данных в их системе.
Требование - AggregateIQ
В октябре Наблюдательный орган Великобритании (ICO) подал требования в AggregateIQ Data Services («AIQ») о стирании всех персональных данных, хранящихся в AIQ, связанных с гражданами Великобритании в течение 30 дней с даты получения. В уведомлении было указано, что если AIQ не исполнит требования, то ICO будет налагать максимальные санкции в отношении ВНП в размере 20 000 000 евро или 4% от общего годового мирового оборота AIQ, в зависимости от того, что больше. Обращу внимание, что это первое подобное требование.
По заявлению Cambridge Analytica - AIQ на основе данных Cambidge Analytica незаконно создало приложения для республиканских избирателей в США в 2016 году, а потом также за £2 700 000 собирало данные граждан во время референдума по "Брексит" в Великобритании, которые использовались в программых "Vote Leave" и "BeLeave" и участвовало в политических действиях в Северной Ирландии.
Срок исполнения требований приостановлен в связи с подачей апелляции AIQ на такие требования.
Штраф € 4 800 - за камеру у заведения
Австрийский надзорный орган («DSB») наложил штраф на предпринимателя, который разместил камеру рядом со своим заведением, а она звахватила часть дороги и тратуара. Это было рассмотрено DSB как "крупномасштабный мониторинг общественных пространств", что недопустимо в соответствии с GDPR. Кроме того, не было отметки о том, что ведётся запись, а значит, что обязательства по прозрачности не были выполнены.
Начало расследования - Facebook
Ирландская комиссия по защите данных (DPC) начала расследование в соответствии со статьей 110 Data Protection Act 2018, действующего на территории Ирландии о нарушении защиты персональных данных Facebook. В ходе расследования будет рассмотрено соблюдение Facebook обязательств в соответствии с GDPR в рамках осуществления технических и организационных мер для обеспечения безопасности и защиты персональных данных, которые Facebook обрабатывает.
Расследование было начато по заявлению Макса Шремса (активист за неприкосновенность частной жизни), который основал свою жалобу тем, что Facebook предоставляет «бесплатные» онлайн-сервисы в обмен на персональные данные пользователей, а также принуждает пользователей к принятию политики сбора данных, т.к. иначе возможность работы с Facebook невозможна.
Подобная жалоба была направлена на Google.
Большинство европейских государств предоставляют правовую поддержку бизнесу в виде гайдов, методичек и опросников, т.к. бóльшая часть бизнеса не представляет себе как работать в новых правовых реалиях в отношении персональных данных. Поэтому надзорные органы пока применяют, в основном, предупреждения и уведомления. Но правовая грамотность граждан ЕС растёт и было заявлено, что с 2018 года будут больше тестировать штрафы.
К тому же, новые установленные законом меры по защите персональных данных повышают требования, ожидания покупателей и пользователей к бизнесу. И если этим требованиям и ожиданиям не соответствовать, то уже возможна потеря лояльности к продавцу.
Берегите свой бизнес!)
Отлично, то есть можно продолжать плевать на этот закон!
Как раз наоборот же, уже начались пробные штрафы
4 штрафа на миллионы проектов? это какие-то флуктуации нуля.
О, а тут ошибаетесь немного.
Я в следующей статье расскажу про один проект, который разработали надзорные органы ЕС. Который будет шерстить Интернет в поисках нарушений у продуктов.
забанить его)
Ну тут самый сок видать расписан, мне вот приложение заблокировали за отсутствие ряда юридических документов и разблокировали только после их появления, причём явно почитал кто-то потом, а не просто бот пробежал
Как и обещал, вот статья про сервис для автоматической проверки проектов на нарушения: https://vc.ru/services/52525-ai-na-sluzhbe-gdpr
Если у бизнеса нет покупателей и пользователей в Европе, а приложения нет в Google Play или App Store, то можно не соответствовать GDPR вообще)
А так, я бы сказал, что есть ещё месяц подготовиться к возможным санкциям от надзорных органов. Даже если бизнес ведётся из РФ.
Комментарий удален модератором
Не понятно, как эти "Три дня Кондора"(зачеркнуто)"6 месяцев GDPR" могут коснуться российских граждан - владельцев сайтов, ИП, руководителей фирм?
Могут ли, и кто может привлечь к ответственности гражданина РФ-владельца сайта, если сайт не соответствует требованиям GDPR?
Где-то в предыдущей статье я писал, что штрафы по GDPR в размере 20 000 000 € или до 4 % от годового оборота компании - для граждан РФ не страшны. Надзорным органам ЕС со своим штрафом не дотянуться и не взыскать их, поскольку РФ не является участницей таких международных договоров с ЕС. А вот, если есть точка продаж или представительство в странах ЕС, то уже не получится прикрыться этим от санкций за правонарушения и может "прилететь" предупреждение, требование и штраф.
А вот что могут сделать: запретить доступ к сайту своим гражданам (есть такое постановление Европейского парламента о защите потребителей от 07 ноября 2017 года, позволяющее это делать национальным надзорным органам) и запретить въезд гражданину РФ в страну, где он нарушил законодательство.
Плюсом к тому, это большие репутационные риски и понижение лояльности европейской аудитории к продукту (сайту), что само по себе вредит бизнесу.
ну у нас мало кто в европу смотрит
либо в россию, либо в сша, реже в китай