Если ваша компания имеет дело с персональными данными, и вы работаете с европейским рынком, то, скорее всего, слышали о GDPR, то есть об общем регламенте по защите данных в рамках Европейского Союза. И велика вероятность того, что вы слышали о суммах, которые предусмотрены за его нарушение. Максимальный штраф – 20 млн евро, или 4 % от годового оборота, в зависимости от того, какая сумма выше.

Дмитрий Корчинский, спикер нашего курса GDPR и защита персональных данных, который начнется 7 апреля 2020 года, разобрал три громких кейса, когда компании нарушили GDPR.

Многие компании осознанно нарушают некоторые законы, закладывая при этом в бюджет ожидаемые штрафы. В случае с GDPR предусмотреть сумму штрафа невозможно. Ведь в тексте самого регламента говорится о том, что сумма санкции оценивается для каждого случая индивидуально. Потому это может быть как €5 тыс., так и €5 млн.

Широкий диапазон не позволяет предугадать сумму даже самым опытным финансистам. И компании по всему миру приняли для себя решение либо уйти с рынка Европы, либо же выполнять требования регламента. Ведь дешевле соответствовать GDPR, чем выплачивать штрафы и терять доверие пользователей из-за публичной огласки нарушений. К слову, полное соответствие GDPR зачастую повышает уровень доверия пользователей.

Но соответствовать GDPR сложно – текст регламента длинный и написан юридическим жаргоном. Более того, в GDPR много новых положений, которых не было до этого – вопросы возникают даже у специалистов. Потому неудивительно, что нарушения есть, а компании-нарушители выплачивают штрафы.

Несколько историй о том, за что несколько компаний уже получили штрафы.

Итак.

1. Что произошло: обработка данных без уведомления

Где: Польша

Сумма: 220 тыс. евро

Представим типичный разговор маркетолога и сейлза:

Сейлз: «Где взять лиды?»

Маркетолог: «В интернете найдем!»

Действительно, множество данных можно найти в открытом доступе. Например, из государственных реестров при желании можно извлечь всю нужную информацию о потенциальном клиенте. Примерно так и поступила варшавская компания, которая взяла из CEIDG, польского аналога ЄДРПОУ, данные 6 миллионов предпринимателей!

И все бы ничего, но компания приступила к коммерческой обработке персональных данных, предварительно не уведомив большинство субъектов. А частичное уведомление повлияло на сумму штрафа, ведь это подтвердило факт осознанности действия. Получается, что компания уведомила тех, кому ей было удобно уведомить, а именно субъектов, у которых был указан адрес электронной почты.

Примечательно, что из 90 тыс. уведомленных 12 тыс. использовали свое право на отказ от обработки персональных данных, что составляет примерно 13 %. Отписка каждого 9-го пользователя показывает важность корректного уведомления об обработке. Но так как уведомления получили лишь 1,5 % от всех субъектов, компании был выставлен штраф в размере 220 тыс. евро.

Как этого можно было избежать?

Компании следовало уведомить всех об обработке данных. Однако просто уведомление не подойдет, ведь оно должно соответствовать всем критериям 14-й статьи GDPR. Если бы компания выполнила требование законодательства и потратила ресурс на уведомления, то не пришлось бы погашать штраф и возвращаться к обработке уже легальным путем. Как говорится, ленивый делает дважды.

Урок: убедитесь, что субъект уведомлен о грядущей обработке его персональных данных. Используйте для уведомления все возможные каналы связи, а не те, которые удобны или выгодны вам. Не приступайте к этому процессу, если существует вероятность того, что пользователь может не знать об обработке.

GDPR

2. Что произошло: нарушение обработки данных в медицинском учреждении

Где: Португалия

Сумма: 400 тыс. евро

Португальский регулятор обнаружил сразу три нарушения положений GDPR, поэтому штраф оказался таким высоким. Разберем каждое.

Первое: госпиталь не ограничил круг лиц, которые имели доступ к данным пациентов. Это обошлось в 150 тыс. Второй штраф тесно связан с первым, ведь лица пользовались данными, к которым не должны были иметь доступ. Следовательно, доступ был незаконным. Регулятор оценил второе нарушение в 150 тыс. евро. О причинах последнего нарушения можно догадаться, зная первые две. Ведь если бы руководство госпиталя приняло разумные технические и операционные меры по защите персональных данных, то, вероятно, не было бы и штрафа. Однако решения не нашли, за это госпиталю пришлось расстаться еще со 100 тыс. евро.

Как этого можно было избежать?

Ответ на этот вопрос кроется в третьем нарушении. Госпиталю следовало принять меры по технической и организационной безопасности данных. Например, можно было создать внутреннюю политику, когда определялись бы уровни доступа и информация, к которой определенный пользователь имеет право доступа. Эффективным внедрением этой политики была бы установка CRM-системы, которая технически упорядочивала бы операционные меры.

Урок: внедряйте операционные и технические меры по обработке персональных данных. Создавайте свой продукт, стараясь предусмотреть все возможные риски – будьте проактивны, а не реактивны.

3. Что произошло: хранение информации в текстовом файле

Где: Германия

Сумма: 20 тыс. евро

В июне немецкий сайт Knuddels.de стал жертвой хакерской атаки, в результате которой данные пользователей платформы попали в открытый доступ. На первый взгляд, ничего страшного, ведь у многих есть аккаунты в социальных сетях, где внушительное количество информации находится в открытом доступе. Но хакеры, взломавшие Knuddels, получили доступ к имейлам и паролям пользователей платформы. Мысль о том, что посторонние люди смогут воспользоваться вашим аккаунтом, уже больше пугает, правда? Еще страшнее, когда данные статистики говорят о том, что 83 % всех пользователей используют одинаковый пароль для нескольких сайтов. Теперь представьте потенциальный урон, который могла нанести эта хакерская атака.

Как этого можно было избежать?

Данные в незашифрованном виде – тривиальная, но чрезвычайно распространенная ошибка. Что удивительно, ведь для ее решения не нужно знать, как запускать ракеты в космос. Нужно всего лишь хранить данные в зашифрованном виде, чтобы даже в случае хакерской атаки можно было спать спокойно.

Кстати, если вы храните данные в зашифрованном виде, с вас снимается обязательство уведомлять пользователей об утечке данных в случае ее возникновения.

Урок: шифруйте данные!

Больше информации про особенности внедрения GDPR в Украине вы сможете узнать на нашем новом онлайн-курсе GDPR и защита персональных данных. Переходите по ссылке, узнавайте полную программу, спикеров и регистрируйтесь!

Читайте также: Почему GDPR важны для Украины?

Pin It on Pinterest