close-btn

Как защитить информационные активы предприятия, не нарушая принципов GDPR. Часть 1 – Анализ штрафных санкций

СЕРГЕЙ ШЕЛУХА

Сертифицированный эксперт по GDPR

Требование к конфиденциальности давно стало неотъемлемой социальной нормой. И если ранее защита персональных данных рассматривалась больше как требование к соблюдению законодательства, то в нынешней ситуации ПЕРСОНАЛЬНЫЕ ДАННЫЕ (ПД) признаны рыночным императивом и важным фактором в капитализации компании.

В условиях явного ухудшения экономической ситуации, учитывая усиление защиты публичных интересов и безопасности своего клиента, правильная оценка перспектив e-commerce позволит организациям минимизировать затраты и скорректировать необходимые ресурсы на защиту ПД. Поэтому не будет лишним оценить ситуацию в условиях локальных карантинов, снижения объемов товаров и услуг, а также глобального ограничения миграционных потоков.

Различные национальные подходы к обеспечению конфиденциальности, увы, повышают операционные расходы и усложняют сотрудничество в сфере обмена данными, будь то коммерческие отношения, научные исследования или правоохранительная деятельность. Как показывает аналитика, потрясения мировой экономики несомненно внесут свои коррективы в маркетинговые стратегии коммерческих предприятий.

Надеюсь, что и проблематика данной статьи позволит руководителям предприятий более прагматично проанализировать риски при обработке клиентской базы с учетом минимизации персональных данных и таким образом сбалансировать цели своей организации с комплексными решениями безопасности.

Возросшие требования к обработке массивов персональной информации и постепенная унификация национальных законодательств вынуждает организации, еще на этапе проведения переговоров о партнерстве, стандартизировать требования к защите персональных данных. Именно это, в условиях трансграничной передачи данных, позволит компаниям в разных юрисдикциях быстро восстановить экономические связи и обеспечить доверие к цифровой среде.

Внедрение политик комплексной безопасности, которые будут приняты всеми участниками процессинга ПД - это защита вашей компании от потенциального исключения из сегмента наиболее значимых рынков, капитализация и преимущества которых, в условиях GDPR сертификации, очевидна.
Сергей Шелуха
сертифицированный эксперт по GDPR

Учитывая реалии национального подхода — отсутствие адаптации законодательства о персональных данных к требованиям Регламента (GDPR) как элемента поступательного движения в ЕС — украинские компании пока не мотивированы на планомерное применение лучших практик, гарантирующих безопасность обработки ПД. Изучение европейского опыта, оценка потенциальных рисков и заблаговременное применение GDPR в области здравоохранения и образования, в сфере финансовых, коммутационных и маркетинговых услуг позволило бы отечественным компаниям максимально быстро преодолеть вызовы последнего кризиса и защитить интересы своего клиента.

К сожалению, в ряде случаев лучшей мотивацией руководителей предприятия к превентивному внедрению требований Регламента – это ознакомление с актуальной статистикой штрафов и перечнем проведенных расследований на основании уже выявленных нарушений. Использовав необходимые фильтры в зависимости от региона или статьи Регламента, вы сможете самостоятельно оценить административную практику в соответствии с задачами локальных надзорных органов, а перейдя по ссылкам в таблице – подробно ознакомиться с предысторией конкретного расследования.

Тем не менее, в этой статье я предлагаю рассмотреть ряд штрафных санкций в проекции на распределение обязанностей между участниками процессинга, на оценку рисков Контроллера, с учетом задач сотрудника по защите персональных данных (DPO – ст. 39 Регламента).

Итак, Регламент, объективно усилив права физических лиц для контроля потоков личной информации, предусмотрел условия для наложения административных штрафов. Как показывает европейская практика, неназначение в организации DPO при значительной обработке ПД, в ряде случаев, также может стать основанием для наложения штрафа.

GERMANY AUSTRIA
The Federal Commissioner for Data Protection and Freedom of Information (BfDI) Austrian Data Protection Authority (dsb)
09.12.2019 2019-08
10 000 ЕВРО 50 000 EUR
Rapidata GmbH Company in the medical sector
Art. 37 GDPR Art. 13 GDPR, Art. 37 GDPR
Lack of appointment of data protection officer Insufficient fulfilment of information obligations
Despite repeated requests of the BfDI the company (an internet provider) did not comply with its legal obligation under Article 37 GDPR to appoint a data protection officer. The (none-final) fine was imposed on a company in the medical sector for non-compliance with information obligations and for not appointing a data protection officer.

Для применения адекватного подхода к административной практике в ряде надзорных органов уже подготовлены соответствующие градации нарушений, что с учетом отягчающих обстоятельств, таких как характер и серьезность, продолжительность и повторяемость нарушений, количества пострадавших лиц и размера ущерба, неприятия рекомендованных административных или технических мер всегда приводит к повторному наложению штрафов.

А если это относится к крупным сетевым игрокам, то европейская бюрократическая машина неумолима.

ITALY ITALY
Italian Data Protection Authority (Garante) Italian Data Protection Authority (Garante)
11.12.2019 11.12.2019
8 500 000 ЕВРО 3 000 000 EUR
Eni Gas e Luce Eni Gas e Luce
Art. 5 GDPR, Art. 6  GDPR, Art. 17  GDPR, Art. 21  GDPR Art. 5 GDPR, Art. 6 GDPR
Insufficient legal basis for data processing Insufficient legal basis for data processing
The Italian supervisory authority imposed two fines totaling EUR 11,5 million on Eni Gas and Luce (Egl) for unlawful processing of personal data in the context of advertising activities and activation of unsolicited contracts. The first fine of EUR 8.5 million relates to the unlawful processing in connection with telemarketing and telesales activities. Amongst others, promotional calls were made without the consent of the person contacted or despite that person’s refusal to receive promotional calls, or without triggering the special procedures for checking the public opt-out register. In addition, there was lack of technical and organisational measures to take account of the information provided by users; data was processed longer than the permitted data retention periods; and data on potential customers was collected from entities (list providers) who had not obtained consent to the disclosure of such data. The Italian supervisory authority imposed two fines totaling EUR 11,5 million on Eni Gas e Luce (Egl) for unlawful processing of personal data in the context of advertising activities and activation of unsolicited contracts. The second fine of EUR 3 million concerns infringements resulting from the conclusion of unsolicited contracts for the supply of electricity and gas under ‘market economy’ conditions. Many persons complained to the Authority that they only learned of the conclusion of a new contract after receiving the letter of termination of the contract with the previous supplier or the first Egl invoices. In some cases, the complaints reported false information in the contracts and forged signatures.

Но если организация быстро отреагировала на жалобу субъекта ПД и не препятствовала надзорному органу проводить анализ первопричин утечки ПД, то это может рассматриваться как наличие смягчающих обстоятельств.

GERMANY
The Federal Commissioner for Data Protection and Freedom of Information (BfDI)
12.09.2019
9 550 000 EUR
Telecoms provider (1&1 Telecom GmbH)
Art. 32 GDPR
Insufficient technical and organisational measures to ensure information security
The Controller is a company offering telecommunication services. A caller could obtain extensive information on personal customer data from the company’s customer service department simply by entering a customer’s name and date of birth. In this authentication procedure, the BfDI laws a violation of Article 32 GDPR, according to which a company is obliged to take appropriate technical and organisational measures to systematically protect the processing of personal data. Due to the company’s cooperation with the data protection authority, the fine imposed was at the lower end of the scale.

С учетом статьи 82, кроме наложения административных штрафов, Регламент также гарантирует право на получение компенсации от Контроллера или Процессора за причиненные убытки, любому лицу, которое понесло материальный или нематериальный ущерб в результате нарушения GDPR.

В этой части, когда кроме репутационных рисков параллельно возникают и финансовые потери, важно обратить внимание всех участников процессинга на распределение и документальную фиксацию личной ответственности каждого из обработчиков персональных данных, их подконтрольную деятельность, особенно для целей и периода обработки данных, вытекающих из законных интересов, заявленных Контроллером.
Сергей Шелуха
сертифицированный эксперт по GDPR

И если Контроллер, участвующий в обработке, несет ответственность за ущерб, причиненный в результате обработки, нарушающей настоящий Регламент, то Процессор компенсирует ущерб, причиненный в результате обработки, только если он не выполнил требования настоящего Регламента, специально установленные для Процессоров, или если он действовал за рамками законных распоряжений Контроллера.

Участникам обработки ПД важно помнить, что «Процессор» — это физическое или юридическое лицо, государственный орган, учреждение или другой орган, который обрабатывает персональные данные от имени и по поручению Контроллера. Это же касается и поставщиков IT-услуг. Таким образом, Процессор должен информировать Контроллера о любых предполагаемых изменениях касательно добавления или замены вендора. Регламент не позволяет Процессору привлекать другого Процессора самостоятельно — без предварительного специального или общего письменного разрешения Контроллера.

Такое участие в переговорных процессах предоставляет Контроллеру возможность согласовывать или возражать против предложенных изменений, фактически являясь постоянным куратором цепи обработки личной информации, с учетом возможной ее трансграничной передачи, объема и сроков обработки данных, доверенных исключительно Контроллеру. И бесконтрольная передача данных третьей стороне, неподписание необходимых договоров между участниками обработки – это фактически отсутствие организационных мер и грубое нарушение процессинга персональных данных.

SPAIN
Spanish Data Protection Authority (aepd)
14.02.2020
2 500 EUR
Grupo Valsor Y Losan, S.L.
Art. 5 (1) f) GDPR
Insufficient technical and organisational measures to ensure information security
The Controller had disclosed personal data to a third party in a property purchase agreement (breach of principles of integrity and confidentiality of personal data)

Выявленные нарушения, которые не привели к утере ПД, должны сопровождаться внутренними аудитами и пересмотром действующих политик, объективной фиксацией действий каждого из обработчиков данных, т.к., передача информации третьей стороне без согласия субъекта ПД или другого законного основания, может привести к грубому нарушению прав и свобод физических лиц.

Несомненно, любой из участников обработки, будет отстаивать свою правоту и оспаривать возможные санкции всеми доступными способами, ссылаясь на ст. 78 — 1 Регламента «…каждое физическое или юридическое лицо должно иметь право на эффективные средства судебной защиты против юридически обязательного решения надзорного органа, касающихся их».

Таким образом, правильно оформив договорные отношения, сопровождая результаты аудитов протокольными решениями об изменениях в политиках и процедурах, тем самым улучшая административные и технические меры защиты ПД, игроки превентивно накапливают необходимую доказательную базу для защиты своих интересов.
Сергей Шелуха
сертифицированный эксперт по GDPR

Важно учитывать условия ст. 82 – 2 Регламента «обработчики могут быть освобождены от ответственности, если они докажут, что никоим образом не несут ответственность за событие, которое явилось причиной ущерба».

AUSTRIA
Austrian Data Protection Authority (dsb)
23.10.2019
18 000 000 EUR
Austrian Post
Art. 5 (1) a) GDPR, Art. 6 GDPR
Insufficient legal basis for data processing
The Austrian Post had created profiles of more than three million Austrians, which included information about their home addresses, personal preferences, habits and possible party affinity – which were subsequently resold, for example to political parties and companies. In the case, also a civil court judgement about compensation claims at a value of EUR 800 has been issued: however, this court decision has already been overturned due to lack of evidence of actual damage.

Если Контроллер или Процессор полностью компенсировал ущерб, такой Контроллер или Процессор вправе предъявлять регрессный иск к другим Контролерам или Процессорам, которые участвовали в этой же обработке, с целью возврата части компенсации.

И снова возникает вопрос индивидуальной ответственности каждого из обработчиков. Учитывая, что Процессор в силу своих бизнес-интересов может иметь скрытый мотив для:

  • накопления персональных данных с целью проведения маркетинговых исследований
  • захвата части сегмента на рынке услуг Контроллера
  • целевого профилирования личной информации и дальнейшей продажи баз ПД,

важно в тексте договора о партнерстве предусмотреть финансовые санкции против самовольного использования любой информации, которая может быть квалифицирована как персональные данные. Кроме этого, я рекомендую включить персональные данные в перечень данных, которые в силу их коммерческой значимости, будут отнесены к коммерческой тайне компании Контроллера. О целесообразности такого подхода с обсуждением матрицы рисков, обучения и мониторинга ключевых сотрудников компании с применением специальных технических средств мы обсудим в последующих статьях.

Положения статьи 28 Регламента акцентируют особое внимание на способность Процессора обеспечить достаточные гарантии по внедрению соответствующих технических и организационных мер для безопасной обработки ПД.

С целью предупредить самовольное использование Процессором персональных данных в интересах, которые могут противоречит инструкциям Контроллера и основываясь на п.8 ст.28 Регламента, локальные надзорные органы активизизировались в вопросах утверждения (Дания, Швеция) и согласования (Германия) стандартных договорных положений с Европейским советом по защите персональных данных (EDPB). В своем пресс-релизе один из пятнадцати созданных в Германии локальных надзорных органов, в помощь специалистам по защите персональных данных, предложил использовать пример типового договора «Контроллер – Процессор». Таким образом, вводится практика дополнительного контроля деятельности Процессора, путем конкретизации ряда условий:

  • взятия на себя персоналом Процессора соответствующих обязательств о соблюдении конфиденциальности и обязательной авторизации доступов при обработке ПД
  • возможности удаленной работы персонала Процессора только с учетом согласия Контроллера и возможностью проверки такой работы, с привлечением экспертов для возможной сертификации или проведения внутренних аудитов третьей стороной
  • освобождения Контроллера от всех претензий субъектов данных, предъявляемых к Контролеру, из-за нарушения обязательств, возложенных на Процессора Регламентом или нарушения инструкций Контроллера.

Чтобы подытожить важность элементов ответственности и прозрачности при обработке ПД, обязывающих Процессора действовать исключительно в рамках инструкций и под надзором Контроллера, законодатель определил в п.10 ст.28 Регламента, что «Процессор, который нарушает настоящий Регламент при определении целей и средств обработки, признается Контроллером в отношении этой обработки».

google news