25.02.2019

новости

Как долго можно будет игнорировать GDPR?

Как показывают данные опроса компании по исследованию общественного мнения SKDS, полное юридическое соответствие требованиям GDPR обеспечили только 39,3% предпринимателей[1], что свидетельствует либо о представлении, что требования GDPR можно не применять и никаких санкций за этим не последует, или о недостаточном понимании GDPR, его значимости и целях. В этой связи представляется важным проинформировать о динамике жалоб и штрафов и Европейском  Союзе в целом, и в Латвии в частности.

Согласно статистике Государственной инспекции данных (ГИД)[2] за период со дня принятия GDPR до 31 августа 2018 года ГИД получила:

  • 880 жалоб и заявлений о незаконных действиях с данными физического лица;
  • 464 информационных вопросов о соответствии обработки личных данных нормативному регулированию;
  • 11 справочных запросов;
  • 20 уведомлений о нарушении защиты личных данных;
  • 300 уведомлений о назначении специалиста по защите личных данных;

Принимая во внимание то, что в рамках 2017 года ГИД провела 927 проверок, что уже было на 55% больше, по сравнению с 2016 годом[3], можно ожидать, что в 2018 году количество проверок будет еще больше.

Аналогичные  тенденции наблюдаются и в других странах Европейского Союза - когда жители стали больше задумываться о безопасности своих данных и праве на их защиту.  25 января 2019 года было опубликовано[4] совместное сообщение з Европейской Комиссии, в котором указано, что со дня вступления GDPR в силу учреждения стран-участниц Европейского Союза по защите данных получили более 95 000 жалоб от жителей. Больше всего жалоб подано в связи с обработкой данных в телемаркетинге, рекламными э-мейлами и видеонаблюдением. В свою очередь, более 41 000 сообщений были поданы в связи с произошедшим нарушением защиты личных данных, о котором необходимо уведомить соответствующее национальное учреждение по защите данных в течение 72 часов с момента, когда нарушение стало известно.

Учреждения стран Европейского Союза по защите данных уже осенью начали издавать первые решения о нарушениях защиты данных. Один из первых штрафов в размере EUR 4800,- был применен в Австрии в отношении некоего предприятия, установившего свои видеокамеры таким образом, что их угол зрения охватывал и тротуар, значит, с нарушением требований   GDPR, снималось публичное пространство.[5] В октябре 2018 года португальское учреждение по защите данных  применило в отношении некоей больницы в Лиссабоне штраф в общем размере  EUR 400 000,- за три нарушения GDPR, установив то, что информация пациентов была доступна неограниченному кругу людей и не были соблюдены основные принципы обработки, что не были применены технические организаторские  мероприятия, чтобы не допустить неавторизированный доступ к личным данным, а также, установив неспособность обеспечить непрерывную конфиденциальность, целостность, доступность и устойчивость систем и услуг по лечению. [6] Британское учреждение по защите данных - Information Commisioner’s Office, со дня применения GDPR применило уже 27 штрафов[7], в свою очередь, крупнейший до этого штраф был применен во Франции: 21 января 2019 года французское учреждение по защите данных, рассмотрев жалобы двух ассоциаций (полученные уже в первый день применения GDPR - 25 мая 2018 года), применило в отношении GOOGLE LLC штраф в размере более 50 миллионов евро за необеспечение принципа прозрачности обработки личных данных и несоответствующее согласие субъекта данных в отношении   получения персонализированных коммерческих уведомлений.[8]

Осуществляя политику сначала консультируй, с первого дня применения GDPR ГИД, главным образом, активно участвовала в формировании понимания о GDPR и в предоставлении пояснений коммерсантам, частным лицам и публичным учреждениям. Поэтому пока в Латвии   не применялись штрафы в связи с нарушениями GDPR, однако, как свидетельствует последняя информация, в Латвии уже начато более 30 дел об административном нарушении, в которых может быть вынесено решение о наложении штрафа.

Многие считают, что если предприятие небольшое, то требования GDPR исполнять не обязательно и что ГИД не будет проверять такие предприятия. Действительно, именно большие компании, с большим объемом личных данных будут объектами таких проверок в первую очередь. Но основной целью GDPR является не проведение проверок, осложняющих жизнь предпринимателям, а именно предотвращение утечки личных данных. Такая утечка может произойти на любом предприятии, даже если на нем работает только один работник, если к его данным кто-то получил несанкционированный доступ.  Имплементация GDPR не гарантирует невозможность утечки данных, но снижает этот риск до минимума.

Штраф за несоответствие GDPR может быть относительно небольшой,  однако штраф за утечку личных данных даже одного человека будет уже в разы больше. В случае утечки, помимо других факторов, решающее значение при определении размера штрафа будет иметь именно проведенная предварительная работа по внедрению GDPR на конкретном предприятии. Нетрудно спрогнозировать, что компании (должностные лица), где произошла утечка и никакие работы по GDPR  не проводились, могут быть признаны виновным  в грубой неосторожности, и, соответственно, будут платить значительно более высокие штрафы, в то время как те будут компании (должностные лица), где GDPR имплементирована полностью, смогут ограничиться предупреждением или относительно небольшим штрафом.

Поэтому компанию, не исполняющую требования GDPR, можно сравнить с водителем, который не пользуется ремнем безопасности – как при попадании в аварию исполнение этого простого правила может спасти жизнь, так и в случае утечки данных, предварительная работа по имплементации GDPR может застраховать от серьезных потерь.

[1] turpat

[2] https://www.lps.lv/uploads/docs_module/Daiga_Avdejanova_VDPR_regulas_ieviesana.pdf

[3] https://www.dvi.gov.lv/lv/wp-content/uploads/Gada_parskats_publiskais_2017_FINAL.pdf

[4] http://europa.eu/rapid/press-release_STATEMENT-19-662_lv.htm

[5] https://digital.freshfields.com/post/102f39w/first-gdpr-fine-issued-by-austrian-data-protection-regulator

[6] https://iapp.org/news/a/first-gdpr-fine-in-portugal-issued-against-hospital-for-three-violations/

[7] https://ico.org.uk/action-weve-taken/enforcement/

[8] https://www.dvi.gov.lv/lv/zinas/francijas-datu-aizsardzibas-uzraudzibas-iestade-cnil-uzliek-google-llc-naudas-sodu-50-miljonu-eiro-apmera/