Бізнес в умовах війни змушений шукати можливості продовжувати працювати. Для багатьох компаній такою можливістю стала релокація бізнесу за кордон. Однак, вирішуючи такі глобальні питання, як реєстрація компанії в іноземній юрисдикції, обрання системи оподаткування, працевлаштування спеціалістів, власники доволі часто забувають про суворість міжнародних норм в інших сферах, таких як сфера захисту персональних даних. Наприклад, в Євроcоюзі з 2018 року діє дуже вибагливий Загальний регламент про захист даних (General Data Protection Regulation, GDPR), недотримання якого може мати наслідком серйозні штрафи. Що він передбачає і які нюанси захисту персональних даних містить законодавство, розповіла Mind адвокатка, співкеруюча партнерка Юридичної компанії «Армада» Анастасія Луук.
Почнемо з того, що метою цього регламенту є захист персональних даних фізичних осіб – громадян ЄС, а також фізичних осіб, які перебувають на території Євросоюзу в момент збору й обробки їхніх персональних даних.
Цілком логічно, що під час ведення бізнесу в Україні, ніхто не замислюється над дотриманням цих правил. А ті, хто колись і мав намір розібратися та впровадити GDPR, прочитавши кейси Google і Facebook, «повісили» собі на сайті політики й заспокоїлись.
Релокований український бізнес усе ж має серйозно замислитися над повноцінною адаптацією GDPR, адже діяльність у Європі без дотримання цих вимог є неможливою. Регламент застосовуватиметься автоматично до всіх компаній, які зареєстровані на території однієї з країн – членів ЄС, навіть якщо засновник компанії – громадянин України.
Але насправді неважливо, чи зареєстрували ви компанію в Європі чи фактично здійснюєте там діяльність, яка так чи інакше пов’язана з обробкою персональних даних громадян із ЄС. На кшталт, якщо ваші спеціалісти тимчасово виїхали до Європи або якщо ви найняли співробітників – громадян ЄС.
Головний принцип GDPR – його екстериторіальність, тому, якщо ваша компанія обробляє персональні дані резидентів з ЄС, потрібно імплементувати GDPR, незалежно від місцезнаходження вашої компанії.
Зверну особливу увагу сфери e-commerсе. Війна не могла не вплинути на економічну ситуацію в Україні, та й українські товари набули неабиякої популярності, тому підприємці шукають нові ринку збуту в Європі.
Важливо: коли ви систематично пропонуєте товари/послуги особам, які перебувають на території ЄС, або доставку товару в ЄС і можливість оплати в євро (польських злотих, шведських кронах, інше) – адаптуйтесь до GDPR.
Ще один приклад застосування регламенту, якщо ваша компанія здійснює моніторинг поведінки фізичних осіб, які перебувають на території ЄС. Якщо ви маєте на сайті форму реєстрації, де громадяни ЄС залишають своє прізвище та ім’я, а ви цю інформацію збираєте, обробляєте, використовуєте – ви повинні дотримуватися GDPR.
Наостанок зазначу, що європейська компанія просто не буде з вами співпрацювати, не закріпивши ваше зобов’язання з дотримання GDPR.
Важливо зазначити насамперед те, що регламент дещо змінив підхід до терміну «персональні дані фізичної особи», а саме – розширив це поняття.
Наразі до «персональних даних» належить будь-яка інформація, за допомогою якої фізична особа ідентифікована чи може бути ідентифікована.
Тут варто звернути увагу на словосполучення «може бути ідентифікована», адже до персональних даних відповідно до GDPR належать не тільки звичні нам ПІБ, ідентифікаційний код, номер телефону, дата народження, адреса, місце проживання, а й такі дані, як IP-адреса, метадані (cookies), імейл, аккаунт у соцмережі, фото, відео, звук. Якщо підсумувати, то це все те, що дозволяє визначити особу навіть із прихованим справжнім ім’ям.
Враховуючи таке широке поняття «персональних даних», не важко здогадатися, що GDPR висуває дуже суворі вимоги щодо роботи з цими персональними даними.
Окрему увагу регламент приділяє обробці персональних даних неповнолітніх дітей, яка є неможливою без згоди батьків.
Неповнолітніми дітьми для цілей GDPR є діти віком до 16 років, хоча GDPR дозволяє країнам-членам знизити цей мінімальний вік до 13 років.
Рішення регуляторних органів дозволяють також зробити висновки, що дуже велика кількість штрафів стосуються обробки чутливих даних, як-от дані про здоров’я, расове, етнічне чи національне походження, політичні, філософські та релігійні переконання, сексуальну орієнтацію, відомості про судимість. Ці дані мають оброблятися з надзвичайною дбайливістю.
Це основні принципи, яких компанія повинна не тільки дотримуватись, а й бути готовою в будь-який момент продемонструвати їхнє дотримання. Фізична особа, персональні дані якої були зібрані вашою компанією, будь-коли може надіслати запит із метою отримання доступу до цих даних, отримання інформації про те, як вони зберігаються, а також запит на видалення цих даних.
І ваша компанія повинна бути готовою. Якщо компанія не зможе надати належну відповідь на такий запит, фізична особа може звернутися до контролюючого органу, який і застосує до компанії штрафні санкції. Які саме – поговоримо далі.
Наслідки недотримання такого суворого регламенту також дуже серйозні. Відповідальність у цій сфері варіюється залежно від типу порушення.
За незначні порушення, як-от неналежне виконання обов’язків щодо сертифікаціях механізму захисту даних, «незначний» штраф – до 10 000 000 євро або 2% від річного обігу компанії за попередній рік, залежно від того, яка сума більша.
Тоді як за порушення основних принципів, які ми наводили вище, штраф є вдвічі більший – до 20 000 000 євро або 4% від обігу компанії за рік, залежно від того яка сума буде більшою.
Впливати на розмір штрафу можуть такі фактори, як тяжкість, тривалість, характер порушення (навмисний чи ненавмисний), попередні порушення, участь компанії у проведенні розслідування, категорії персональних даних, які постраждали.
Вперше світ почув про GDPR після гучних новин про багатомільйонні штрафи Google, Facebook, Amazon, British Airways у 2020–2021 роках. Після цього в публічній площині з’являлося все менше новин про порушення регламенту. Однак це зовсім не означає, що таких штрафів не існує.
Тільки за 2022 рік контролюючі органи ухвалили понад 200 рішень про накладення штрафів.
Зупинимося на деяких з них, щоб розуміти тенденції та зробити висновки.
Французьке DPA наклало штраф у розмірі 800 000 євро на компанію DISCORD INC. Ця компанія надає послуги онлайн-зв’язку.
Під час розслідування було виявлено, що компанія не змогла дотриматися періоду зберігання даних, який відповідає меті обробки. Наприклад, у базі даних DISCORD було понад 2 млн облікових записів французьких користувачів, які не використовували свій обліковий запис понад 3 роки.
DPA також виявило, що компанія не змогла достатньою мірою гарантувати безпеку персональних даних, приймаючи ненадійні паролі від користувачів. Компанія приймала паролі користувачів, які складалися з шести символів, що містили лише літери та цифри.
Британське DPA оштрафувало будівельну групу Interserve Group Limited на 5 033 000 євро.
Компанія зазнала кібератаки, під час якої співробітник випадково завантажив і відкрив пошкоджений зловмисниками файл. Це дозволило останнім встановити програмне забезпечення та отримати особисті дані 113 000 співробітників (зокрема, про місце проживання, номер страховки, медичні дані).
Розслідування DPA показало, що кібератаці сприяли неналежні заходи безпеки. Співробітники Interservere, наприклад, не пройшли відповідного навчання щодо конфіденційності даних, що й мало наслідком те, що працівник завантажив та відкрив пошкоджений файл.
Британське DPA наклало штраф у розмірі 1 547 000 Євро на Easylife Ltd. Easylife – це роздрібний продавець товарів домашнього вжитку.
Під час закупівлі певних товарів компанія робила припущення щодо стану здоров’я клієнта, після чого пропонувала йому для придбання інші продукти по телефону чи SMS, пов’язані зі станом його здоров’я.
Зі 122 продуктів у каталозі Easylife Health Club 80 позицій були класифіковані як «продукти, що викликають тригер». Після того як ці продукти клієнти придбали, Easlylife створив їхній профіль, щоб націлити на товари, пов’язані зі здоров’ям.
Під час розслідування DPA виявило, що компанія збирала та використовувала персональні дані (про стан здоров’я) загалом 145 500 суб’єктів даних без їхньої згоди чи навіть відома. DPA виявив, що ця «невидима» обробка персональних даних становить серйозне порушення прав суб’єктів даних, оскільки вони взагалі не можуть реалізувати свої права на конфіденційність і захист даних через відсутність інформації про обробку.
Крім того, компанія здійснила 1 345 732 небажаних маркетингових дзвінка особам без їхньої згоди на дзвінки. У DPA вважали це порушенням GDPR.
Іспанське DPA (AEPD) оштрафувало SEGURCAIXA ADESLAS, S.A. DE SEGUROS Y REASEGUROS. на суму 300 000 євро.
Суб’єкт даних, який подав скаргу, отримував маркетингові електронні листи від контролера попри те, що був зареєстрований у списку виключення реклами Robinson. Надсилання електронних листів тривало навіть після того, як суб’єкт даних попросив їх видалити.
Наглядовий орган Німеччини наклав штраф у розмірі 80 000 євро на невелику фінансову компанію. Ця компанія не вжила необхідних заходів для збереження цілісності та конфіденційності інформації під час утилізації документів, що містять персональні дані двох клієнтів.
Без попередньої анонімізації документи утилізовали у загальній системі переробки макулатури, де документи виявив сусід.
Це тільки деякі кейси, які, однак, доводять, що контролюючі органи не допустять безкарності за порушення GDPR.
Перша й найголовніша порада, яку хочемо надати, – дійсно дбати про GDPR compliance, а не імітувати це. Багато хто помилково вважає, що наявність політик конфіденційності на сайті, наприклад, це вже неабиякий захист персональних даних. Але ж ми впевнені, що після прочитання цієї статті таке уявлення однозначно зміниться.
Щодо рекомендацій, то виділимо такі:
Звісно, наведені рекомендації є лише верхівкою айсберга.
ВИСНОВОК
Релокейт та адаптація вашого бізнесу в Європі вимагають імплементації вимог General Data Protection Regulation. Контролюючі органи не робитимуть винятків у разі виявлення порушень, безкарності за порушення у сфері приватності не буде. Процес впровадження GDPR compliance є серйозним і комплексним кроком, без якого реалізація ваших бізнес-планів, орієнтованих на ринок ЄС, буде неможливою.