С начала этого года в Украине прокатилась волна скандалов, связанных с утечкой персональных данных интернет-пользователей из официальных баз данных и других ресурсов. Сведения из госреестра, ставшие доступными на одном из Telegram-каналов, бросили тень на вновь созданную платформу госуслуг «Дія»; заявление СНБО о возможных рисках от попадания в широкий доступ данных с сервиса Cloudflare (впоследствии не подтвердилось) и т. д. – все это заставляет задуматься, где именно проходит граница между тотальной открытостью современного онлайн-мира и правом каждого гражданина на приватность.
Евросоюз осознал эти вызовы несколько раньше, поэтому еще с мая 2018 года на его территории вступили в силу Нормы общей защиты данных ЕС (General Data Protection Regulation, GDPR). Регламент предоставляет интернет-пользователям право знать, какая именно информация о них хранится в Сети и как используется. Такие требования уже заставили ряд бизнесов пересмотреть свои подходы к обращению с данными, тех же, кто не смог этого сделать, наказывают штрафами.
В Украине тем временем существует как бы «своя реальность». И хотя карантинные ограничения вызвали беспокойство в экспертной среде, в общем предприниматели не слишком озабочены соблюдением европейских требований. Однако украинским компаниям стоит перестраивать работу в этом направлении. Почему, специально для Mind объясняет Елена Колченогова – руководитель практики защиты персональных данных компании Nota group, глава комитета по защите данных Ассоциации Digital Ukraine.
GDPR сильно задел весь цивилизованный бизнес, в частности компании вне еврозоны. Так, гигантские штрафы за нарушение регламента уже получили корпорация Google (50 млн евро), авиакомпания British Airways (204 млн евро), сеть отелей Marriott (110 млн евро), итальянский оператор связи Wind Tre (16700000 евро) и т. д . С тех пор как регламент GDPR вступил в силу, европейские органы по защите данных наложили около 340 штрафов на общую сумму в 158 135 806 евро. И это только за два года.
Штрафы получили не только глобальные крупные компании, компании поменьше тоже не оставили без внимания.
В список штрафников попали медицинское учреждение в Португалии (штраф 400 000 евро) за необеспечение защиты данных, компания по анализу данных в Польше (штраф 220 000 евро) за нарушение правил информирования и т. д.
Дальше больше: GDPR активно применяют в отношении физлиц. Например, в Германии был оштрафован человек за видео на YouTube с номерными знаками. В Австрии оштрафовали футбольного тренера за съемку игроков, принимающих душ (без их согласия). С полным списком штрафов можно ознакомиться здесь (весьма поучительно).
Глобальная пандемия COVID-19 существенно усилила надзор контролирующих органов за соблюдением правил GDPR. Удаленная работа, виртуальное обучение, деловые встречи по Zoom и заключение сделок через WhatsApp – произошла срочная цифровизация всех сфер жизни в бизнесе, медицине, спорте и образовании. А компании любого размера модернизировали свои IТ-инфраструктуры, чтобы быстро приспособиться к условиям, меняющим ведение бизнеса.
Недавно Министерство здравоохранения Великобритании призналось, что не проводило никаких действий по минимизации рисков и защиты данных в проектах, которые обрабатывают персональные данные (является одним из требований GDPR). В частности, в своей программе COVID-19 Test and Trace, что поставило под угрозу права человека на неприкосновенность частной жизни.
Программа Test and Trace была внедрена в Англии 28 мая как часть правительственной стратегии по ослаблению карантина COVID-19. По этой инициативе, Национальная служба здравоохранения (NHS) отслеживала «теплые» контакты людей, которые заболели коронавирусом, чтобы сообщить им о необходимости самоизоляции. Их просили предоставить конфиденциальные данные (имя, дату рождения, почтовый индекс, с кем они живут и места, которые они недавно посещали). Однако никаких действий для защиты этих данных сделано не было, что вызвало недоверие общественности к программе.
Еще пара примеров: Голландский орган по защите данных (DPA) наложил штраф GDPR в размере 460 000 евро на голландскую больницу Хага за недостаточную внутреннюю безопасность записей пациентов.
Выяснилось, что несколько сотрудников больницы Хага получили доступ к медицинским записям пациента, который оказался знаменитостью, без его на то согласия. В ходе расследования DPA проверило, соответствуют ли системы информационной безопасности больницы требованиям безопасности регламента и, в частности, определенным стандартам безопасности сектора здравоохранения.
Португальский надзорный орган (далее CNPD) наложил штраф в размере 400 000 евро в больницу за нарушение GDPR. Во время расследования выяснилось, что персонал больницы получал доступ к данным пациентов через поддельные профили. Выяснилось, что в больнице было зарегистрировано только 296 врачей, тогда как в базе данных было около 985 профилей врачей. Кроме того, расследование показало, что независимо от специальности врача, он/она имели неограниченный доступ ко всем файлам пациентов. А значит, неограниченное количество пользователей имели доступ к личным данным файлов пациентов, а больница не приняла необходимых технических и организационных мер для соблюдения GDPR.
GDPR повлиял на индустрию спорта, в том числе на мировой футбол. Эксперты говорят о том, что сейчас GDPR имеет такое же влияние на финансирование футбольных клубов, как и правило Bosman (действующий в странах ЕС закон, разрешающий футболистам, у которых истек срок контракта с клубом, перейти в другой клуб без денежной компенсации). Регламент предоставляет футбольным игрокам новые права в качестве «субъектов данных»:
Цифровизация в образовании привела к тому, что первый штраф за нарушение регламента GDPR получила Швеция. А именно муниципальная школа города Шеллефтео, которая в сотрудничестве с IТ-фирмой Tieto использовала видеокамеру и систему распознавания лиц для отслеживания местоположения учеников.По словам руководства школы, это был пилотный проект тестирования автоматической регистрации учеников с помощью тегов, приложений для смартфонов и технологии распознавания лиц.
Каждый раз, когда ученик входил в класс, камера распознавала его лицо и регистрировала появление на уроке в системе. Это экономило время учителя, который обязан делать то же самое вручную. Ученики и родители дали свое согласие на этот проект, однако Инспекция данных сделала вывод, что совет школы не мог использовать их согласие, так как ученики находятся в зависимости от правления школы. Школе был назначен штраф в размере 200 000 шведских крон.
Каждая компания или организация, как в государственном, так и в частном секторе, которая обрабатывает частные данные о физических лицах в Европейском союзе, должна ознакомиться со своими обязательствами и предпринять все необходимые шаги для соответствия регламенту GDPR. Как видите, регулирующие органы по всей Европе очень строго подходят к выполнению этих обязательств. В противном случае правонарушитель получает выговор, предупреждение или административный штраф (размеры штрафа сами видели).
Что делать, если вы владелец бизнеса в Украине? Для соблюдения правил GDPR первым делом:
В 2024 году, когда Еврокомиссия опубликует следующий отчет об оценке регламента, будет интересно посмотреть не только на то, как продвинулся GDPR, но и на то, как он повлиял на защиту данных и партнерство в сфере конфиденциальности во всем мире, в том числе и в Украине.