$ 38.08 € 41.49 zł 9.64
+15° Київ +14° Варшава +10° Вашингтон

Захист персональних даних: ризики для українських компаній в умовах релокейту бізнесу

UA.NEWS 25 Січня 2023 12:12
Захист персональних даних: ризики для українських компаній в умовах релокейту бізнесу

В умовах війни бізнес змушений шукати можливості продовжувати працювати. Для багатьох компаній такою можливістю стала релокація бізнесу за кордон. Однак, вирішуючи такі глобальні питання, як реєстрація компанії в іноземній юрисдикції, обрання системи оподаткування, працевлаштування спеціалістів, власники доволі часто забувають про суворість міжнародних норм в інших сферах, таких як сфера захисту персональних даних. Наприклад, в Євроcоюзі з 2018 року діє дуже вибагливий Загальний регламент про захист даних (General Data Protection Regulation, GDPR), недотримання якого може мати наслідком серйозні штрафи. Про нього ми і поговоримо в цій статті.

 

1. Що таке GDPR? 


Почнемо з того, що метою цього Регламенту є захист персональних даних фізичних осіб-громадян ЄС, а також фізичних осіб, які знаходяться на території Євросоюзу в момент збору та обробки їхніх персональних даних. Цілком логічно, що здійснюючі бізнес в Україні, ніхто не замислюється над дотриманням цих правил. А ті, хто колись і мав намір розібратися та впровадити GDPR, прочитавши кейси Google та Facebook, «повісили» собі на сайті політики та заспокоїлись. Однак, наразі релокований український бізнес все ж має серйозно замислитись над повноцінною адаптацією GDPR, адже діяльність в Європі без дотримання цих вимог є неможливою. Регламент буде застосовуватись автоматично до всіх компаній, які зареєстровані на території однієї з країн-членів ЄС, навіть якщо засновник компанії – громадянин України.



Але, насправді, неважливо чи зареєстрували ви компанію в Європі чи фактично здійснюєте там діяльність, яка тим чи іншим чином пов’язана з обробкою персональних даних громадян із ЄС. На кшталт, якщо ваші спеціалісти тимчасово виїхали в Європу, або тим паче, якщо ви найняли співробітників-громадян ЄС. Головний принцип GDPR його екстериторіальність, тому, якщо ваша компанія обробляє персональні дані резидентів з ЄС - потрібно імплементувати GDPR, незалежно від місцезнаходження вашої компанії.

Зверну особливу увагу сфери e-commerсе. Війна не могла не вплинути на економічну ситуацію в Україні, та й українські товари набули неабиякої популярності, тому підприємці шукають нові ринку збуту в Європі. Важливо, що якщо ви систематично пропонуєте товари/послуги особам, які знаходяться на території ЄС, тим паче пропонуєте доставку товару в ЄС та можливість оплати в євро (польських злотих, шведських кронах, інше) – адаптуйтесь до GDPR.

Ще один приклад застосування Регламенту, якщо ваша компанія здійснює моніторинг поведінки фізичних осіб, які знаходяться на території ЄС. Якщо ви маєте на сайті форму реєстрації, в якій громадяни ЄС залишають своє прізвище та ім’я, а ви цю інформацію збираєте, обробляєте, використовуєте  - ви повинні дотримуватись GDPR.

Наостанок зазначу, що європейська компанія просто не буде з вами співпрацювати, не закріпивши ваше зобов’язання з дотримання GDPR.

 

2.Що вимагає GDPR? 


Важливо відзначити в першу чергу те, що Регламент дещо змінив підхід до терміну «персональні дані фізичної особи», а саме – розширив це поняття. Наразі до «персональних даних» належить будь-яка інформація, за допомогою якої фізична особа ідентифікована чи може бути ідентифікована. І тут зверну увагу на словосполучення «може бути ідентифікована», адже до персональних даних GDPR відносить не тільки звичні нам ПІБ, ідентифікаційний код, номер телефону, дата народження, адреса, місце проживання, але й такі дані як IP адреса, метадані (cookies), імейл, аккаунт у соцмережі, фото, відео, звук. Якщо підсумувати, то це все те, що дозволяє визначити особу навіть з прихованим справжнім ім’ям.

Враховуючи таке широке поняття «персональних даних», не важко здогадатись, що GDPR висуває дуже суворі вимоги щодо роботи з цими персональними даними.

Принципи Регламенту наступні:

  1. Lawfulness, fairness and transparency: дані повинні оброблятися тільки законно, прозоро та справедливо для суб’єкта (тобто, суб’єкт персональних даних повинен надати згоду на таку обробку і розуміти як і для чого будуть оброблятись його дані);

  2. Purpose limitation: дані повинні збиратись тільки для конкретно визначених цілей, знову ж таки, ціль повинна бути доведена суб’єкта.

  3. Data minimization: важливий принцип для тих, хто полюбляє збирати якомога більше «раптом знадобиться». Треба збирати саме стільки даних, скільки потрібно для досягнення заявленої цілі.

  4. Аccuracy: дані повинні бути точними, підтримуватись в актуальному стані, неточні дані повинні бути видалені.

  5. Storage limitation: строк зберігання повинен відповідати меті.

  6. Integrity and confidentiality: компанія повинна забезпечувати захист персональних даних від несанкціонованої та незаконної обробки, пошкодження або знищення.


Окрему увагу Регламент приділяє обробці персональних даних неповнолітніх дітей, яка є неможливою без згоди батьків. Неповнолітніми дітьми для цілей GDPR є діти віком до 16 років, хоча GDPR дозволяє країнам-членам знизити цей мінімальний вік до 13 років.

Рішення регуляторних органів дозволяють також зробити висновки, що дуже велика кількість штрафів стосуються обробки чутливих даних, таких як дані про здоров’я, расове, етнічне чи національне походження, політичні, філософські та релігійні переконання, сексуальну орієнтацію, відомості про судимість. Ці дані повинні оброблятись з надзвичайною дбайливістю.

Це основні принципи, яких компанія повинна не тільки дотримуватись, але й бути готовою в будь-який момент продемонструвати їхнє дотримання. Фізична особа, персональні дані якої були зібрані вашою компанією, будь-коли може надіслати запит з метою отримання доступу до цих даних, отримання інформації про те, як вони зберігаються, запитом на видалення цих даних. І ваша компанія повинна бути готовою. Якщо компанія не зможе надати належну відповідь на такий запит, фізична особа може звернутися до контролюючого органу, який і застосує до компанії штрафні санкції. Які саме – поговоримо далі. 

 

3.Які наслідки порушення GDPR?


Як ви розумієте, наслідки недотримання такого суворого Регламенту також дуже серйозні.

Відповідальність в цій сфері варіюється в залежності від типу порушення.

За незначні порушення, такі як неналежне виконання обов’язків щодо сертифікаціях механізму захисту даних, «незначний» штраф – до 10 000 000 Євро або 2% від річного обігу компанії за попередній рік, залежно від того, яка сума більша.

Тоді як за порушення основних принципів, які ми наводили вище, штраф є вдвічі більший - до 20 000 000 Євро або 4% від обігу компанії за рік, залежно від того яка сума буде більшою.

Впливати на розмір штрафу можуть такі фактори, як тяжкість, тривалість, характер порушення (навмисний чи ненавмисний), попередні порушення, участь компанії у проведенні розслідування, категорії персональних даних, які постраждали.

 

4.Аналізуємо свіжі кейси.


Вперше світ почув про GDPR після гучних новин про багатомільйонні штрафи Google, Facebook, Amazon, British Airways у 2020-2021 роках. Після цього в публічній площині з’являлося все менше новин про порушення регламенту. Однак, це зовсім не означає, що таких штрафів не існує. Тільки за 2022 рік контролюючими органами було прийнято понад 200 рішень про накладення штрафів. Зупинимось на деяких з них, щоб розуміти тенденції та зробити висновки.

-

4.1. Французьке DPA наклало штраф у розмірі 800 000 Євро на компанію DISCORD INC. Ця компанія надає послуги онлайн-зв’язку. Під час розслідування було виявлено, що компанія не змогла дотриматися періоду зберігання даних, який відповідає меті обробки. Наприклад, у базі даних DISCORD було понад два мільйони облікових записів французьких користувачів, які не використовували свій обліковий запис більше 3 років. DPA також виявило, що компанія не змогла достатньою мірою забезпечити безпеку персональних даних, приймаючи ненадійні паролі від користувачів. Компанія приймала паролі користувачів, які складалися з шести символів, що містили лише літери та цифри.

 

4.2. Британське DPA оштрафувало будівельну групу Interserve Group Limited на 5 033 000 Євро. Компанія зазнала кібератаки, під час якої зловмисники співробітник випадково завантажив і відкрив пошкоджений зловмисниками файл. Це дозволило зловмисникам встановити програмне забезпечення та отримати особисті дані 113 000 співробітників (зокрема про місце проживання, номер страховки, медичні дані). Розслідування DPA показало, що нападу дозволили неналежні заходи безпеки. Співробітники Interservere, наприклад, не пройшли відповідного навчання щодо конфіденційності даних, що і мало наслідком те, що працівник завантажив та відкрив пошкоджений файл.

 

4.3. Британське DPA наклало штраф у розмірі 1 547 000 Євро на Easylife Ltd. Easylife -  це роздрібний продавець товарів домашнього вжитку. Під час закупівлі певних товарів компанія робила припущення щодо стану здоров’я клієнта, після чого клієнту пропонувалися для придбання інші продукти по телефону чи SMS, пов’язані зі станом його здоров’я. Зі 122 продуктів у каталозі Easylife Health Club 80 позицій були класифіковані як «продукти, що викликають тригер». Після того, як клієнти придбали ці продукти, Easlylife створив їх профіль, щоб націлити їх на товари, пов’язані зі здоров’ям. Під час розслідування DPA виявило, що компанія збирала та використовувала персональні дані (дані про стан здоров’я) загалом 145 500 суб’єктів даних без їхньої згоди чи навіть відома. DPA виявив, що ця «невидима» обробка персональних даних становить серйозне порушення прав суб’єктів даних, оскільки вони взагалі не можуть реалізувати свої права на конфіденційність і захист даних через відсутність інформації про обробку. Крім того, компанія здійснила 1 345 732 небажаних маркетингових дзвінка особам без їхньої згоди на дзвінки. У DPA вважали це порушенням GDPR.

 

4.4. Іспанське DPA (AEPD) оштрафувало SEGURCAIXA ADESLAS, S.A. DE SEGUROS Y REASEGUROS. на суму 300 000 Євро. Суб’єкт даних, який подав скаргу, отримував маркетингові електронні листи від контролера, незважаючи на те, що був зареєстрований у списку виключення реклами Robinson. Надсилання електронних листів тривало навіть після того, як суб’єкт даних попросив видалити свої дані.

 

4.5. Наглядовий орган Німеччини наклав штраф у розмірі 80 000 Євро на невелику фінансову компанію. Ця компанія не вжила необхідних заходів для збереження цілісності та конфіденційності інформації під час утилізації документів, що містять персональні дані двох клієнтів. Таким чином, без попередньої анонімізації документи було утилізовано у загальній системі переробки макулатури, де документи було виявлено сусідом.

Це тільки деякі кейси, які, тим не менш, доводять, що контролюючі органи не допустять безкарності за порушення GDPR.

 

5. Рекомендації по GDPR.


Перша і найголовніша порада, яку хочемо надати - дійсно дбати про GDPR compliance, а не імітувати це. Багато хто помилково вважає, що наявність політик конфіденційності на сайті, наприклад, це вже неабиякий захист персональних даних. Але ж ми впевнені, що після прочитання цієї статті це уявлення однозначно зміниться.

Щодо рекомендацій, виділимо наступні:

  1. Рекомендуємо в першу чергу провести due diligence та проаналізувати, як саме ваша компанія збирає та обробляє персональні дані, чи належним чином забезпечено захист цих даних.

  2. Подбайте про документальне та технічне забезпечення захисту персональних даних. Принагідно зазначу, що необхідно розробити та імплементувати в середньому 30 документів.

  3. Мінімізуйте та видалить непотрібні дані: принцип «чим більше, тим краще» тут не діє.

  4. Пам’ятайте про те, що ви будете нести відповідальність навіть за умови, що витік інформації стався не з вашої вини (наприклад, хакерська атака).

  5. Отримуйте згоду на отримання, обробку, зберігання персональних даних ваших клієнтів/користувачів.

  6. Обов’язково надайте користувачу зрозуміле право на відкликання згоди на обробку своїх персональних даних у будь-який момент.

  7. Особливу увагу приділяйте чутливим персональним даним та персональним даним дітей!

  8. У випадку витоку інформації невідкладно повідомляйте контролюючий орган.

  9. Подбайте про призначення відповідальних працівників та проведіть навчання працівників, у разі необхідності – призначте DPO.



  • Поважайте клієнтів та не здійснюйте маркетингові дзвінки, не направляйте листи у випадку, коли клієнт не надав на це прямої згоди.


Звісно, наведені рекомендації є лише верхівкою айсбергу.

 

ВИСНОВОК


Релокейт та адаптація вашого бізнесу в Європі вимагають імплементації вимог General Data Protection Regulation. Контролюючі органи не будуть робити винятки у разі виявлення порушень, безкарності за порушення у сфері приватності не буде. Процес впровадження GDPR compliance є серйозним та комплексним кроком, без якого реалізація ваших бізнес планів, орієнтованих на ринок ЄС буде неможливою.



Спікеруюча партнерка Юридичної компанії «АРМАДА», адвокат

Анастасія ЛУУК