Під час заходу з підвищення кваліфікації адвокатів на тему: «Захист персональних даних в Європі та Україні», що відбувся у Вищій школі адвокатури НААУ, Джулія Корендюк, адвокат, юрист практики корпоративного права та інтелектуальної власності Avitar, детально розповіла про практику застосування GDPR в Європі.
Для забезпечення Регламенту в кожній державі-члені має бути створений спеціальний наглядовий орган, що має ефективні повноваження, в тому числі, щодо розгляду скарг, накладення санкцій, участі в судовому процесі та інші, відповідно до права держави-члена.
Ці повноваження також повинні включати в себе повноваження з тимчасового або остаточного обмеження обробки персональних даних і її заборони.
Держави-члени можуть визначити інші завдання, пов’язані із захистом персональних даних в порядку, встановленому Регламентом.
Повноваження наглядових органів повинні здійснюватися упродовж розумного строку відповідно до процесуальних механізмів захисту, встановлених правом Союзу або держави-члена.
Заходи мають має бути конкретними, необхідними і сумірними з точки зору забезпечення дотримання Регламенту, враховувати обставини кожного окремого випадку, поважати право кожної людини, не допускати зайвих витрат і надмірних незручностей.
Слідчі повноваження, такі як доступ до приміщень, повинні здійснюватися за умови попереднього погодження із судовими органами (стаття 58 GDPR. Повноваження. Преамбула 129).
З 28 січня 2022 року наглядові органи захисту даних по всій Європі наклали штрафи на загальну суму 1,64 млрд євро (1,74 млрд доларів США / 1,43 млрд фунтів стерлінгів). У річному обчисленні сукупний розмір штрафів згідно з GDPR збільшився на 50 %.
Лектор запропонувала до ознайомлення європейські кейси щодо накладення штрафів за порушення вимог у сфері захисту персональних даних.
1) Кейс Spotify 2023
Шведське управління конфіденційності (IMY)
Штраф: 58 000 000 шведських крон
У ході перевірки як Spotify виконує право клієнтів на доступ до їх особистих даних (право знати, які особисті дані про цю особу обробляє компанія та отримувати інформацію про те, як ці дані використовуються) виявлено, що інформування є недостатньо чітким, і що інформація має бути більш конкретною:
• людина має легко зрозуміти, як компанія використовує ці дані, важкозрозумілі дані треба пояснити не тільки англійською, а й рідною мовою;
• особисті дані були розділені за рівнями доступу, де до кожного рівня потрібно одержувати окремий доступ;
• великий обсяг інформації не було розділено на окремі блоки, що робило її важкою для сприйняття.
Коли особа отримує достатньо інформації, вона може перевірити чи є обробка законною та має право на виправлення або видалення неправильної інформації. Оскільки інформація, надана Spotify, була нечіткою, людям було важко зрозуміти, як обробляються їхні особисті дані і їх законність.
2) Кейс Meta Platforms Ireland 2023
Комісія із захисту даних Ірландії (DPC)
Штраф: 1,2 млд євро
Найвищий в історії GDPR штраф супроводжувався приписом для Facebook призупинити майбутню передачу персональних даних до США та припинити незаконну обробку і зберігання у США персональних даних користувачів ЄС.
Виявлено, що порушення стосується систематичних, повторюваних та безперервних передач. Facebook має мільйони користувачів у Європі, тому обсяг переданих персональних даних є величезним.
Meta порушила GDPR, переправляючи значні масиви персональних даних європейських користувачів Facebook у США, не забезпечивши достатнього захисту від методів спостереження.
У 2020 році Суд ЄС скасував угоду між ЄС та США про обмін даними та посилив вимоги до використання SCC (стандартні договірні умови).
Meta проводжувала покладатися на SCC, не враховуючи ризики для основних прав і свобод європейських користувачів Facebook, які виникли в результаті знакового рішення Суду ЄС.
ЄС та США завершують роботу над новою угодою про передачу даних, а Meta має час до 12 жовтня, щоб припинити покладатися на SCC або закрити сервіси Facebook та Instagram у Європі.
3) Кейс DOCTISSIMO 2023
Національна комісія з інформації і свобод Французької Республіки(CNIL)
Штраф: 380 000 євро
CNIL відзначив такі порушення на веб-сайті:
• компанія зберігала дані тестів протягом 24 місяців, а потім ще 3 місяці, що було визнано надмірними, дані користувачів, обліковий запис яких був неактивний більше трьох років, також зберігалися без будь-якої процедури анонімізації;
• відсутній спеціальний механізм попередження чи згоди користувачів про обробку спеціальних даних про здоров'я (збір даних про здоров'я стосувався близько 5% тестів);
• при оброці даних разом з іншими компаніями відносини спільної відповідальності були оформлені формалізованим документом, де не було зазначено поділ обов'язків між кожним контролерами/процесорами;
• використання небезпечного протоколу зв'язку «http», який зберігав паролі користувачів у недостатньо захищеному форматі (ризик комп'ютерних атак або витоку даних);
• розміщення cookie на терміналі користувачів без їхньої згоди, як тільки вони заходять на веб-сайт, а також розміщення двох рекламних файлів cookie після натискання кнопки «ВІДМОВИТИ ВСЕ».
4) Кейс Avast 2023
Управління захисту даних Чеської Республіки
Штраф: 13,7 млн євро
Штраф був накладений за опосередкований продаж персональних даних користувачів програмного забезпечення через дочірню компанію Jumpshot.
Компанія вибачилася за провину, а підрозділ Jumpshot було закрито в 2020 році.
Виявлено, що компанія продавала дані користувачів, упаковані в різні продукти, де обіцяла надати клієнтам повніше уявлення про весь шлях користувача в Інтернеті, зокрема розташування та GPS-координати на Картах Google, відео, переглянуті на YouTube, профілі в LinkedIn, веб-пошуки Google, яких достатньо, щоб дозволити ідентифікувати власників, навіть анонімних.
Виявлено порушення у недостатньому інформуванні суб’єктів даних (користувачів антивірусної програми Avast та її версії для браузера) під час отримання від них даних про цілі обробки (ст. 58 і 60 GDPR).
5) Кейс процесора 2021
Національна комісія з інформації і свобод Французької Республіки(CNIL)
Штраф: 75 000 євро
У ході розслідування було встановлено, що процесори повинні проявляти активний підхід для виконання своїх зобов’язань з безпеки.
Уданому випадку контролер (платформа електронної комерції) постраждав від атак «підбору облікових даних» на своєму веб-сайті оскільки хакерам вдалося отримати список логінів і паролів, а згодом доступ до онлайн-облікових записів і особистих даних приблизно 40 000 клієнтів, використовуючи комбінацію логінів і паролів через спеціальні програми.
CNIL ухвалив, що і контролер, і процесор не виконали свої зобов’язання щодо забезпечення безпеки персональних даних клієнтів в порушення статті 32 GDPR («контролер даних повинен прийняти рішення про застосування заходів і надати інструкції своєму процесору. Але процесор також повинен шукати найбільш прийнятні технічні і організаційні рішення для забезпечення безпеки особистих даних). Окремо відзначено, що процесор не повинен обмежувати себе лише прийняттям заходів безпеки, визначених контролером.
Відеофрагмент доступний для перегляду на сторінці Вищої школи адвокатури НААУ у Facebook: http://surl.li/ishvk
Тематичний виклад матеріалу на сторінці Advocat Post: http://surl.li/ishuw
Цікаві публікації лектора:
• Контрольовані іноземні компанії та питання міжнародного структурування. http://surl.li/ishwl
• Програмний продукт як об’єкт авторського та суміжних прав. http://surl.li/ishwq
Більше про заходи з підвищення кваліфікації адвокатів у розкладі Вищої школи адвокатури НААУ: https://cutt.ly/g9AAiVQ