Тотальная цифровизация: как пандемия повлияла на соблюдение GDPR

Какие штрафы выписывали за нарушение Регламента о защите персональных данных и что делать украинскому бизнесу для соблюдения его правил
Забезпечте стрімке зростання та масштабування компанії у 2024-му! Отримайте алгоритм дій на Business Wisdom Summit.
10 квітня управлінці Арсенал Страхування, Uklon, TERWIN, Епіцентр та інших великих компаній поділяться перевіреними бізнес-рішеннями, які сприяють розвитку бізнесу під час війни.
Забронировать участие

Сейчас все новостные ленты забиты "пандемией" и "коронавирусом", поэтому все остальное уходит на второй план. В том числе и GDPR, который для многих остается новомодным и далеким понятием, потому что "там, в Европе, бизнес кошмарят Регламентом о защите персональных данных", а тут у нас свои порядки и законы.

Тем временем тот самый GDPR сильно задел весь цивилизованный бизнес, в том числе компании, которые вне Еврозоны. Следовательно, украинским компаниям также есть о чем задуматься в этом направлении.

Не хотелось бы сгущать краски, но, как говорится, "кто предупрежден — тот вооружен". Давайте оперировать фактами.

Гигантские штрафы за нарушение Регламента уже получили корпорация Google (50 млн евро), авиакомпания British Airways (204 млн евро), сеть отелей Marriott (110 млн евро), итальянский оператор связи Wind Tre (16,700 тысяч евро). Со времени вступления в силу Регламента GDPR Европейскими органами по защите данных было наложено около 340 штрафов на общую сумму в 158,13 млн евро. И это только за 2 года.

Вы можете сказать, что нашим компаниям далеко до мировых гигантов. Хорошо, перейдем от мировых китов к менее крупным компаниям: поверьте, их тоже не обошли вниманием. В список штрафников попали медицинское учреждение в Португалии (штраф 400 тысяч евро) за не обеспечение безопасности и контроля над данными, компания по анализу данных в Польше (штраф 220 тысяч евро) за нарушение правил информирования.

Дальше больше: GDPR активно применяют в отношении физлиц. Например, в Германии был оштрафован мужчина за видео на YouTube с номерными знаками. В Австрии оштрафовали футбольного тренера за съемку игроков, принимающих душ (без их согласия). С полным списком штрафов можно ознакомиться тут, весьма интересно.

Это я к чему. У наших предпринимателей и владельцев бизнесов сложилась такая традиция: решать вопросы по мере их поступления, или "пока жареный петух не клюнет". Если вы — владелец малого бизнеса, вы можете отделаться легким испугом и небольшим штрафом за несоблюдение GDPR. С компаниями покрупнее будет другая история. Но, согласитесь, не очень приятно отдавать честно заработанные (с четырьмя и выше нулями) за собственную глупость (потому что не понял, не проверил, не обратил внимание).

Теперь о главном. Глобальная пандемия COVID-19 существенно усилила надзор контролирующих органов за соблюдением правил GDPR. Дистанционная работа, виртуальное обучение, деловые встречи по Zoom и заключение сделок через WhatsApp — произошла срочная цифровизация всех сфер жизни в бизнесе, медицине, спорте образовании. А компании любого размера модернизировали свои ИТ-инфраструктуры, чтобы быстро приспособиться к изменяющимся условиям ведения бизнеса.

Медицина

Недавно Министерство здравоохранения Великобритании призналось, что не проводило никаких действий по минимизации рисков и защите данных в проектах, обрабатывающих личную информацию (что является одним из требований GDPR). В том числе в своей программе COVID-19 Test and Trace, что поставило под угрозу права человека на неприкосновенность частной жизни.

Программа Test and Trace была внедрена в Англии 28 мая как часть правительственной стратегии ослабления карантинных ограничений COVID-19. По этой инициативе Национальная служба здравоохранения (NHS) отслеживала теплые контакты людей, которые заболели коронавирусом, чтобы сообщить им о необходимости самоизоляции.

Их просили предоставить конфиденциальные данные (имя, дату рождения, почтовый индекс, с кем они живут и места, которые они недавно посещали). Однако никаких действий для защиты этих данных предпринято не было, что вызвало недоверие общественности к программе.

Еще пара примеров: Голландский орган по защите данных (DPA) наложил штраф GDPR в размере 460 тысяч евро на голландскую больницу Хага за недостаточную внутреннюю безопасность записей пациентов. Выяснилось, что несколько сотрудников больницы Хага получили доступ к медицинским записям пациента, который оказался знаменитостью, без его на то согласия. В ходе расследования голландское DPA проверило, соответствуют ли системы информационной безопасности больницы требованиям безопасности Регламента и, в частности, определенным стандартам безопасности сектора здравоохранения.

Португальский надзорный орган (далее именуемый CNPD) наложил штраф в размере 400 тысяч евро на больницу за нарушение GDPR. В ходе расследования оказалось, что персонал больницы получал доступ к данным пациентов через поддельные профили. Выяснилось, что в больнице было зарегистрировано только 296 врачей, в то время как в базе данных было около 985 профилей врачей.

Кроме того, расследование показало, что независимо от специальности врача, он/она имели неограниченный доступ ко всем файлам пациентов. Таким образом неограниченное количество пользователей имело доступ к личным данным файлов пациентов, а больница не приняла необходимых технических и организационных мер, необходимых для соблюдения GDPR.

Спорт

GDPR повлиял на индустрию спорта, в том числе на мировой футбол. Эксперты говорят о том, что сейчас GDPR имеет такое же влияние на финансирование футбольных клубов, как и правило Bosman (действующий в странах ЕС закон, разрешающий футболистам, у которых истёк срок контракта с клубом, перейти в другой клуб без денежной компенсации).

Регламент предоставляет футбольным игрокам новые права как "субъектам данных":

1) Право на доступ — в соответствии с этим правом любой футболист может запросить доступ к записям, которые есть у его клубов (включая биометрические данные и любую другую информацию, связанную с эффективностью, сгенерированную во время матча, тренировки, медицинского сеанса).

2) Право на портативность — любой игрок может потребовать, чтобы его данные были доступны для любой другой стороны/компании/команды, которая в свою очередь может передавать их в свои собственные системы.

3) Право на удаление — любой игрок может попросить клуб, руководящий орган или лигу удалить все имеющиеся о нем данные. В том числе — историю забитых голов, получения красных карточек. Это может быть стерто навсегда.

Новые права спортсменов как "субъектов данных" могут встряхнуть футбольный трансферный рынок.

Образование

Цифровизация в образовании привела к тому, что первый штраф за нарушение регламента GDPR получила Швеция. А именно муниципальная школа города Шеллефтео, которая в сотрудничестве с ИТ-фирмой Tieto использовала видеокамеру и систему распознавания лиц для отслеживания местоположения учеников. По словам руководства школы, это был пилотный проект тестирования автоматической регистрации учеников с помощью тегов, приложений для смартфонов и технологии распознавания лиц.

Каждый раз, когда ученик входил в класс, камера распознавала его лицо и регистрировала его появление на уроке в системе. Это экономило время учителя, который обязан делать то же самое вручную. Ученики и родители дали свое согласие на этот проект, однако Инспекция данных посчитала, что совет школы не мог использовать их согласие, так как ученики находятся в зависимости от правления школы. Школе был назначен штраф в размере 200 тысяч шведских крон.

Вывод

Каждая компания или организация, как в государственном, так и в частном секторе, которая обрабатывает частные данные о физических лицах в Европейском Союзе, должна ознакомиться со своими обязательствами и предпринять все необходимые шаги для соответствия Регламенту GDPR. Как видите, регулирующие органы по всей Европе очень строго подходят к выполнению этих обязательств. В противном случае правонарушитель получает выговор, предупреждение или административный штраф (размеры штрафа сами видели).

Что делать вам, если вы владелец бизнеса в Украине? Для соблюдения правил GDPR первым делом:

• обновите свою политику кибербезопасности, включив в нее понятие "работа из дома";

• обучите сотрудников политике кибербезопасности и тому, что от них ожидается;

• храните данные в зашифрованном виде при передаче или хранении;

• ограничьте доступ к конфиденциальным данным;

• обеспечьте безопасность своих подключений (например, корпоративный или корпоративный VPN);

• обратитесь за помощью к грамотному DPO, который поможет привести вашу компанию в соответствие с правилами GDPR.

В 2024 году, когда Еврокомиссия опубликует следующий отчет об оценке Регламента, будет интересно посмотреть не только на то, как продвинулся GDPR, но и на то, как он повлиял на защиту данных и партнерство в сфере конфиденциальности во всем мире, в том числе и в Украине.