За 6 років дії GDPR регулятори наклали штрафи на суму понад 4,5 млрд євро. Санкції не оминають навіть малий бізнес, тому давайте розбиратись, коли на українські ІТ-компанії поширюється GDPR, як виконати вимоги та що робити, щоб запобігти штрафам.
Що таке GDPR?
GDPR – це регламент захисту даних, який вступив у силу 25 травня 2018 року і має на меті захист прав громадян Європейського Союзу. Закон встановлює правила збору, обробки та зберігання персональних даних мешканців 27 країн ЄС та Сполученого Королівства.
Персональними даними вважається будь-яка інформація про людину, за якою її можна ідентифікувати.
Щоб підпадати під дію GDPR не обов’язково реєструвати бізнес у Європі. Територіально IT-компанія може знаходитись в Україні, але надавати послуги або доступ до програмних продуктів, наймати працівників-громадян ЄС. За таких умов на бізнес поширюється дія європейського регламенту.
Окрім безпосередньої взаємодії з громадянами ЄС, українські компанії можуть отримувати непрямий доступ до їхньої особистої інформації. Наприклад, ІТ-компанія з України розробляє програмне забезпечення для французької страхової компанії. Команда розробників може отримати доступ до даних її клієнтів. У такому випадку страхова компанія повинна дотримуватись вимог GDPR, тому захоче отримати гарантії безпеки від IT-компанії.
Європейські замовники не укладають контракти з ІТ-компаніями, які не готові забезпечити належний захист персональних даних. У разі порушення вимог GDPR замовник може отримати штраф на тисячі євро, тому при наймі компанії для розробки програмного продукту, замовник може ініціювати укладання договору із захисту даних та надіслати GDPR-опитувальник для перевірки впроваджених заходів безпеки.
ІТ-компаніям важливо зрозуміти, як відповідати вимогам GDPR. Для цього іт-юристи Stalirov&Co підготували туторіал з впровадження вимог регламенту. Сьогодні розберемось з тим, що робити продуктовим компаніям, щоб запровадити європейські стандарти.
Як продуктовим ІТ-компаніям виконати вимоги GDPR?
Щоб продуктова компанія відповідала вимогам GDPR, необхідно виконати кілька ключових кроків.
1. Збір даних
- Повідомляйте користувачів про те, які дані ви збираєте, з якою метою та як довго вони будуть зберігатися. Надайте вичерпний перелік таких даних.
- Збирайте тільки ті персональні дані, які дійсно необхідні для роботи продукту.
- Отримуйте явну згоду користувачів на збір та обробку їхніх даних.
Порушення цих вимог призводить до штрафів. У 2023 році Meta довелось сплатити штраф у €390 млн. Компанія не пояснила користувачам з якою метою їхні персональні дані будуть оброблятися.
2. Захист даних
- Застосовуйте технічні та організаційні заходи для захисту персональних даних, наприклад, шифрування та регулярне оновлення програмного забезпечення.
- Надайте доступ до даних лише уповноваженим особам.
3. Права користувачів
- Забезпечте можливість користувачам реалізувати свої права, зокрема право на доступ до даних, їхнє виправлення або видалення, а також право на переносимість даних.
- Реагуйте на запити користувачів щодо їхніх даних оперативно.
4. Обробка даних третіми особами
- Якщо ви передаєте дані третім сторонам (наприклад, сервісам хмарного зберігання або аналітики), переконайтеся, що ці сторони також дотримуються вимог GDPR. Складіть вичерпний список таких третіх сторін.
- Укладіть з постачальниками послуг Угоду про обробку даних.
5. Інформування про витік даних
- У разі витоку персональних даних повідомте про це відповідні органи протягом 72 годин та постраждалих користувачів, якщо витік може створити для них ризики.
6. Офіцер із захисту даних (DPO)
- Призначте офіцера із захисту даних, якщо ваша компанія обробляє великі обсяги інформації або займається регулярним моніторингом користувачів.
Через порушення цієї вимоги іспанська служба доставки Glovoapp23 отримала штраф €25 000. Компанія не призначила DPO, якому можна було б адресувати запити від суб’єктів даних
7. Cookie політика
- Отримайте згоду користувачів перед використанням будь-яких файлів Cookie.
- Надайте точну та конкретну інформацію про дані, які відстежує кожен файл.
- Документуйте та зберігайте згоду, отриману від користувачів.
- Дозвольте користувачам отримати доступ до програмного продукту, навіть якщо вони відмовляються від файлів Cookie.
- Забезпечте можливість так само легко відкликати свою згоду, як і погодитись на Cookie.
У 2021 році французький орган із захисту даних наклав на Google €90 млн штрафу. Це сталось через те, що на YouTube відмовитись від Cookie складніше, ніж прийняти їх. Контролюючий орган зазначив, що для відмови від файлів Сookie на YouTube користувачу потрібно зробити кілька кліків, а для прийняття – лише один клік. Такий алгоритм дій порушує вимоги GDPR, бо відмова від використання Cookie має бути такою ж простою, як і згода.
Кроки, визначені вище, мають бути описані у Політиці конфіденційності. Це документ, який має опублікувати кожен програмний продукт.
Інформацію у Політиці конфіденційності важливо подати стисло, прозоро, у легкодоступній формі, з використанням чітких і простих формулювань. Документ має бути написаний мовою користувача.
Наприклад, Голландський контролюючий орган оштрафував TikTok на €750 000 за публікацію своєї Політики конфіденційності для голландських користувачів виключно англійською мовою.
«Стисло та прозоро» означає, що власники програмних продуктів повинні представити інформацію ефективно та лаконічно, щоб уникнути інформаційної втоми. Функціонал продукту має дозволяти користувачам перейти до конкретного розділу Політики конфіденційності негайно, щоб не було необхідності прокручувати великі обсяги тексту в пошуках певних питань. Документ має бути легко знайти.
Якщо вам здається, що штрафи накладають лише на IT-гігантів, ви помиляєтесь. Контролюючі органи штрафують навіть невеликих операторів веб-сайтів. Наприклад, у грудні 2022 року Люксембурзький контролюючий орган оштрафував компанію, яка керує веб-сайтом і мобільним додатком, на €3700 за ненадання достатньої інформації про обробку даних і за використання Політики конфіденційності, яка не відповідає дійсності. Розслідування показало, що:
- У Політиці конфіденційності згадувались операції обробки, які фактично не виконувались.
- Політика конфіденційності була доступна не на всіх сторінках, на яких компанія збирала дані.
- Після встановлення мобільного додатку до Політики конфіденційності було важко отримати доступ.
- Політика конфіденційності була доступна лише двома мовами, тоді як веб-сайт був доступний трьома мовами.
- У Політиці конфіденційності не було інформації про термін зберігання даних.
Як розраховуються штрафи за порушення GDPR?
Штрафи за порушення GDPR розраховуються на основі наступних факторів:
- Природа та серйозність порушення. Контролюючий орган визначає які типи даних задіяні і скільки людей постраждало. Оцінюється характер і тривалість порушення, а також те, чи було порушення навмисним або результатом недбалості.
- Попередні порушення. Якщо компанія вже порушувала GDPR в минулому, це може збільшити розмір штрафу.
- Співпраця з наглядовим органом. Співпраця з органами захисту даних під час розслідування порушення може сприяти зменшенню штрафу.
- Категорії персональних даних. Особливо суворо караються порушення, що стосуються чутливих персональних даних (наприклад, даних про здоров’я, расову або етнічну приналежність, політичні погляди тощо).
- Заходи, що були вжиті для мінімізації збитків. Наглядовий орган проаналізує які дії вжила компанія для зменшення шкоди, завданої внаслідок порушення.
- Рівень відповідності до порушення. Враховується, наскільки компанія дотримувалася інших вимог GDPR і її загальна культура захисту даних.
GDPR встановлює два рівні штрафів в залежності від серйозності порушення.
- Порушення технічних і організаційних вимог (наприклад, недостатні заходи безпеки, відсутність призначення офіцера із захисту даних) може призвести до штрафу до 10 мільйонів євро або до 2% річного глобального обороту компанії, залежно від того, яка сума є більшою.
- Порушення основних положень (наприклад, незаконна обробка даних, недотримання умов для отримання згоди на обробку) може призвести до штрафу до 20 мільйонів євро або до 4% річного глобального обороту компанії за попередній фінансовий рік, залежно від того, яка сума є більшою.
GDPR не оминає українські IT-компанії, якщо вони працюють із громадянами ЄС. Виконання вимог регламенту є не лише обов’язковим для дотримання законодавства, але й необхідним для забезпечення довіри європейських користувачів програмних продуктів та замовників ІТ-послуг. Порушення GDPR можуть призвести до значних фінансових санкцій, тому компаніям важливо забезпечити відповідність вимогам. Це включає впровадження належних технічних та організаційних заходів, інформування користувачів про обробку їхніх даних і забезпечення дотримання їх прав. Вчасна імплементація вимог GDPR допоможе уникнути штрафів і зміцнити позиції компанії на міжнародному ринку.