Минус 200 млн евро из-за GDPR. Разбирались, как избежать штрафов за обработку данных

Два года назад вступил в силу GDPR — регламент, который унифицирует и ужесточает правила обработки персональных данных всех лиц на территории ЕС. За это время ряд компаний, в том числе крупных, получили штрафы до 200 миллионов евро. Сейчас в Беларуси на рассмотрении находится закон о защите персональных данных, основные подходы которого во многом схожи с GDPR. Юридическая компания REVERA и компания IT Band Systems разобрали реальные нарушения и дали краткие рекомендации, которые помогут избежать штрафов и получить преимущество у пользователей. 

Оставить комментарий
Минус 200 млн евро из-за GDPR. Разбирались, как избежать штрафов за обработку данных

Два года назад вступил в силу GDPR — регламент, который унифицирует и ужесточает правила обработки персональных данных всех лиц на территории ЕС. За это время ряд компаний, в том числе крупных, получили штрафы до 200 миллионов евро. Сейчас в Беларуси на рассмотрении находится закон о защите персональных данных, основные подходы которого во многом схожи с GDPR. Юридическая компания REVERA и компания IT Band Systems разобрали реальные нарушения и дали краткие рекомендации, которые помогут избежать штрафов и получить преимущество у пользователей. 

GDPR — постановление Европейского союза, которое устанавливает и ужесточает обязательные правила по обработке персональных данных пользователей на территории ЕС. Кроме компаний Европейского союза эти правила должны соблюдать и продуктовые компании из других стран, например Беларуси или США, которые таргетированы на европейский рынок и обрабатывают персональные данные пользователей из ЕС. А для аутсорсинговых компаний соответствие GDPR — одно из ключевых требований европейского заказчика.

За несоблюдение требований GDPR компании привлекают к административным штрафам до 20 миллионов евро либо до 4% от общего годового мирового оборота за предыдущий финансовый год: в зависимости от того, что больше.

Топ-5 ошибок GDPR за два года

Недостаточные технические меры защиты персональных данных

Чтобы соответствовать требованиям GDPR, компания должна принять организационные и технические меры защиты персональных данных. Организационные меры касаются внедрения определённых документов и политик. С техническими все сложнее, поэтому компании часто их игнорируют и получают большие штрафы.

В июле 2018 года British Airways получили самый большой в истории GDPR штраф — более 200 миллионов евро за отсутствие надлежащих технических мер. Через год по той же причине Marriott International, Inc оштрафовали на 100 миллионов евро. В обоих случаях из-за уязвимости в системе защиты злоумышленники получили доступ к персональным данным.

Рекомендация экспертов

По требованиям GDPR, архитектура системы должна быть построена по принципу Data protection by design and by default. Это единственная общая для всех компаний техническая мера. Выбор остальных инструментов зависит от системы, которую использует компания для работы с персональными данными.

Список некоторых базовых инструментов:

  • файерволы
  • VPN
  • шифрование данных и каналов
  • контроли доступа
  • мониторинг безопасности
  • 2-х факторная аутентификация
  • антивирус
  • сканер уязвимостей
  • тестирование на проникновение
  • системы по обнаружению и предотвращению вторжения

Если к компании предъявят претензии по несоблюдению GDPR, она должна показать, что технические меры работают. Для этого специалисты советуют проводить ежегодное тестирование на проникновение (пентест). Во время пентеста эксперт моделирует атаки злоумышленников и выявляет уязвимости в безопасности системы. По результатам пентеста компания получает отчет с перечнем уязвимостей, шагами их воспроизведения, наихудшими сценариями их эксплуатации, оценкой риска и рекомендациями по устранению.

На основании отчета разработчики компании вносят корректировки, а после эксперты проводят повторное тестирование. Если его результаты покажут отсутствие «дыр», компания получит обновленный отчет, подтверждающий  эффективное применение технических мер защиты.  Если «дыры» найдутся, эксперты составят новые рекомендации по доработке.

Неограниченный срок хранения данных

Даже если компания обрабатывает персональные данные с соблюдением требований GDPR, она может хранить их только на протяжении определенного периода времени: пока данные нужны для достижения целей их обработки.

GDPR не устанавливает конкретных сроков хранения каждой категории данных. Каждая компания определяет их самостоятельно исходя из анализа целей, для которых эти данные обрабатываются.

Немецкую компанию Deutsche Wohnen SE оштрафовали на 14,5 миллионов евро. Она хранила персональные данные в течение длительного времени несмотря на то, что информация ей была уже не нужна для выполнения поставленных целей.

Рекомендация экспертов

Перед началом обработки данных определите, в течение какого срока они будут необходимы для выполнения целей их обработки. Регулярно проводите аудит данных, которые храните, и удаляйте ненужные.

Отсутствие транспарентности

Компания должна проинформировать пользователя кто, зачем и как будет использовать его данные. Эта информация должна быть легко доступна и написана не юридическим и техническим языком, а понятным для пользователя.

Google получил штраф на 50 миллионов евро, в том числе, за форму подачи информации. Чтобы узнать всю информацию о том, как используются персональные данные пользователя, нужно было открыть 5-6 разных ссылок.

Рекомендация экспертов

Детально проработайте содержание privacy policy. В ней должна быть максимально полная и актуальная информация о том, как компания использует персональные данные пользователей. Кроме того, у пользователей не должно возникать проблем в том, чтобы найти, где она размещена и понять, что в ней написано.

Недостаточное правовое основание для обработки данных

Компания не может обрабатывать персональные данные, если у неё нет законного основания. GDPR предусматривает шесть возможных оснований обработки данных. Но чаще всего коммерческие организации используют три: исполнение договора, легитимный интерес, согласие. И чаще всего компании делают ошибки, используя согласие пользователя. 

Google оштрафовали на 50 миллионов евро за ряд нарушений при получении согласия пользователей. Одним из них было заранее проставленное согласие на использование персонифицированной рекламы.

Рекомендация экспертов

Не торопитесь с выбором основания для сбора персональных данных. Для начала проанализируйте все внутренние процессы обработки данных, а после соотнесите их с применимыми основаниями обработки. Если для обработки данных как основание должно использоваться согласие пользователя, помните, что согласие должно быть явно выраженным, свободным, конкретным и информированным.

Нарушение прав пользователей

Даже если компания получила персональные данные пользователя на законном основании, это не значит, что теперь она может распоряжаться ими по своему усмотрению. У пользователей есть права по отношению к своим персональным данным, которые компания обязана соблюдать. Например, если основанием для обработки данных служит согласие пользователя — он имеет право его отозвать.

Итальянскую компанию TIM оштрафовали на 27,8 миллиона евро в том числе за то, что с клиентами, которые отозвали согласие на получение маркетинговых звонков, продолжали связываться операторы с маркетинговыми предложениями. 

Рекомендация экспертов

Для экономии времени и удобства клиентов проработайте страницу регистрации и личный профиль пользователя в вашей системе.

Страница регистрации:

  • Количество полей должно быть минимальным и обоснованным;
  • Чек-бокс, отвечающий за согласие на обработку персональных данных, не должен быть проставлен;
  • Введите гранулированное согласие, в случае если вам нужно проводить несколько операций с данными пользователя. Например, нельзя рассылать маркетинговые материалы, если пользователь дал согласие только на получение системных уведомлений. 

Страница профиля пользователя:

  • Дайте пользователю возможность изменить любое поле о себе;
  • Сделайте кнопку Delete Account — возможность пользователя удалить себя и всю свою информацию из системы;
  • Сделайте кнопку Restrict Processing Mode. Если пользователь включает этот режим, его персональная информация будет недоступна в публичном доступе, другим пользователям и даже администраторам системы;
  • Сделайте кнопку Export Personal Data с выгрузкой данных в любом формате: XML, JSON, CSV.

Дополнительная функциональность:

  • Введите автоматическое удаление или анонимизирование персональных данных, которые больше не нужны. Например, информация об уже обработанных заказах.
  • Введите автоматическое удаление персональных данных в других сервисах, с которыми система интегрирована.

Хотите сообщить важную новость?

Пишите в наш Телеграм

Горячие события

.NET Summit Belarus 2020  Online Edition Conference
7 августа — 8 августа

.NET Summit Belarus 2020 Online Edition Conference

Минск

Читайте также

У игры, где Влад Бумага бегает от хейтеров, 1,5 миллиона загрузок за 4 дня
У игры, где Влад Бумага бегает от хейтеров, 1,5 миллиона загрузок за 4 дня

У игры, где Влад Бумага бегает от хейтеров, 1,5 миллиона загрузок за 4 дня

6 комментариев
Нацбанк увидел в истории с О!плати мошенничество, но это не точно
Нацбанк увидел в истории с О!плати мошенничество, но это не точно

Нацбанк увидел в истории с О!плати мошенничество, но это не точно

5 комментариев
IBA запускает оплату проезда со смартфона в маршрутках
IBA запускает оплату проезда со смартфона в маршрутках

IBA запускает оплату проезда со смартфона в маршрутках

Штаб Дмитриева запустил сервис, который считает зарплаты
Штаб Дмитриева запустил сервис, который считает зарплаты

Штаб Дмитриева запустил сервис, который считает зарплаты

4 комментария

Обсуждение

Комментариев пока нет.
Спасибо! 

Получать рассылки dev.by про белорусское ИТ

Что-то пошло не так. Попробуйте позже