Український бізнес та ризик бути притягнутим до відповідальність за порушення GDPR

19 Вересня 2020

В мережі Інтернет наразі можемо знайти досить багато інформації стосовно того, які компанії притягувалися до відповідальності за порушення GDPR та який середньостатистичний та сумарний розмір штрафів. Серед компаній, притягнутих до відповідальності, немає українських, але радіти не варто, і ось чому.

Категорії компаній, що перебувають на гачку

Аналізуючи статистику, оприлюднену в мережі Інтернет. Варто зробити висновок, що наразі основна увага контролюючих органів зосереджена на компаніях так званого mass-market сектору, тобто тих компаній, які працюють з надзвичайно великими об’ємами персональних даних. В першу чергу мова йде про компанії, які здійснюють свою діяльність в мережі Інтернет та оперують, наприклад, соціальними мережами або хмарними сервісами. Не секрет, що в 2019 році розпочалися судові провадження проти Google та Facebook, яких може бути притягнуто до відповідальності, у вигляді штрафу, в розмірі 5 мільярдів доларів США та 2,2 мільярди доларів США відповідно.

Також не осторонь уваги контролюючих органів залишаються і банки, телефонні оператори, та інші компанії, які здійснюють свою діяльність в різноманітних сферах. Так наприклад, до таких компаній відносяться готелі, авіакомпанії, ресторани, відомі журнали, лікарні та страхові агентства.

В 2020 році до відповідальності була притягнута навіть фізична особа, яка встановила камеру відеоспостереження в публічному місці без відповідної авторизації. За таке порушення фізична особа була притягнута до відповідальності у вигляді штрафу в розмірі 8 тисяч євро.

А як же українські компанії?

Згадуючи українські компанії, варто говорити про два види компаній. По-перше, це компанії, власниками яких є українці, але які зареєстровані на території Європейського Союзу. По-друге, це компанії, які зареєстровані як на території України, так і на території інших країн – не членів ЄС, але ведуть свій бізнес в рамках Європейської зони.

Щодо  компаній, зареєстрованих в ЄС, то з ними все зрозуміло, адже їх може бути притягнуто до відповідальності за порушення правил обробки персональних даних не зважаючи на те, чи є власником такої компанії українець, а чи будь-яка інші особа. В цьому випадку застосовується принцип територіального застосування GDPR.

Інша ситуація складається для компаній зареєстрованих в Україні. Наприклад, деякі гіганти ІТ індустрії, маючи свій головний офіс в Україні, підпадають під вимоги GDPR, адже вони можуть здійснювати обробку великої кількості персональних даних європейців, які є їхніми клієнтами. В цьому випадку, таким компаніям, окрім вимог внутрішнього законодавства України, потрібно дотримуватися ще й вимог європейських нормативних актів, за-для уникнення можливості бути притягнутим до відповідальності в ЄС.

Загалом, майже всі компанії в ІТ індустрії, які орієнтовані на європейських споживачів та замовників, повинні адаптувати свою діяльність до вимог GDPR. Це, перш за все, зумовлено тим, що українські компанії, окрім того, щоб виконувати роль контролера даних, можуть також виконувати роль і обробника даних, тобто діяти за інструкціями свого європейського замовника.

Наприклад: українська компанія, за замовленням компанії з Естонії, займається розробкою програмного забезпечення, з допомогою якого, через веб-сайт естонської компанії, надаються послуги користувачам в мережі Інтернет, що проживають на території Німеччини та Франції. Окрім розробки, українська компанія забезпечує технічну підтримку софту, а також надає client service support користувачам по технічним питанням, які стосуються функціоналу програмного забезпечення. В цьому випадку, українська компанія діє як обробник даних і повинна, як мінімум, у відповідності до General Data Protection Regulation, забезпечити наявність всіх організаційних та технічних заходів, які забезпечують безпечну обробку персональних даних. Фактично, відповідність GDPR має бути забезпечена українською компанією, як того вимагає закон.

Притягнення до відповідальності – це реальність

Нагнітання перестороги  в українському бізнес середовищі, не є предметом цієї статті, однак варто мати на увазі, що в ЄС існують механізми притягнення до відповідальності іноземних компаній за порушення обробки персональних даних. Саме тому всі компанії, які здійснюють обробку персональних даних європейців, повинні бути готові до того, що до них може «прилетіти клейм» від європейця, або ж цей європеєць напише скаргу на вас до контролюючого органу країни своєї реєстрації. В цьому випадку, компанії не уникнути обов’язку доводити свій GDPR compliance, демонструвати та застосовувати механізми оперативного реагування на запити суб’єктів персональних даних, у відповідності з вимогами GDPR.

Нещодавно, в мережі Інтернет з’явилася новина про інцидент в інформаційній безпеці однієї з найбільших ІТ компаній в Україні SoftServe. Скоріш за все, такий інцидент може потягнути за собою порушення обробки персональних даних. Ми припускаємо, що ситуація, яка склалася в рамках цієї події, може стати каталізатором для першого в історії України прецеденту з комунікації української компанії з контролюючими органами ЄС в питаннях обробки даних в контексті вимог GDPR. В будь якому випадку, будемо чекати подальшого розвитку подій, та сподіватися, що для SoftServe, ця подія не буде мати негативних наслідків, саме з точки зору data processing.

Наша порада завжди залишається незмінною та спрямована на підвищення готовності українських компаній до сучасних вимог в сфері обробки персональних даних. Ми впевнені, що практика, яка наразі існує в ЄС, стане підґрунтям для нових законотворчих ініціатив і в Україні, а тому такі виклики варто зустрічати в повній готовності.