Украинский бизнес и риск быть привлеченным к ответственности за нарушение GDPR
В сети Интернет теперь можно найти достаточно много информации о том, какие компании привлекались к ответственности за нарушение GDPR, а также среднестатистический и суммарный размер штрафов. Среди компаний, привлеченных к ответственности, нет украинских, но радоваться не стоит, и вот почему.
Категории компаний, находящихся на крючке
Анализируя статистику, опубликованную в сети Интернет. Следует сделать вывод, что в настоящее время основное внимание контролирующих органов сосредоточено на компаниях так называемого mass-market сектора, то есть тех компаниях, которые работают с очень большими объемами персональных данных. В первую очередь речь идет о компаниях, осуществляющих свою деятельность в сети Интернет, и оперируют, например, социальными сетями или облачными сервисами. Не секрет, что в 2019 году начались судебные производства против компаний Google и Facebook, которые могут быть привлечены к ответственности в виде штрафа в размере 5 миллиардов долларов США и 2,2 миллиарда долларов США соответственно.
Также, в зоне внимания контролирующих органов остаются и банки, телефонные операторы и другие компании, которые осуществляют свою деятельность в различных сферах. Так, например, к таким компаниям относятся гостиницы, авиакомпании, рестораны, известные журналы, больницы и страховые агентства.
В 2020 году к ответственности было привлечено даже физическое лицо, установившее камеру видеонаблюдения в общественном месте без соответствующей авторизации. За такое нарушение физическое лицо было привлечено к ответственности в виде штрафа в размере 8000 евро.
А как же украинские компании?
Говоря об украинских компаниях, стоит иметь в виду два вида компаний. Во-первых, это компании, где собственниками являются украинцы, но такие кампании не зарегистрированы на территории Европейского Союза. Во-вторых, это компании, которые зарегистрированы как на территории Украины, так и на территории других стран – не членов ЕС, но которые ведут свой бизнес в рамках Европейской зоны.
В отношении компаний, зарегистрированных в ЕС, то с ними все понятно, ведь они могут быть привлечены к ответственности за нарушение правил обработки персональных данных несмотря на то, является владельцем такой компании украинец, или любое другое лицо. В этом случае, применяется принцип территориального применения GDPR, а именно, все компании, которые зарегистрированы на территории ЕС, автоматически должны исполнять требования GDPR.
Иная ситуация складывается для компаний, зарегистрированных в Украине. Например, некоторые гиганты ИТ индустрии, имея свой главный офис в Украине, подпадают под требования GDPR, ведь они могут осуществлять обработку большого количества персональных данных европейцев, которые являются их клиентами. В этом случае, таким компаниям, кроме требований внутреннего законодательства Украины, нужно соблюдать еще и требований европейских нормативных актов, во-избежание возможности быть привлеченным к ответственности в ЕС.
В общем, почти все продуктовые или сервисные компании в ИТ индустрии, которые ориентированы на европейских потребителей и заказчиков, должны адаптировать свою деятельность к требованиям GDPR. Это, прежде всего, обусловлено тем, что украинские компании, кроме того, чтобы выполнять роль контролера данных, могут также выполнять роль и обработчика данных, то есть действовать по инструкциям своего европейского заказчика.
Например: украинская компания, по заказу компании из Эстонии, занимается разработкой программного обеспечения, с помощью которого можно, через веб-сайт эстонской компании, предоставлять услуги пользователям в сети Интернет, проживающих на территории Германии и Франции. Кроме разработки, украинская компания обеспечивает техническую поддержку софта, а также предоставляет client service support пользователям по техническим вопросам, которые касаются функционала программного обеспечения. В этом случае, украинская компания действует как обработчик данных и должна, как минимум, в соответствии с General Data Protection Regulation, обеспечить наличие всех организационных и технических мероприятий, обеспечивающих безопасную обработку персональных данных. Фактически, соответствие GDPR должна быть обеспечена украинской компанией, как того требует закон.
Привлечение к ответственности — это реальность
Целью данной статьи не является нагнетание беспокойства в украинской бизнес-среде, однако следует иметь в виду, что в ЕС существуют механизмы привлечения к ответственности иностранных компаний за нарушение обработки персональных данных. Именно поэтому все компании, которые осуществляют обработку персональных данных европейцев, должны быть готовы к тому, что к ним может «прилететь клейм» от европейца, или этот же европеец, чьи персональные данные обрабатывает компания, напишет жалобу на вас в контролирующий орган страны своей регистрации. В этом случае, компании не избежать обязанности доказывать свой GDPR compliance, демонстририруя и применяя механизмы оперативного реагирования на запросы субъектов персональных данных, в соответствии с требованиями GDPR.
Недавно, в сети Интернет появилась новость об инциденте в информационной безопасности одной из крупнейших ИТ компаний в Украине SoftServe. Скорее всего, такой инцидент может повлечь за собой нарушение обработки персональных данных. Мы предполагаем, что ситуация, которая сложилась в рамках этого события, может стать катализатором для первого в истории Украины прецедента по коммуникации украинской компании с контролирующими органами ЕС в вопросах обработки данных в контексте требований GDPR. В любом случае, будем ждать дальнейшего развития событий, и надеяться, что для SoftServe, эта ситуация не будет иметь негативных последствий, именно с точки зрения data processing.
Наш совет всегда остается неизменным и направленным исключительно на повышение готовности украинских компаний к современным требованиям в сфере обработки персональных данных. Мы уверены, что практика, которая сейчас существует в ЕС, станет основой для новых законотворческих инициатив и в Украине, а потому такие вызовы стоит встречать в полной готовности.
