Нагляд чи підглядання: як можна захищати персональні дані

| 09 Жов 2020 |

І чи впливає європейський регламент GDPR на український бізнес.

З початку цього року Україною прокотилася хвиля скандалів, пов'язаних із витоком персональних даних інтернет-користувачів з офіційних баз даних та інших ресурсів. Відомості з держреєстрів, що стали доступними на одному з Telegram-каналів і тим самим кинули тінь на новостворену платформу держпослуг «Дія»; заява РНБО про можливі ризики від потрапляння у широкий доступ даних із сервісу Cloudflare (що згодом не підтвердилися) тощо – усе це примушує замислитися, де саме пролягає межа між тотальною відкритістю сучасного онлайн-світу та правом кожного громадянина на приватність.

Євросоюз усвідомив ці виклики дещо раніше, тож іще з травня 2018 року на його території набули чинності Норми загального захисту даних ЄС (General Data Protection Regulation, GDPR). Регламент надає інтернет-користувачам право знати, яка саме інформація про них зберігається в Мережі та як використовується. Такі вимоги вже змусили низку бізнесів переглянути свої підходи до поводження з даними, а тих, хто не зміг цього зробити, карають штрафами. 

В Україні тим часом начебто існує «своя реальність». І хоча карантинні обмеження викликали занепокоєння в експертному середовищі, загалом вітчизняні підприємці не надто переймаються дотриманням європейських вимог. Але й українським компаніям варто перелаштовувати роботу в цьому напрямі. Чому саме, спеціально для Mind пояснює Олена Колченогова – керівник практики захисту персональних даних компанії Nota group, голова комітету із захисту даних Асоціації Digital Ukraine.

Як контролюють дотримання GDPR

GDPR сильно зачепив весь цивілізований бізнес, зокрема компанії поза єврозоною. Так, гігантські штрафи за порушення регламенту вже отримали корпорація Google (50 млн євро), авіакомпанія British Airways (204 млн євро), мережа готелів Marriott (110 млн євро), італійський оператор зв'язку Wind Tre (16,7 млн євро) тощо. Відтоді, як регламент GDPR набув чинності європейськими органами із захисту даних було накладено близько 340 штрафів на загальну суму в 158 135 806 євро. І це лише за два роки.

Штрафи отримали не тільки глобальні великі компанії, менші теж не залишили без уваги.

До списку штрафників потрапили медичний заклад у Португалії (штраф 400 000 євро) за незабезпечення захисту даних, компанія з аналізу даних у Польщі (штраф 220 000 євро) за порушення правил інформування тощо. Далі більше: GDPR активно застосовують щодо фізосіб. Наприклад, у Німеччині був оштрафований чоловік за відео на YouTube з номерними знаками. В Австрії оштрафували футбольного тренера за зйомку гравців, які приймають душ (без їхньої згоди). З повним списком штрафів можна ознайомитися тут, вельми цікаво. 

Глобальна пандемія COVID-19 істотно посилила нагляд контролюючих органів за дотриманням правил GDPR. Дистанційна робота, віртуальне навчання, ділові зустрічі по Zoom і укладання угод через WhatsApp – сталася термінова цифровізація всіх сфер життя в бізнесі, медицині, спорті та освіті.А компанії будь-якого розміру модернізували свої ІТ-інфраструктури, щоб швидко пристосуватися до умов, що змінюють ведення бізнесу.

Медицина

Нещодавно Міністерство охорони здоров'я Великобританії зізналося, що не проводило жодних дій щодо мінімізації ризиків і захисту даних у проектах, які обробляють персональні дані (що є однією з вимог GDPR). Зокрема, у своїй програмі COVID-19 Test and Trace, що поставило під загрозу права людини на недоторканність приватного життя.

Програма Test and Trace була впроваджена в Англії 28 травня як частина урядової стратегії ослаблення карантинних обмежень COVID-19. За цією ініціативою Національна служба охорони здоров'я (NHS) відстежувала теплі контакти людей, які захворіли коронавірусом, щоб повідомити їм про необхідність самоізоляції. Їх просили надати конфіденційні дані (ім'я, дату народження, поштовий індекс, з ким вони живуть та місця, які вони недавно відвідували). Однак ніяких дій для захисту цих даних зроблено не було, що викликало недовіру громадськості до програми.

Ще пара прикладів: Голландський орган із захисту даних (DPA) наклав штраф GDPR у розмірі 460 000 євро на голландську лікарню Хага за недостатню внутрішню безпеку записів пацієнтів.

З'ясувалося, що кілька співробітників лікарні Хага отримали доступ до медичних записів пацієнта, який виявився знаменитістю, без його на те згоди. Під час розслідування DPA перевірило, чи відповідають системи інформаційної безпеки лікарні вимогам безпеки регламенту і, зокрема, певним стандартам безпеки сектору охорони здоров'я.

Португальський наглядовий орган (далі CNPD) наклав штраф у розмірі 400 000 євро на лікарню за порушення GDPR. Під час розслідування виявилося, що персонал лікарні отримував доступ до даних пацієнтів через підроблені профілі. З'ясувалося, що в лікарні було зареєстровано лише 296 лікарів, тоді як у базі даних було близько 985 профілів лікарів. Крім того, розслідування показало, що незалежно від спеціальності лікаря, він/вона мали необмежений доступ до всіх файлів пацієнтів. Отже, необмежена кількість користувачів мала доступ до особистих даних файлів пацієнтів, а лікарня не прийняла необхідних технічних і організаційних заходів для дотримання GDPR.

Спорт

GDPR вплинув на індустрію спорту, зокрема на світовий футбол. Експерти говорять про те, що зараз GDPR має такий же вплив на фінансування футбольних клубів, як і правило Bosman (чинний у країнах ЄС закон, що дозволяє футболістам, у яких закінчився термін контракту з клубом, перейти в інший клуб без грошової компенсації). Регламент надає футбольним гравцям нові права як «суб'єктам даних»:

  1. Право на доступ: будь-який футболіст може запросити доступ до записів, які є у його клубів (включаючи біометричні дані та будь-яку іншу інформацію, пов'язану з ефективністю, що була згенерована під час матчу, тренування, медичного сеансу).

  2. Право на портативність: будь-який гравець може запросити, щоб його дані були доступні для будь-якої іншої сторони/компанії/команди, яка своєю чергою може передавати їх у власні системи.

  3. Право на видалення: будь-який гравець може попросити клуб, керівний орган або лігу видалити всі наявні про нього дані. У тому числі – історію забитих голів, отримання червоних карток тощо. Вони можуть бути стерті назавжди. Нові права спортсменів як «суб'єктів даних» суттєво змінять футбольний трансферний ринок.

Освіта

Цифровізація в освіті призвела до того, що перший штраф за порушення регламенту GDPR отримала Швеція. А саме муніципальна школа міста Шеллефтео, яка у співпраці з ІТ-компанією Tieto використовувала відеокамеру й систему розпізнавання осіб для відстежування місцеположення учнів. За словами керівництва школи, це був пілотний проект тестування автоматичної реєстрації учнів за допомогою тегів, додатків для смартфонів і технології розпізнавання осіб.

Кожен раз, коли учень входив у клас, камера розпізнавала його обличчя й реєструвала його появу на уроці в системі. Це заощаджувало час вчителя, який зобов'язаний робити те ж саме вручну. Учні та батьки дали свою згоду на цей проект, проте Інспекція даних зробила висновок, що рада школи не могла використовувати їхню згоду, оскільки учні залежать від правління школи. Школі був призначений штраф у розмірі 200 000 шведських крон.

Як дотримуватися GDPR в Україні

У наших підприємців і власників бізнесу склалася така традиція: вирішувати питання в міру їх надходження, або не робити нічого, аж поки «смажений півень не клюне». Але якщо власник малого бізнесу може відбутися легким переляком та штрафом за недотримання GDPR, то з компаніями побільше буде інша історія. Тож варто взяти до уваги основні правила, щоби потім не опинитися серед порушників.

Кожна компанія або організація, як у державному, так і в приватному секторі, яка обробляє приватні дані про фізичних осіб в Європейському Союзі, повинна ознайомитися із своїми зобов'язаннями і вжити всіх необхідних заходів для відповідності регламенту GDPR. Як бачите, регуляторні органи по всій Європі ретельно підходять до виконання цих зобов'язань. В іншому випадку правопорушник отримує догану, попередження або адміністративний штраф (розміри штрафу самі бачили).

Що робити, якщо ви власник бізнесу в Україні? Для дотримання правил GDPR, насамперед:

  • оновіть свою політику кібербезпеки, включивши в неї поняття «робота з дому»;

  • навчіть співробітників політиці кібербезпеки і тому, що від них очікується;

  • зберігайте дані в зашифрованому вигляді при передачі або зберіганні;

  • обмежте доступ до конфіденційних даних;

  • забезпечте безпеку своїх підключень (наприклад, корпоративний або корпоративний VPN);

  • зверніться за допомогою до грамотного DPO, який допоможе привести вашу компанію у відповідність до правил GDPR.

У 2024 році, коли Єврокомісія опублікує наступний звіт про оцінку регламенту, буде цікаво подивитися не тільки на те, як просунувся GDPR, але й на те, як він вплинув на захист даних і партнерство в сфері конфіденційності по всьому світу, зокрема і в Україні.