За първата година от прилагане на GDPR, наложените санкции в рамките на съюза възлизат на 56 милиона евро, извършени са повече от 200 000 разследвания, 64 000 от които приключват със санкция.
Надзорните органи за защита на данните издадоха достатъчно глоби за нарушаване на разпоредбите на GDPR, за да се направят някои изводи относно действията, които могат и следва да предприемат компаниите, за да ограничат или смекчат санкциите. Наскоро публикуваните рамки и становищата на ЕС хвърлиха светлина върху санкционната политика в сферата на защита на данните.
Урок 1: Очаквайте повече глоби за нарушаване на GDPR през 2019 г.
Европейският комитет за защита на данните (EDPB) публикува предварителен доклад, в който се посочва, че от 206 326 случая, докладвани във връзка с прилагането на GDPR в 31-те страни в Европейското икономическо пространство (EEA), националните надзорни органи са разрешили само 52 процента от тях.
Тъй като регулаторите работят за наваксване на това изоставане, фирмите могат да очакват повече глоби в по-големи размери през 2019 г.
Урок 2: Компаниите могат да получат по-малки глоби ако сътрудничат
Една от първите глоби, наложени за неспазване на GDPR, е срещу неназован германски доставчик на социални медии за нарушаване на сигурността на данните, а именно имейл адреси на 330 000 потребители през септември 2018 г. Компанията предприема мерки за ограничаване щетите и като цяло ефекта от нарушението, включително информиране на потребителите, временно деактивиране на засегнатите акаунти, докладване на нарушението на германската комисия за защита на личните данни (LfDI) и предприемане на стъпки за подобряване на сигурността на платформата.
В отговор LfDI налага санкция в размер на 20 000 евро, заявявайки, че това е пропорционално наказание и се позовава на „отличното сътрудничество” на компанията и прозрачността като причина, поради която не е получила по-тежко наказание.
Урок 3: Глобите за неспазване на GDPR обикновено са доста под допустимата максимална сума
Общата сума на глобите, наложени по прилагане на GDPR, възлиза на 55,955,871 евро, но почти 90 процента от тази сума се дължи на една глоба. Google беше санкционирано от CNIL, френската комисия за защита на данните с глоба в размер на 50 млн. евро. CNIL установи, че компанията не е изпълнила задължението си да бъде прозрачна за данните, които събира и използва, за да обслужва персонализирани реклами.
Общо 91 компании са санкционирани за първата година. Това означава че средната санкция е около 66 000 евро.
Наблюдава се конструктивен подход – не се търсят твърде сурови мерки, които да изхвърлят една компания от бизнеса, или да й причини значителни затруднения без възможност всъщност да реши конкретния проблем. Целта, изглежда, е да се стимулират компаниите да отстраняват нарушенията и да работят за спазване на GDPR, като се индикира, че ако не го направят, глобата може да е по-голяма. С течение на времето този подход вероятно ще се промени.
Край на ерата на снизходителност
Глобите бяха ниски, за да призоват компаниите да спазват изискванията и да си позволят допълнително време за корекции. Този период може да свърши по-рано, отколкото мнозина очакват.
През следващите години компаниите трябва да приемат основните изисквания на GDPR по-сериозно от всякога, със стабилно и сигурно управление на данните в основата на почти всеки аспект на бизнеса. Управлението на данните в пряко съответствие с GDPR вече не е област, в която компаниите могат да подценяват. Ерата на снизходителността скоро ще приключи.
В перспектива: нарушенията на правото на неприкосновеност на личния живот се отнасят към глобите на GDPR
На 12 март EDPB излезе със становище, за изясняване на взаимодействието между Директива за правото на неприкосновеност на личния живот и електронни комуникации и GDPR. Едно от най-важните решения беше, че нарушенията на Директива за правото на неприкосновеност на личния живот и електронни комуникации биха могли да бъдат включени в санкциите по GDPR докато националните закони на една държава определят същия орган за защита на данните, който отговаря за прилагането на двата законодателни акта.
Това е важна особеност, тъй като Директива за правото на неприкосновеност на личния живот и електронни комуникации (Директивата) се прилага чрез транспониране в националното законодателство. Въпреки че размерът на санкциите за електронна сигурност може да варира от държава до държава, те почти винаги са по-малки от максимално допустимата санкции по GDPR. Например, ICO на Обединеното кралство ограничи санкциите за нарушаване на Директива за правото на неприкосновеност на личния живот и електронни комуникации до 500 000 британски лири. Според становището на EDPB обаче някои дейности по обработване на данни, като например използването на бисквитки за поведенческа реклама, попадат в материалния обхват както на Директивата, така и на GDPR.
Освен това генералният адвокат на ЕС вече свързва определението за съгласие на GDPR, което изисква недвусмислено положително действие, към Директивата. На 21 март в случая Planet49 офисът на главния адвокат определи, че предварително отбелязаните кутии не се считат за изрично съгласие на потребителя за „бисквитките“, като изяснява, че строгите условия на GDPR за валидно съгласие, описани в член 4, са приложими, когато се преценява валидността на съгласието по силата на Директивата, по-специално съгласно съображение 25. Взети заедно, тези решения подчертават правилния начин за получаване на съгласието на потребителя и защо тяхното съгласие е толкова критично.
По знакови примери за санкционирани компании:
Google 50 милиона евро
Centro Hospitalar Barreiro Montijo, болница в Португалия. Те бяха глобени 400 000 евро и дори технически не са имали нарушение. Беше възприето обаче, че те пренебрегват една от основните концепции на GDPR, а именно сигурността по дизайн и по подразбиране. Болницата разреши безразборния достъп до регистрите на пациентите от прекомерен брой потребители – имало е 985 профила с ниво на достъп на лекар, но в болницата са работили само 296 лекари. За да влошат нещата, всеки лекар е можел да види всички записи на пациентите – дори записи на пациенти на други лекари.
Глоба от 400 000 евро на компания, специализирана в разработването на недвижими имоти, закупуването, продажбата, отдаването под наем и управлението на имоти, за неадекватна защита на данните на потребителите на уебсайта си и за прилагане на неподходящи процедури за съхраняване на данни.
Компанията разполага с уебсайт, на който потребителите могат да създават файл, за да кандидатстват за наемане и качване на допълнителни документи. През август 2018 г. CNIL е получил жалба от потребител, който е имал достъп до него от личното си пространство на уебсайта, документи, регистрирани от други потребители, като леко променя URL адреса, показан в браузъра. През септември 2018 г. CNIL провежда онлайн проверка и разкрива, че документите, изпратени от заявители за наеми, са свободно достъпни, без предварително удостоверяване. Тези документи включват копия от документи за самоличност, карти за социално осигуряване, данъчни декларации, удостоверения, издадени от семейния фонд за обезщетения, съдебни решения за развод, извлечения по сметка и данни за банкова сметка.
CNIL предупреди компанията за съществуването на това нарушение на сигурността и последващо нарушение на личните данни. Няколко дни по-късно CNIL извърши проверка в помещенията на дружеството и установи, че дружеството е знаело за проблема от март 2018 г., но че въпреки че е започнал мерки за коригиране на ИТ, едва до 17 септември 2018 г. въпросът е разрешен.
CNIL идентифицира две нарушения на GDPR:
Дружеството не е изпълнило задължението си за осигуряване на сигурността на личните данни на потребителите на своите уебсайтове в нарушение на член 32 от GDPR.
Компанията не е въвела процедура за удостоверяване на потребителите на нейния уебсайт, за да гарантира, че лицата, които имат достъп до документите, са тези, които са ги качили, основна мярка. Този провал е бил утежнен, от една страна, от естеството на предоставените данни и, от друга страна, от особената липса на усърдие на дружеството при коригирането му: проблемът със сигурността е разрешен едва шест месеца по-късно и не са били взети спешни мерки za ограничаване на въздействието на пропуска.
Дружеството съхранява документите, качени от кандидатите, за неограничен период от време
Документите, качени от кандидати, които не са били избрани за квартирите, за които са кандидатствали, се съхраняват за срок, който е по-дълъг от необходимото за целите на обработката. CNIL отбелязва, че след като целта за обработване е постигната (напр. Управление на кандидатурите), данните трябва да бъдат изтрити или поне архивирани, ако трябва да се запази за спазване на законовите задължения или за целите на управлението на спорове в съответствие.
Какво се случва в България?[1]
От 25 май 2018 г. до края на годината са назначени 611 разследвания от КЛЗД, от които:
- проверки – 77 и
- сигнали – 534.
През същия период са приключени 552 разследвания, в т.ч. и назначени преди 25 май 2018 г., от които:
- проверки – 60 и
- сигнали – 492
В резултат на проведени разследвания се съставят 58 констативни акта, отправят се 9 официални предупреждения, издават се 5 разпореждания до администраторите на лични данни за съобразяване на операции по обработване на данните с разпоредбите на GDPR и се съставя 1 акт за установяване на административно нарушение. В 509 случая не са установени нарушения на разпоредбите на Регламента и на съответните физически лица са изпратени отговори или съответните сигнали са препратени на компетентни органи.
От сравнителната статистика е видно, че е налице значително намаление на проверките, което е резултат от отпадане на предварителните проверки. Забелязва се значително увеличение на получените в КЗЛД сигнали за нарушени разпоредби на Регламента и запитвания във връзка с прилагането му.
След 25 май 2018 г. се провеждат разследвания под формата на проверки (одити) във връзка със защитата на данните след постъпил сигнал за нарушения на разпоредбите на GDPR или след решение на КЗЛД като например взето по повод разглеждане на жалба или самосезиране.
През разглеждания период се извършват общо 60 проверки, от които 32 в резултат на постъпил сигнал за нарушени разпоредби на GDPR и 28 в резултат на решение на КЗЛД. В продължение на практиката най-голям (36 бр.) е броят на проверките във връзка с осъществяване на видеонаблюдение и инсталиране на системи за видеонаблюдение в сгради в режим на етажна собственост и в съседни имоти в ниско строителство.
В резултат на извършените проверки и констатирани нарушения на разпоредбите на GDPR извън тези от образуваните производства по разглеждане на жалби в съответствие с корективните си правомощия е съставен 1 акт за установяване на административно нарушение, отправя се 1 официално предупреждение, издават се 5 разпореждания до съответните АЛД да съобразят операции по обработване на данни със съответните разпоредби.
След започване прилагането на GDPR до края на 2018 г. постъпват 534 искания от физически лица, включително и запитвания по актуални въпроси, свързани със защитата на личните данни. Най-често подадените сигнали са свързани с неправомерни действия във връзка с:
- получаване на непоискани търговски съобщения по електронна поща и обаждания по телефон;
- обработване на лични данни с цел директен маркетинг, без да е предоставено съгласие на физическото лице;
- създаване на фалшиви профили в социалните мрежи;
- публикуване на лични данни на интернет сайтове и възможност за нерегламентиран достъп до тях и др.
Разгледани 492 искания, като в резултат на установени нарушения са отправени 8 официални предупреждения до съответните администратори.
Друг важен елемент в дейността на КЗЛД е свързан с изпълнение на задължението на администраторите по чл. 33 от GDPR да уведомяват КЗЛД, респ. и физическите лица, субекти на данни, за настъпили нарушения на сигурността на данните. Към края на отчетния период са постъпили 33 бр. такива уведомления от различни администратори, локализирани на територията на България, страни – членки на ЕС, както и страни извън ЕС. Същите са заведени в специален регистър.
От техния анализ е видно, че инцидентите могат да се обособят в две основни групи – причинени от човешки фактор и от природни бедствия.
Най-голям брой инциденти са свързани с разкриването на данни пред трети лица вследствие на неволни технически грешки, предизвикани от човешки фактор вътре в организациите, възникване на технически проблеми в информационните системи. Друга установена причина е неправомерен достъп на неизвестни лица, външни за организацията, посредством злонамерени атаки към системите на администраторите, представляващи различни по вид киберпрестъпления, включително кражби на документи, съдържащи и лични данни, за което са уведомени и съответните правоохранителни органи. КЗЛД е уведомена и за възникнали събития, свързани със сигурността на данните в платформите Facebook и Google.
Друга част от инцидентите са свързани с нарушения на физическата сигурност вследствие на природни бедствия и стихии, например възникване на пожар в сгради, помещения и системи на администратори, в които се обработват и лични данни. Вследствие на тези събития частично и/или изцяло са унищожени документи, съдържащи лични данни на физически лица и са нанесени значителни материални щети.
Според КЗЛД, като необходимост се налага да бъде изготвена и да се приеме Методология за управление на риска и/или въпросник за проверки в тези случаи, вкл. стандартен формуляр за уведомления за нарушения на сигурността. Това е особено важно, тъй като всички последващи действия, които трябва да се извършат и са разписани в посочената по-горе методология, са съобразно и в зависимост от нивото на риск, определено от администраторите. Верността на така определеното ниво трябва да може бъде проверена по безспорен и категоричен начин от КЗЛД, базирайки се на ясно разписани правила, а не на субективна преценка на определен служител.
[1] Данни от Годишния доклад за дейността на КЗЛД за 2018 г.