Чем грозит несоблюдение GDPR
21 января 2019 года Национальная комиссия по информатике и гражданским правам Франции (CNIL) вынесла решение оштрафовать американскую компанию GOOGLE LLC на 50 миллионов евро за нарушение основных требований европейского регламента по защите данных (General Data Protection Regulation, GDPR). Это решение является беспрецедентным по сумме вынесенного штрафа и наглядно показывает, чем организациям грозит несоответствие требованиям GDPR. Что же сделала не так компания Google в отношении обработки персональных данных, и на что стоит обратить внимание при приведении обработки ПДн в соответствие требованиям GDPR, рассуждает Ирина Казакова, консультант по информационной безопасности ГК InfoWatch.
Что нарушила компания Google
Комиссия определила, что при начальной конфигурации мобильного устройства на операционной системе Android (Google) пользователь не получает полной информации о порядке обращения с собираемыми Google его персональными данными.
Как развивались события
25 мая 2018 года, в день вступления GDPR в силу, в Национальную комиссию по информатике и гражданским правам Франции поступили первые жалобы со стороны пользователей ОС Android, которые и легли в основу разбирательства. Коллективная жалоба была направлена от некоммерческой организации None Of Your Business, предметом деятельности которой является представление прав и интересов пользователей в области цифровых технологий. Пользователи мобильных устройств с системой Android пожаловались на то, что были обязаны принять политику конфиденциальности и общие условия пользования сервисами Google, в противном случае они не смогли бы использовать свое мобильное устройство.
28 мая 2018 года поступила коллективная жалоба от французской ассоциации защиты основных прав и свобод в цифровом пространстве La Quadrature du Net, с претензией о том, что независимо от типа мобильного устройства пользователя Google не имеет надлежащих правовых оснований для обработки персональных данных с целью проведения поведенческого анализа и целевой рекламы.
Стоит отметить, что обе ассоциации действовали в рамках статьи 80 GDPR, которая гласит, что субъект данных вправе передать некоммерческому органу, организации или объединению, которые были основаны в соответствии с законодательством государства-члена ЕС, в данном случае Франции, право подавать жалобу от его имени. В результате, указанные жалобы подписали около 10 тысяч человек.
21 сентября 2018 года Комиссией была проведена проверка с целью установления соответствия требованиям GDPR обработки персональных данных при использовании ОС Android для мобильных устройств, включая создание учетной записи.
24 и 25 сентября 2018 года протокол проверки был передан GOOGLE LLC и Google France SARL.
28 сентября 2018 года Национальная комиссия по информатике и гражданским правам Франции (далее – Комиссия) уведомила GOOGLE LLC и Google France SARL о поступивших жалобах.
Таким образом, Комиссия сначала провела проверку и только после этого оповестила GOOGLE LLC и Google France SARL о ее причине – коллективных жалобах граждан.
22 октября 2018 года докладчик от Комиссии представил компаниям GOOGLE LLC и Google France SARL подробный доклад о результатах расследования и выявленных нарушениях.
15 января 2019 года состоялось заседание Комиссии в ограниченном составе.
Как Google пыталась обжаловать результаты
Компания Google пыталась доказать, что сама по себе процедура расследования, проведенная Национальной комиссией по информатике и гражданским правам, была нелегитимна. Компания привела в свою защиту следующие доводы:
- Комиссия не обладает достаточной компетентностью для ведения данного дела ввиду того, что французское представительство компании, Google France SARL, на которое были поданы жалобы, не должно рассматриваться в качестве центрального учреждения компании на территории ЕС, ответственного за обработку персональных данных компанией GOOGLE LLC;
- не была установлена приемлемость к рассмотрению жалоб, поданных ассоциациями None Of Your Business и La Quadrature du Net;
- документы были направлены в Google исключительно на французском языке.
На два последних пункта Комиссия ответила достаточно лаконично. Так, предметом деятельности ассоциации La Quadrature du Net, в частности, является принятие мер для обеспечения защиты основных прав и свобод в цифровом пространстве, а None Of Your Business занимается предоставлением прав и интересов пользователей в области цифровых технологий. Следовательно, обе ассоциации получили от обратившихся к ним лиц представительские полномочия в контексте статьи 80 GDPR. Кроме того, отмечается, что ни одно законодательное или национальное положение не обязывает Комиссию переводить направляемые ею документы с французского на какой-либо другой язык.
На первом пункте стоит остановиться подробнее, поскольку он будет особенно интересен компаниям, у которых несколько филиалов или дочерних структур на территории ЕС.
Google утверждает, что Комиссия должна была передать жалобы государственному органу защиты данных в Ирландии, так как именно Google Ireland Limited является центральным учреждением на территории ЕС для некоторых трансграничных операций обработки данных компании. Google привела следующие аргументы:
- Google Ireland Limited является местонахождением компании Google в ЕС с 2003 года;
- Google Ireland Limited исполняет многочисленные организационные функции, необходимые для деятельности компании на территории Европы, Ближнего Востока и Африки, например, здесь находится генеральный секретариат, решаются налоговые вопросы, формируется бухгалтерская отчетность, проводится внутренний аудит и т.д.;
- одна из претензий к компании содержит в себе пункт про целевую рекламу, в то время как заключение всех договоров продажи рекламы Google с клиентами из Европейского Союза входит в функции Google Ireland Limited;
- Google Ireland Limited насчитывает более 3600 сотрудников и имеет специальную группу сотрудников, в задачи которых входит работа с обращениями клиентов из ЕС, связанными с вопросами конфиденциальности;
- в Ирландском центральном офисе Google есть сотрудник, который отвечает за вопросы защиты частной жизни;
- в настоящее время в Google ведется реорганизация, касающаяся как оперативных, так и организационных вопросов, направленная на то, чтобы наделить компанию Google Ireland Limited ответственностью за вопросы обработки персональных данных граждан Европейского Союза.
Ответ Комиссии был однозначным и не позволил оспорить процедуру расследования:
- предоставленные сведения сами по себе не свидетельствуют о том, что компания Google Ireland Limited на дату открытия процедуры преследования обладала какими-либо полномочиями принятия решений о целях и способах обработки персональных данных, защищаемых политикой конфиденциальности;
- компания Google Ireland Limited не указана в Правилах конфиденциальности компании как субъект, где принимаются решения о целях и способах обработки персональных данных, защищаемых политикой конфиденциальности;
- Google Ireland Limited не назначила сотрудника, отвечающего за защиту данных, в задачу которого входила бы работа по обработке персональных данных, получаемых ею от клиентов из Европейского Союза;
- компания указала письмом от 3 декабря 2018 года, отправленным Комиссией по защите данных Ирландии (The Data Protection Commission), что передача ответственности Google LLC. компании Google Ireland Limited по некоторым операциям обработки персональных данных граждан Европейского союза будет завершена только 31 января 2019 года.
Таким образом, Комиссия не нашла нарушений в процедуре подачи жалоб на несоответствие требованиям GDPR по обработке персональных данных. В Комиссии также отметили, что предоставленные сведения свидетельствуют только об участии указанного ирландского предприятия в различных видах деятельности компании.
Какие именно требования GDPR не соблюдала компания Google
- Компания не выполнила обязательства по обеспечению прозрачности обработки персональных данных и информирования субъектов (статьи 12 и 13 GDPR).
Согласно статье 12 GDPR информация об обработке данных должна предоставляться пользователю в легкодоступной форме. В случае Google информация размещалась частями во множестве документов, например, «Правила конфиденциальности и условия использования», которые открываются перед пользователем при создании учетной записи, затем «Правила конфиденциальности», которые появляются на втором этапе создания аккаунта через активные ссылки в первом документе. Эти документы содержат кнопки и ссылки, лишь перейдя по которым можно ознакомиться с дополнительной информацией о сроках и целях обработки пользовательских данных.
Чтобы получить информацию о том, какие данные будет собирать о пользователе Google, как они будут использоваться, необходимо внимательно ознакомиться с большим количеством документов. При этом, единого ответа на эти вопросы нет: перечень собираемых сведений зависит от выбранных пользователем параметров настройки. Например, для получения доступа к информации по персонализации рекламных сообщений от пользователя требуется совершить более пяти действий.
Кроме того, пользователь не может получить информацию о последствиях, которые будет иметь обработка переданных в компанию Google персональных данных, цели обработки, указанные в различных документах, являются общими, например в одной из политик Google указано: «Собираемые нами сведения нужны для улучшения сервисов, предлагаемых всем пользователям. Собираемые нами сведения и то, как мы их используем, зависят от того, как вы используете наши сервисы и как вы управляете своими параметрами конфиденциальности».
Сроки хранения пользовательских данных также регламентируются неточно. Например, в разделе «Каким образом сохраняются данные, собираемые Google» указаны четыре категории данных, одна из которых определена как «сведения, которые хранятся на протяжении длительного периода по конкретным причинам». При этом, конкретные разъяснения цели хранения отсутствуют: не указан ни сам срок хранения, ни критерии, используемые для его определения, хотя эта информация должна предоставляться пользователям согласно п. (а) параграфа 2 статьи 13 GDPR.
- У компании отсутствовала необходимая юридическая основа для проводимой обработки данных (статья 6 GDPR).
Google обвиняется в том, что она ненадлежащим образом получила согласие пользователей на обработку их данных для персонализации рекламы.
В момент создания учетной записи пользовать должен отметить поля «Принимаю условия использования Google» и «Согласен, чтобы моя информация использовалась, как описано выше и подробно указано в Правилах конфиденциальности», при этом, выбор и редактирование сведений, зарегистрированных в учетной записи, является необязательным условием регистрации. Эти сведения находятся в пункте «Больше опций». Пользователь может создать свою учетную запись и согласиться на связанную с этим обработку данных, в частности, обработку данных для персонализации рекламы, без нажатия кнопки «Больше опций».
Следовательно, согласие пользователя в данном случае получается ненадлежащим образом, т.к. оно не было получено путем утвердительного действия, которым пользователь дает определенное и отдельное согласие на обработку его данных в целях персонализации рекламы по отношению к другим целям обработки данных.
Итог: почему компания Google получила беспрецедентно высокий штраф
1) Тяжесть нарушения. Фактически, статья 6, определяющая случаи законной обработки данных, является центральным положением о защите ПДн в GDPR. Требования по обеспечению прозрачности информации и информированию пользователей также имеют чрезвычайно большое значение, так как обусловливают реализацию прав пользователей и, следовательно, позволяют субъекту сохранять контроль над своими данными. Игнорирование статей 6, 12 и 13 карается самыми строгими санкциями в контексте пункта 5 статьи 83 GDPR;
2) Причины не устранены. Установленные нарушения со стороны Google до сих пор имеют место быть, и таким образом, нарушение Регламента продолжается;
3) Масштабы проблемы. В силу доминирующего положения операционной системы Android на французском рынке, а также высокую долю пользователей смартфонов от общего числа владельцев мобильных телефонов во Франции, Google проводит операции c ПДн в колоссальном объеме – страдают данные миллионов пользователей.
Какие практические выводы можно сделать после рассмотрения данного дела
После вступления Регламента в силу «под ударом», в первую очередь, оказались крупные корпорации, которые обрабатывают огромное количество пользовательских данных. Несмотря на все усилия, которые были предприняты многими компаниями до даты вступления GDPR в силу, даже самые крупные игроки рынка оказались не готовы к выполнению всех нюансов нового Регламента, и пример тому дело Google.
Это не означает, что компании с меньшим объемом обрабатываемых персональных данных могут не беспокоиться о приведении процессов в соответствие требованиям GDPR. Правоприменительная практика формируется и в этом сегменте. Португальскую больницу Barreiro Hospital обвинили в неправильном управлении доступом к критичным персональным данным (штраф составил 300 тыс. евро) и нарушении обеспечения безопасности и целостности данных (еще 100 тыс. евро). Австрийскому кафе был вынесен штраф в 5280 евро за незаконное видеонаблюдение.
Любая организация, на которую распространяется действие GDPR, не должна ограничиваться лишь разработкой нормативной документации. В первую очередь необходимо провести комплексный аудит существующих процессов обработки данных, чтобы выявить и устранить все возможные причины нарушений Регламента.
Полное или частичное копирование материалов возможно только при указании ссылки на источник — сайт www.infowatch.ru или на страницу с исходной информацией