Під час вебінару у Вищій школі адвокатури на тему “GDPR: практичні кейси”, Корендюк Джулія, адвокат, старший юрист Crowe Mikhailenko, експерт з господарського та корпоративного права, розповіла про повноваження наглядових органів держав щодо розгляду справ в сфері GDPR.
Потрібно зазначити, що Європейський Регламент не є нормою прямої дії, а більш за все є Регламентом, який має бути імплементований в законодавство кожної країни. Тому в ст. 58 CDPR “Повноваження” прописано, що для забезпечення Регламенту в кожній державі, яка являється членом GDPR, має бути створений спеціальний наглядовий орган, що має ефективні повноваження, в тому числі, щодо розгляду скарг, накладення санкцій, участі в судовому процесі та інші, відповідно до права держави-члена.
Ці повноваження також повинні включати в себе повноваження з тимчасового або остаточного обмеження обробки персональних даних і її заборони.
Держави-члени можуть визначити інші завдання, пов’язані із захистом персональних даних в порядку, встановленому Регламентом. Повноваження наглядових органів повинні здійснюватися упродовж розумного строку відповідно до процесуальних механізмів захисту, встановлених правом Союзу або держави-члена.
Заходи мають має бути конкретними, необхідними і сумірними з точки зору забезпечення дотримання Регламенту, враховувати обставини кожного окремого випадку, поважати право кожної людини, не допускати зайвих витрат і надмірних незручностей.
Слідчі повноваження, такі як доступ до приміщень, повинні здійснюватися за умови попереднього погодження із судовими органами.
Порушення принципів CDPR є підставою для притягнення до відповідальності.
Кейс Google 2019
За результатами перевірок виявлено порушення двох вимог GDPR:
1. Прозорість і обізнаність користувачів про обробку персональних даних.
Інформація про умови збору, обробки, зберігання персональних даних користувачів розосереджена і не структурована, її необхідно шукати в різних документах, навіть якщо це стосується однієї і тієї ж мети обробки персональних даних, формулювання мети обробки даних місцями занадто абстрактні і загальні. Користувач Google повинен здійснити 5-6 дій, перш ніж отримати повну інформацію про збір даних.
2. Відсутність належного згоди користувачів для обробки персональних даних з метою персоналізації реклами.
Перед реєстрацією облікового запису користувачеві пропонується встановити відмітку: «Я згоден з Умовами використання Google» і «Я згоден на обробку моєю інформацією, як більш докладно описано в Політиці конфіденційності». Користувач дає свою згоду на всі операції по
обробці персональних даних, однак GDPR передбачає, що згода є «конкретною», тільки якщо вона дається окремо для кожної мети.
Кейс Google 2020
В ході проведення онлайн-розслідування було встановлено наступне.
При відвідуванні користувачем google.fr, файли cookies автоматично зберігалися на його комп’ютері без згоди з його боку, що є порушенням GDPR.
Компанія не змогла надати користувачам чітку інформацію про те, як вони мають намір використовувати зібрані дані і як відвідувачі їх французьких веб-сайтів можуть відмовитися від використання файлів cookies.
CNIL видала припис Компанії протягом трьох місяців змінити порядок інформаційних повідомлень про cookies, після чого з неї буде додатково стягуватися 100 000 євро за кожен день затримки.
У Google з цими штрафами не погодились і мають намір їх оскаржити.
Кейс British Airways 2020
У 2018 році через кібератаку стався витік персональних і фінансових даних понад 400 тис. клієнтів авіакомпанії, зокрема, номерів і кодів банківських карт.
В ході розслідування було встановлено, що авіакомпанія обробляла великі обсяги персональних даних, не забезпечивши адекватних заходів захисту інформації.
Зокрема, не було застосовано заходів, які б дозволяли вчасно помітити кібератаку та запобігти витоку персональних даних. Кібератака не була помічена понад два місяці.
Штраф став найбільшим в історії ICO, причому сума штрафу повинна була скласти 183 млн фунтів, але регулятор знизив її, взявши до уваги наслідки пандемії коронавируса для British Airways.
Будь-яка особа, якій завдано майнову або немайнову шкоду в результаті порушення положень Регламенту, має право на отримання компенсації від контролера або процесора за завдані збитки. Контролер, який бере участь в обробці, несе відповідальність за шкоду, заподіяну в результаті порушення Регламенту при обробці. Процесор несе відповідальність за шкоду, заподіяну в результаті обробки тільки якщо він не виконав вимоги Регламенту, спеціально встановлені для процесорів, або якщо він діяв за рамками або в порушення законних розпоряджень контролера. Контролер або процесор звільняється від відповідальності, якщо доведе, що жодним чином не несе відповідальність за подію, яка стала причиною заподіяння шкоди. Якщо контролер або процесор повністю компенсував шкоду, він має право подати регресний позов до інших контролерів або процесорів, які брали участь в цій же обробці, з метою повернення частини компенсації. Судовий позов про здійснення права на компенсацію повинен бути пред’явлений до суду, компетентного відповідно до законодавства держави-члена.