Під час вебінару у Вищій школі адвокатури на тему “Захист персональних даних в Європі та Україні: законодавство та практика”, Корендюк Джулія, адвокат, старший юрист Crowe Mikhailenko, експерт з господарського та корпоративного права, розповіла про Повноваження наглядових органів держав щодо розгляду справ в сфері GDPR.
Відповідно статті 58 GDPR, для забезпечення Регламенту в кожній державі-члені має бути створений спеціальний наглядовий орган, що має ефективні повноваження, в тому числі, щодо розгляду скарг, накладення санкцій, участі в судовому процесі та інші, відповідно до права держави-члена. Ці повноваження також повинні включати в себе повноваження з тимчасового або остаточного обмеження обробки персональних даних і її заборони.
Держави-члени можуть визначити інші завдання, пов’язані із захистом персональних даних в порядку, встановленому Регламентом.
Повноваження наглядових органів повинні здійснюватися упродовж розумного строку відповідно до процесуальних механізмів захисту, встановлених правом Союзу або держави-члена.
Заходи мають бути конкретними, необхідними і сумірними з точки зору забезпечення дотримання Регламенту, враховувати обставини кожного окремого випадку, поважати право кожної людини, не допускати зайвих витрат і надмірних незручностей.
Слідчі повноваження, такі як доступ до приміщень, повинні здійснюватися за умови попереднього погодження із судовими органами.
Кейс Google 2019
За результатами перевірок виявлено порушення двох вимог GDPR:
1. Прозорість і обізнаність користувачів про обробку персональних даних.
Інформація про умови збору, обробки, зберігання персональних даних користувачів розосереджена і не структурована, її необхідно шукати в різних документах, навіть якщо це стосується однієї і тієї ж мети обробки персональних даних, формулювання мети обробки даних місцями занадто абстрактні і загальні. Користувач Google повинен здійснити 5-6 дій, перш ніж отримати повну інформацію про збір даних.
2. Відсутність належної згоди користувачів для обробки персональних даних з метою персоналізації реклами.
Перед реєстрацією облікового запису користувачеві пропонується встановити відмітку: «Я згоден з умовами використання Google» і користувач дає свою згоду на всі операції по обробці персональних даних, однак GDPR передбачає, що згода є «конкретною», тільки якщо вона дається окремо для кожної мети.
Кейс Google 2020
В ході проведення онлайн-розслідування було встановлено, що при відвідуванні користувачем google.fr, файли cookies автоматично зберігалися на його комп’ютері без згоди з його боку, що є порушенням GDPR.
Компанія не змогла надати користувачам чітку інформацію про те, як вони мають намір використовувати зібрані дані і як відвідувачі їх французьких веб-сайтів можуть відмовитися від використання файлів cookies.
CNIL видала припис компанії протягом трьох місяців змінити порядок інформаційних повідомлень про cookies, після чого з неї буде додатково стягуватися 100 000 євро за кожен день затримки.
У Google з цими штрафами не погодились і мають намір їх оскаржити.
Кейс British Airways 2020
У 2018 році через кібератаку стався витік персональних і фінансових даних понад 400 тис. клієнтів авіакомпанії, зокрема, номерів і кодів банківських карт.
В ході розслідування було встановлено, що авіакомпанія обробляла великі обсяги персональних даних, не забезпечивши адекватних заходів захисту інформації.
Зокрема, не було застосовано заходів, які б дозволяли вчасно помітити кібератаку та запобігти витоку персональних даних. Кібератака не була помічена понад два місяці.
Штраф став найбільшим в історії ICO, причому сума штрафу повинна була скласти 183 млн фунтів, але регулятор знизив її, взявши до уваги наслідки пандемії коронавіруса для British Airways.