Поделиться
Правительство Евросоюза впервые в истории оштрафовано за несоблюдение собственных правил защиты данных
Впервые Еврокомиссия нарушила собственные правила и выплатит 400 евро за нарушение норм General Data Protection Regulation (GDPR) или Общие правила защиты данных при передаче информации. Сам же инцидент произошел, когда пользователь зарегистрировался на конференцию через функцию «Войти с помощью Facebook* (принадлежит организации Meta, которая признана экстремистской на территории России)» на сайте Европейского союза (ЕС).
Первый штраф
Суд общей юрисдикции ЕС обязал Еврокомиссию выплатить компенсацию гражданину Германии из-за нарушения его права на защиту персональных данных, об этом следует из судебного решения на сайте института.
По данным европейского суда, истец жаловался на нарушения во время посещения сайта и регистрации на одну из конференций в 2021-2022 г. Зарегистрировавшись через EU Login с опцией входа через Facebook, он заявил, что его персональные данные, в частности IP-адрес, информация о браузере и терминале, были переданы компаниям Amazon Web Services (AWS) и Meta** (компания признана экстремистской организацией на территории России), которой и принадлежит социальная сеть Facebook.
Истец утверждал, что в Соединенных Штатах, куда передавались его данные, отсутствует надлежащий уровень защиты. Это создавало риск доступа к информации со стороны американских служб безопасности и разведки.
В иске также указывалось, что Еврокомиссия не предоставила никаких соответствующих гарантий, которые могли бы оправдать передачу данных.
Европейская комиссия - это высший орган исполнительной власти (правительство) Европейского союза. Состоит из 28 членов, по одному от каждого государства-члена. При исполнении своих полномочий они независимы, действуют только в интересах ЕС, не вправе заниматься какой-либо другой деятельностью. Государства-члены не имеют права влиять на членов Еврокомиссии. Комиссия играет главную роль в обеспечении повседневной деятельности ЕС, направленной на выполнение основополагающих договоров. Она выступает с законодательными инициативами, а после утверждения контролирует их претворение в жизнь. В случае нарушения законодательства ЕС Комиссия имеет право прибегнуть к санкциям, в том числе обратиться в Европейский суд. Орган обладает значительными автономными правами в различных областях политики, в том числе аграрной, торговой, конкурентной, транспортной, региональной и т.д. Комиссия имеет исполнительный аппарат, а также управляет бюджетом и различными фондами и программами Европейского союза.
Суд просили согласовать: 400 евро компенсации за нематериальный ущерб из-за передачи данных; аннулирование передачи данных; еще 800 евро компенсации за моральный ущерб вследствие нарушения права на доступ к информации.
Последние два требования суд отклонил. В решении указывается, что Еврокомиссия имеет контракт с AWS о сохранении данных в Европе.
Персональные данные в GDPR - это любая информация, которая относится к человеку и по ней можно определить правообладателя прямо или косвенно. Фактически, это любая информация о человеке: имя, фото, адрес почты, банковские детали, посты в социальных сетях, медицинская информация, IP-адрес, коды из аналитики и не только. Определение очень широкое и по факту включает в себя любую информацию о пользователе.
Но суд признал, что гиперссылкой «Войти через Facebook» Еврокомиссия создала условия для передачи его IP-адреса американской компании Meta. При этом не было решения Еврокомиссии о том, что Соединенные Штаты обеспечили надлежащий уровень защиты персональных данных граждан ЕС.
Согласно судебному решению, Еврокомиссия не выполнила условия, установленные законодательством ЕС по передаче персональных данных третьей стране. Суд постановил, что Еврокомиссия совершила достаточно серьезное нарушение и согласовал 400 евро штрафу.
Представитель Еврокомиссии заявил, что высший орган исполнительной власти ЕС принял к сведению решение суда и внимательно изучит последствия.
Причина штрафа
С 25 мая 2018 г. в Европе начали действовать новые правила обработки персональных данных. Эти правила устанавливает новый регламент защиты персональных данных в ЕС под названием GDPR. Этот регламент влияет на все компании, которые работают с данными резидентов Евросоюза, даже если компания зарегистрирована не в европейской стране.
Новый регламент предоставляет европейцам инструменты для полного контроля над своими персональными данными. У них есть право получать эти данные, исправлять, удалять их и ограничивать к ним доступ. Если бизнес каким-то образом собирает персональные данные, он обязан получать на это явное разрешение от пользователей. За нарушение правил обработки персональных данных по GDPR - штрафы до 20 млн евро или 4% годового глобального дохода компании.
Но новым правилам бизнесу необходимо получать явное согласие пользователей на обработку персональных данных. Руководству компаний необходимо также подготовить понятную политику конфиденциальности с детальной информацией об их компании и с описанием, где хранятся и как обрабатываются данные юзеров. В политике должно говориться о праве пользователя отозвать согласие на использование персональных данных.
Пункт «Обеспечивать покупателям право доступа к своим данным» означает, что бизнесу необходимо обеспечивать покупателям возможность получить копию своих данных в читаемом виде. Если пользователи просят их выдать им эти данные. ИТ-специалисты обязаны предоставить сохраненную информацию.
По просьбе пользователя сервис или платформа должна удалить данные покупателей. Если покупатель просит ИТ-сервис удалить его заказ, по новым правилам он обязан это сделать.
По новым правилам компании в ЕС обязаны уведомлять регулирующие органы и пользователей о любых нарушениях и утечках персональных данных. Такое уведомление нужно отправить в течение 72 часов после обнаружения проблемы.
*Facebook (принадлежит организации Meta, которая признана экстремистской на территории России).
**Meta (компания признана экстремистской организацией на территории России).
Короткая ссылка
