GDPR: девять месяцев спустя и первый крупный штраф

21 января 2019 года французский регулятор CNIL выписал Google штраф в 50 миллионов евро за нарушение GDPR. Это первый крупный штраф с момента вступления регламента в силу в мае 2018 года - и показательный именно потому, что касается не утечки данных, а способа получения согласия.

Девять месяцев прошло с момента, когда большинство компаний разослали пользователям письма «мы обновили политику конфиденциальности» и решили, что закрыли вопрос. Штраф Google ясно показывает: регуляторы смотрят глубже.

Что конкретно нарушил Google

По версии CNIL, проблема была не в том, что Google хранил или использовал данные незаконно. Проблема была в том, как устроено согласие:

• информация о том, как используются данные, была размазана по нескольким документам и требовала до пяти кликов, чтобы добраться до сути;
• согласие на персонализацию рекламы было предварительно выставлено по умолчанию - что прямо противоречит требованию об «активном» согласии;
• пользователь не мог дать согласие раздельно на разные цели обработки.

Это технически и юридически точные претензии. Они применимы не только к Google.

Где большинство компаний стоят сейчас

Когда я смотрю на то, как большинство средних и крупных компаний подготовились к GDPR, картина примерно такая:

• политика конфиденциальности обновлена и опубликована;
• cookie-баннер добавлен;
• реестр операций обработки данных - либо формальный документ, либо его нет вообще;
• процессы удаления данных по запросу субъекта - описаны на бумаге, но не протестированы;
• обработчики данных (подрядчики, SaaS) - покрыты договорами в лучшем случае наполовину.

Соответствие GDPR - это операционный процесс, не разовая задача. Это разница между «мы написали политику» и «мы знаем, где у нас лежат персональные данные и кто к ним имеет доступ».

Три вопроса, с которых стоит начать

Если хочется трезво оценить реальное положение дел, я задаю три вопроса:

1. Реестр данных. Можете ли вы прямо сейчас назвать, в каких системах у вас хранятся персональные данные клиентов и сотрудников? Кто отвечает за каждую из этих систем?

2. Цепочка обработчиков. Передаёте ли вы данные третьим сторонам - аналитика, рассылки, CRM, облачные сервисы? Есть ли с каждым из них договор об обработке данных (DPA)?

3. Процесс запроса субъекта. Если завтра клиент потребует удалить все свои данные - что именно произойдёт, кто это сделает и за сколько дней?

Если хотя бы на один вопрос ответа нет - это риск, который стоит устранить до следующего письма регулятору.

Что сделать в ближайшие недели

Штраф Google - хороший повод провести короткий внутренний аудит. Не юридический review с консультантами, а практическую проверку: где данные, кто к ним идёт, как устроено согласие.

GDPR - это не угроза, которую можно отложить. Это новая операционная реальность для любой компании, работающей с данными жителей ЕС.