В 2019 году полиция Зальцбурга остановила тестовое авто Volkswagen. Полицейские заметили, что в автомобиле были камеры, которые фиксировали движение вокруг для анализа ошибок системы. 3 года спустя Государственный уполномоченный по защите данных Нижней Саксонии наложил на немецкий автомобильный концерн Volkswagen 1,1 млн евро штрафа. IT-юристы Stalirov&Co рассказали за что компании пришлось заплатить такой штраф.
Предупреждение о проведении видеозаписи
На авто не было знаков с символом камеры, которые предупреждали бы о сборе и обработке личной информации. Это нарушило статью 13 GDPR, согласно которой нужно информировать окружающих об обработке, в том числе о том, кто осуществляет обработку, о целях и сроках хранения данных.
DPO c процессором
Тест-драйв авто проводила посторонняя компанию в интересах Volkswagen. Но стороны не подписали Data protection agreement, как этого требует статья 28 GDPR. Каждая компания, которая передает на подряд обработку данных граждан ЕС, должна убедиться, что подрядчик гарантирует высокий уровень защиты информации. Для этого стороны описывают процессы сбора, обработки и хранения, обмениваются инструкциями в формате DPO.
Также Volkswagen нарушили статью 35 GDPR, потому что не провели оценку воздействия на защиту данных до начала тест-драйва. Такая оценка обязательна, если обработка происходит с использованием новых технологий, как в кейсе Volkswagen.
И последним нарушением стала статья 30 GDPR, которая требует, чтобы компания вела учет деятельности по обработке. Но в реестрах Volkswagen не было разъяснений по техническим и организационным мерам защиты. Такая задача в компании — это ответственность Data protection officer
Видеофиксация проводилась, чтобы оптимизировать систему помощи водителю для предотвращения аварий и, таким образом, повысить безопасность дорожного движения. Но даже такая благородная цель не спасла Volkswagen от штрафа в 1,1 млн евро.
Действует ли GDPR в Украине?
Украинский бизнес должен выполнять требования GDPR, если обрабатывает персональные данные граждан ЕС. Правила GDPR в Украине действуют так же, как и в европейских странах.
Поэтому на месте Volkswagen может оказаться любая украинская компания. Это значит, что прежде чем запускать продукт на европейском рынке, процессы по сбору и обработке данных должны проходить тщательный GDDR Compliance.
