2019 року поліція Зальцбурга зупинила тестове авто Volkswagen. Поліцейські помітили, що в автомобілі були камери, які фіксували рух навколо аналізу помилок системи. Через 3 роки Державний уповноважений із захисту даних Нижньої Саксонії наклав на німецький автомобільний концерн Volkswagen 1,1 млн євро штрафу. IT-юристи Stalirov&Co розповіли, за що компанії довелося заплатити такий штраф.
Попередження про проведення відеозапису
На авто не було знаків із символом камери, які попереджали б про збирання та обробку особистої інформації. Це порушило статтю 13 GDPR, згідно з якою слід інформувати оточуючих про обробку, у тому числі про те, хто здійснює обробку, про цілі та терміни зберігання даних.
DPO з процесором
Тест-драйв авто проводила стороння компанія на користь Volkswagen. Але сторони не підписали Data protection agreement, як цього вимагає стаття 28 GDPR. Кожна компанія, яка передає на поспіль обробку даних громадян ЄС, має переконатись, що підрядник гарантує високий рівень захисту інформації. Для цього сторони описують процеси збирання, обробки та зберігання, обмінюються інструкціями у форматі DPO.
Також Volkswagen порушили статтю 35 GDPR, тому що не провели оцінки впливу на захист даних до початку тест-драйву. Така оцінка є обов'язковою, якщо обробка відбувається з використанням нових технологій, як у кейсі Volkswagen.
І останнім порушенням стала стаття 30 GDPR, яка вимагає, щоб компанія вела облік діяльності з обробки. Але в реєстрах Volkswagen не було роз'яснень щодо технічних та організаційних заходів захисту. Таке завдання в компанії – це відповідальність Співробітник із захисту даних
Відеофіксація проводилася, щоб оптимізувати систему допомоги водієві для запобігання аваріям та, таким чином, підвищити безпеку дорожнього руху. Але навіть така благородна мета не врятувала Volkswagen від штрафу 1,1 млн євро.
Чи діє GDPR в Україні?
Український бізнес має виконувати вимоги GDPR, якщо опрацьовує персональні дані громадян ЄС. Правила GDPR в Україні діють так само, як і в європейських країнах.
Тому на місці Volkswagen може опинитися будь-яка українська компанія. Це означає, що перш ніж запускати продукт на європейському ринку, процеси збору та обробки даних повинні проходити ретельний GDDR Compliance.
