Блог GDPR

Первый прецедент по применению GDPR в отношении компании за пределами Европейского союза сделал Британский регулятор.

Рейтинг:  5 / 5

Звезда активнаЗвезда активнаЗвезда активнаЗвезда активнаЗвезда активна
 

 

 

24 октября 2018 года орган по обеспечению защиты данных в Великобритании  именуемый Управление комиссара по информации (ICO), отправил Уведомление  канадской фирме по предоставлению данных AggregateI Q (AIQ). Это было первое Уведомление выпущенное ICO в соответствии с Общими правилами защиты данных (GDPR). В уведомлении указывается несколько нарушений GDPR и дается AIQ 30 дней, чтобы привести свою деятельность себя в соответствие с регламентом GDPR  или получить штраф в размере 20 миллионов евро или 4% от оборота глобальной группы, в зависимости от того, что больше.

Нарушения GDPR компанией AIQ  связаны с использованием им личных данных физических лиц Великобритании в связи с его деятельностью по предоставлению услуг передачи данных политическим организациям. В частности, AIQ использовала эти данные для нацеливания на людей с политической рекламы в социальных сетях.

Конкретные нарушения GDPR были следующими:

1.AIQ нарушил статьи 5 (1) (a) - (c) и статью 6, обработав «личные данные таким образом, о котором субъекты данных не знали, для целей, которых они не ожидали, и без законного основания». для этой обработки ». Более того,« обработка была несовместима с целями, для которых данные были первоначально собраны ».

2.AIQ также нарушил статью 14 в том смысле, что он не предоставил «субъектам данных информацию, изложенную в статьях 14 (1) и (2), и ни одно из исключений, изложенных в статье 14 (5), не применяется». Статья 14 имеет дело с ситуацией, в которой компания получает личные данные от третьих лиц, а не непосредственно от субъектов данных. Если применяется статья 14, контролер данных должен сообщить субъекту данных, среди прочего, категорию собранных данных, цель (цели) обработки данных и их правовую основу.

3 Хотя это не заявлено в Уведомлении о принудительном исполнении, AIQ также, вероятно, нарушал Статью 27 в тех компаниях, не входящих в ЕС, которые обрабатывают личные данные резидентов ЕС, должны назначить представителя ЕС. Несоблюдение только статьи 27 может привести к штрафу в размере 10 миллионов евро или 2% от глобального оборота компании, в зависимости от того, что выше.

GDPR предоставляет компаниям подробное руководство о том, как сбор личных данных может быть юридически обоснован, и какие шаги необходимо предпринять в отношении конфиденциальности данных, а также раскрытия и / или разрешений, которые должны быть сделаны или получены от физических лиц. . AIQ либо не знал о том, как GDPR может повлиять на его бизнес, либо, что более вероятно, учитывая широкую огласку, которую GDPR генерирует во всем мире, совершенно безразлично отнеся   к своим правовым обязательствам GDPR.

The GDPR breaches by AIQ are so serious and wide-ranging that it will be nearly impossible for it to fully comply with the Enforcement Notice within 30 days. It should be kept in mind that AIQ must carry out its compliance steps with regard to all UK individuals affected (i.e. with regard to all those in the UK whose data was collected). If AIQ’s measures are only piecemeal, the ICO will probably deem AIQ to be non-compliant.

Если AIQ не выполнит свои обязательства по GDPR в течение 30 дней то в отношении них будут применены штрафные санкции . Если AIQ не явиться в суд то решение будет принято без их участия, AIQ, возможно, придется защищать себя в действии по исполнению иностранного решения. Более того, после вынесения судебного решения в Соединенном Королевстве AIQ может быть фактически лишена возможность деятельности в ЕС из-за боязни того, что их активы в ЕС могут быть арестованы для получения штрафа.

Ситуация для китайских компаний складывается аналогично. Даже те, кто не находиться  в ЕС, могут столкнуться с рисками, указанными выше. Те китайские компании, которые занимают «расслабленную позицию» или предпочитают «посмотреть, как все будет развиваться», прежде чем они предпримут меры по соблюдению ВВП, могут оказаться неприятно удивленными. Имейте в виду, что AIQ - небольшая консалтинговая компания, но ее бизнес зависит от создания  базы  персональных данных.

 

Search