Первый штраф в Великобритании за несоблюдение правил GDPR был выдан лондонской аптеке. Осматривая помещение Агентство по регулированию лекарственных средств и изделий медицинского назначения (the Medicines and Healthcare products Regulatory Agency - MHRA) обнаружило 47 незапертых ящиков, два ведра для мусора и одну картонную коробку с документами, содержащими личные данные, оставленные во дворе аптеки. MHRA подсчитал, что в коробках было около 500 000 документов, которые раскрывали личные данные. Напоминаем, что с мая 2018 года, после выпуска Общего регламента по защите данных (GDPR), соблюдение правил GDPR, является обязательным для всех компаний.
Найденные данные содержали:
- имена;
- даты рождения;
- адреса;
- медицинскую информацию;
- данные выписанных рецептов.
Многие из субъектов данных были пожилыми лицами, поскольку аптека имела дело с выпусками рецептов для 15 домов престарелых. Документы не были защищены и были мокрыми при обнаружении, что свидетельствует о том, что они хранились несоответствующим образом.
Как соблюдать новые правила обработки персональных данных
Аптека не помогла расследованию Офиса Уполномоченного по информации (Information Commissioner's Office (ICO)) и сначала отказалась отвечать на вопросы, заданные государственным органом. Это привело к тому, что правительственный орган выпустил информационное уведомление в соответствии с Законом о защите данных 2018 года, согласно которому получатель должен предоставить ICO информацию. Во избежание ошибок по подаче документации вы можете заказать консультацию по соблюдению правил GDPR у наших экспертов. Когда аптека дала ответ на заявление со стороны Офиса Уполномоченного по информации, многие из документов были устаревшими и не содержали ссылок на GDPR. Некоторые документы были шаблонами и не были включены или адаптированы аптекой к их практике.
Принимая решение о размере штрафа, государственный орган учел шаги, предпринятые аптекой с момента проведения расследования, для улучшения своей практики. ICO рассмотрела размер аптеки и их финансовое положение для того, чтобы штраф был «эффективным, пропорциональным и сдерживающим».
Аптечный магазин был оштрафован на 275 000 фунтов стерлингов.
Обеспечение информационной безопасности предприятия: как избежать штрафов
Следующие подсказки могут быть полезны тем, кто не знает как обеспечить защиту персональных данных в Великобритании.
В аптеке утверждали, что данные были в безопасности, поскольку двор, где хранились документы, был заперт. Государственный орган ICO напомнил, что GDPR требует, чтоб среди сотрудников компании были контроллеры данных для защиты информации от случайной потери, уничтожения или повреждения.
Хранилище, которое позволяло документам промокнуть, не соответствует этому требованию. В свое оправдание аптека утверждала, что они подписали контракт с компанией, которая уничтожает документы, и во всем именно она была виновата. Однако договора с компанией по уничтожению документов не было, и документы, датированные 2016 годом, остались не изъятыми. Если вы пользуетесь услугами специалистов по обработке данных, убедитесь, что контракт с ними и сами специалисты соответствуют правилам GDPR. Консультация по соблюдению требований защиты персональных данных поможет не допустить ошибок.
Офис Уполномоченного по информации отметил, что документы по защите данных аптеки были устаревшими, не обновленными или были написаны шаблонно.
Документы не сохранялись в соответствии с политикой хранения, прописанной в Регламенте. Если вы используете шаблоны ведения документации ассоциаций или торговых организаций, убедитесь, что они адаптированы к вашей организации. Убедитесь, что у вас есть вся документация, требуемая в рамках GDPR, например, отчет о деятельности по обработке данных. Проверка по соблюдению требований GDPR не обойдет и крупные предприятия. Более крупная организация с более высоким оборотом почти наверняка получила бы более существенный штраф. Две компании, а именно Marriot и BA, все еще ожидают решения в отношении штрафов за несоблюдение правил защиты персональной информации. Ожидается, что взыскание будет на порядок выше, чем у лондонской аптеки.
Если Вы хотите зарегистрировать компанию в Великобритании, соблюдение правил GDPR будет одним из обязательных требований. У экспертов IncFine Вы можете заказать консультацию о защите и обработке персональных данных в Европе.