В 2018 году вступил в силу GDPR (Общий регламент по защите данных). После этого многие популярные компании попали в СМИ из-за нарушения этого регламента. Среди них, например, British Airways, Marriot International Hotels, Austrian Post и другие.
Вместе с Ириной Синеок, юристом контрактного департамента компании Taxus Law&Finance, мы подготовили этот текст, чтобы рассказать, как на самом деле обстоят дела с защитой данных.
Что вообще происходит?
Сегодня в Италии, Франции и Германии наложили больше всего штрафов за нарушение GDPR. Только Управление по защите данных Италии (Garante) наложило штрафов на почти 70 миллионов евро. Так они показывают, что готовы бороться с серьезными нарушениями GDPR высокими штрафами, оставив позади Германию, Францию и Великобританию.
Но если посмотреть на деятельность всех органов ЕС по защите данных, на голову выше всех стоит испанский орган по защите данных (AEPD) со 162 штрафами, от 540 евро до 125 тыс. евро. В общей сложности AEPD наложила штрафы на сумму более 4,35 миллиона евро.
Эти цифры говорят о том, что регулирующие органы серьезно относятся к информационной безопасности и организациям.
В статье 83 GDPR отражена двухуровневая структура взыскания. Так, относительно менее значительные нарушения подлежат штрафу в размере до 10 миллионов евро или до 2% от общего годового мирового оборота за предыдущий финансовый год (в зависимости от того, что выше). В то время как более серьезные нарушения подлежат штрафу в размере до 20 миллионов евро или до 4% от общего годового мирового оборота за предыдущий финансовый год (в зависимости от того, что выше). Предлагаем рассмотреть топ-5 наиболее резонансных штрафов, наложенных за весь период действия GDPR.
Google: 50 млн евро
21 января 2019 года CNIL, французская организация по защите данных, оштрафовала Google на 50 млн евро. Это самый крупный штраф GDPR, наложенный за то, что Google не давал «достаточно четкую» информацию пользователям о том, как собирались и использовались персональные данные для таргетинга рекламы. А это в свою очередь означало, что Google не получил законного согласия на использование данных для целевой рекламы.
CNIL отмечает, что предоставленная Google информация иногда является неполной, например, в отношении срока хранения данных и целей различных операций обработки.
Технический гигант решил обжаловать это решение, но суд решил, что размер штрафа соразмерен с нарушениями. В марте 2020 года шведская инспекция по защите данных (DPA) оштрафовала Google на 7 миллионов евро за невыполнение своих обязательств в отношении «права на забвение».
H&M: 35 млн евро
В октябре 2020 года комиссар ведомства по защите данных и свободы информации Гамбурга (HmbBfDI) оштрафовал Hennes & Mauritz (H&M) на 35,3 млн евро за незаконное наблюдение за несколькими сотнями сотрудников.
Нарушения конфиденциальности H&M касались обширных опросов сотрудников с подробностями об отпусках, медицинских симптомах и диагнозах болезней. Некоторые менеджеры искали дополнительные личные данные в неформальных чатах, включая семейные вопросы или религиозные убеждения, которые затем сохранялись и использовались для оценки и принятия решений о приеме на работу.
О проблеме узнали из-за технической ошибки: все эти данные несколько часов были доступны сотрудникам.
Компания H&M нарушила принцип минимизации данных GDPR – не обрабатывать личную информацию, особенно конфиденциальные данные о здоровье и убеждениях людей, за исключением случаев, когда это необходимо для конкретной цели.
«Этот случай демонстрирует грубое пренебрежение правилами защиты данных в Германии», – сказал глава HmbBfDI Йоханнес Каспар. H&M принял на себя полную ответственность и планирует выплатить сотрудникам компенсацию.
TIM: 27,8 млн евро
В январе 2020 года итальянское управление по защите данных (DPA Garante) оштрафовало TIM (телекоммуникационного оператора) на 27,8 млн евро за серию нарушений GDPR: незаконную обработку данных, агрессивную маркетинговую стратегию, недействительный сбор согласий и чрезмерный срок хранения данных.
Нарушения TIM включают в себя ряд незаконных действий, большинство из которых являются следствием чрезмерно агрессивной маркетинговой стратегии. Миллионы людей были засыпаны рекламными звонками и сообщениями, направленными без надлежащего согласия пользователей или других юридических оснований. Некоторые контакты были из списков, использовавших свое право не получать маркетинговые материалы. В одном случае TIM связалась с пользователем 155 раз в течение месяца!
Также политика конфиденциальности TIM не была прозрачной, и было неясно, для каких целей будут использоваться персональные данные. Согласие на обработку данных получалось неправильно и часто было недействительным – одно согласие использовалось для нескольких целей.
British Airways: 22 млн евро
В июле 2019 года британский надзорный орган (ICO) объявил о своем намерении наложить штраф на British Airways и ее материнскую компанию International Airlines Group в размере 204,6 миллионов евро из-за утечки данных. Инцидент произошел в июле 2018-го, но был обнаружен только в сентябре 2018 года. За эти несколько месяцев веб-сайт British Airways перенаправил трафик пользователей на веб-сайт хакеров, в результате чего хакеры украли личные данные более 400 тыс. клиентов. В ходе расследования ICO обнаружило, что различная информация была подвергнута риску из-за ненадлежащих мер безопасности, включая информацию об имени и адресе, платежных картах, данные для входа в систему, о бронировании путешествия и другую.
Размер штрафа, который был объявлен самым большим штрафом GDPR в Великобритании, в конечном итоге был уменьшен до 22 миллионов евро в свете пандемии COVID-19 и ее влияния на авиационную отрасль.
Marriott: 20,4 млн евро
В июле 2019 года ICO выразило намерение оштрафовать Marriott International на сумму 110 миллионов евро за нарушение GDPR. Штраф был связан с кибератакой, в результате которой были раскрыты личные данные более 339 миллионов гостевых записей. Из этих 339 миллионов человек 31 миллион были резидентами ЕЭЗ.
Marriott International атаковали после покупки группы отелей Starwood. ICO пришло к выводу, что Marriott не провела достаточную комплексную проверку после сделки и должна была принять соответствующие меры безопасности.
Через год, 30 октября 2020 года, ICO опубликовало заключение по расследованию, размер штрафа был уменьшен до 20,4 миллиона евро вместо 110 миллионов. В своем уведомлении о штрафных санкциях ICO объясняет, что при принятии этого решения учли ряд смягчающих факторов и воздействие пандемии COVID-19.
В 2020 году в Marriott произошла еще одна утечка данных, на этот раз затронувшая 5,2 миллиона человек.
Вместо заключения
Компании, получающие прибыль от сбора личных данных, несут дополнительную ответственность за защиту и безопасность этих данных. Хотя безопасность персональных данных пользователей и клиентов может не быть основным видом деятельности компании, они по-прежнему должны быть приоритетом номер один и частью культуры каждой компании.
Наложенные штрафы за несоблюдение GDPR должны служить уведомлением для других компаний, что возможность взысканий в соответствии с GDPR более чем реальна. Помимо сбоев в работе и финансовых последствий штраф GDPR может повлиять на имидж бренда организации, а восстанавливать доверие клиентов – дорого и долго. Поэтому подумайте, соответствует ли ваша организация юридическим требованиям GDPR и может ли она выдержать пристальный контроль регулирующего органа?
Этот материал – не редакционный
Это – личное мнение его автора. Редакция может не разделять это мнение.
Сообщить об опечатке
Текст, который будет отправлен нашим редакторам: