12 cамых известных штрафов за нарушение GDPR

Большинство санкций по GDPR возникают из-за того, что о приватности задумываются только как о формальной галочке, как о наличии ссылки на Privacy Notice внизу сайта, а не как о практических мерах. Поэтому зачастую до сотрудников компании просто не доходит информация о том, как работать с персональными данными.

Предоставлять ли человеку доступ к его данным, если он к нам обратился с такой просьбой? Удалять данные или оставить, чтобы потом пустить маркетинговую рассылку? Тратиться ли на шифрование? Вовлекать ли в работу над приватностью разработчиков или не тратить их время?

Ниже представлены примеры штрафов, вынесенных надзорными органами в разных странах ЕС, которые однозначно дают ответы на эти вопросы.

Содержание

Право на доступ — Iberia Lae SA Operadora Unipersonal — 40 000 евро.

12 августа 2017 г. заявитель воспользовался правом на доступ к своим персональным данным в компании Iberia (испанский авиаперевозчик). В частности, он запросил доступ к четырем записям телефонных разговоров 8, 9 и 11 августа 2017 года, на что компания ответила, что «не может удовлетворить его просьбу, кроме как по представлению судебного решения». Субъект подал жалобу в испанский надзорный орган, который установил, что было нарушено право субъекта и порядок взаимодействия с надзорным органом по ст. 58 GDPR. В итоге авиаперевозчик был оштрафован на 40000 евро и согласился с санкцией.

Период хранения и меры безопасности — Digi Távközlési Szolgáltató Kft. — 288 000 евро.

Венгерский поставщик услуг электронной связи стал объектом внимания надзорного органа сразу по ряду статей GDPR. Компания создала базу данных для устранения инцидента в области информационной безопасности. Проблему устранили, а базу не удалили. В результате персональные данные пользователей были сохранены в используемых системах без цели и правового основания обработки. Кроме того, компания не применила надлежащие технические и организационные меры в области безопасности данных — отсутствовало шифрование персональных данных и была возможность с использованием уязвимости через общедоступный веб-сайт digi.hu получить доступ к базам данных. Надзорный орган наложил штраф в 100 000 000 форинтов, что на момент обнаружения нарушения было эквивалентно 288 000 евро.

Период хранения и проектируемая приватность — Deutsche Wohnen SE — 14 500 000 евро

В ходе проверок в июне 2017 года и марте 2019 года берлинский надзорный орган выявил, что компания использовала архивную систему, которая не позволяла удалять персональные данные арендаторов, даже когда необходимость в их хранении отпала.

Персональные данные арендаторов хранились без их согласия — некоторые на протяжении нескольких лет — что позволяло использовать информацию в целях, отличных от первоначальных. База содержала конфиденциальную информацию о личной жизни и финансовом положении: справки о заработной плате, выписки из трудовых и учебных договоров, сведения о налогах, социальном и медицинском страховании, а также банковские выписки. Даже после срочной рекомендации комиссара по защите данных в Берлине об изменении системы архивирования компания не смогла провести очистку своей базы данных.

Информационная безопасность — Telenor Norge AS — 134 000 евро.

Норвежский надзорный орган инициировал расследование после того, как телекоммуникационная компания Telenor обнаружила уязвимость в системе голосовой почты. На протяжении нескольких лет существовала возможность взлома голосовых сообщений через «спуфинговые сервисы», что подвергало риску около 1,3 миллиона абонентов в Норвегии. За это нарушение закона об электронных коммуникациях Национальное управление связи уже наложило штраф в размере 1,5 млн норвежских крон (134 000 евро). Во избежание повторного наказания надзорный орган ограничился вынесением выговора компании за то же самое нарушение.

Биометрия — Неизвестная организация — 725 000 евро.

Организация требовала от сотрудников сканировать отпечатки пальцев для учета рабочего времени. Однако, согласно решению нидерландского надзорного органа по защите данных, компания не имела права ссылаться на исключения при обработке этой особой категории персональных данных и не смогла предоставить доказательства получения согласия сотрудников на такую обработку (здесь подробнее рассказали о рисках от слежки за сотрудниками на рабочем месте).

face recognition gdpr data protection

Ограничение доступа — Sapienza Università di Roma — 30 000 евро.

Sapienza Università di Roma получила штраф в размере 30 000 евро за нарушение требований статьи 32 GDPR в части ограничения доступа к персональным данным. Персональные данные сотрудников, которые оставили анонимные жалобы через внутреннюю платформу, оказались в открытом доступе в интернете и были проиндексированы поисковыми системами. Инцидент произошел из-за недостаточной защиты платформы и отсутствия шифрования при передаче данных. Университет не обеспечил необходимые технические и организационные меры безопасности. Итальянский регулятор особо отметил обязательство регулярно тестировать и оценивать эффективность мер защиты данных.

Проектируемая приватность — unicredit BANK SA — 130 000 евро.

Штраф в размере 130 000 евро был наложен за нарушение принципа «Приватность при проектировании» (Privacy by Design), в результате которого произошло раскрытие онлайн-идентификаторов и данных о транзакциях 337 042 субъектов персональных данных.

В системе онлайн-банкинга была допущена ошибка проектирования — получателю платежа без необходимости отображались адрес и паспортные данные отправителя. Румынский надзорный орган подчеркивает, что при разработке приложений, услуг и продуктов, основанных на обработке персональных данных, производители должны обеспечивать соблюдение права на защиту персональных данных.

Информационная безопасность — 1&1 Telecom GmbH — 9 550 000 евро.

В случае 1&1 Telecom GmbH немецкий надзорный орган обнаружил, что при звонке в службу поддержки можно было получить обширную информацию о персональных данных клиента, всего лишь назвав его имя и дату рождения. Надзорный орган классифицировал это как нарушение статьи 32 GDPR, которая обязывает компании внедрять соответствующие технические и организационные меры для системной защиты при обработке персональных данных. Хотя компания сотрудничала с надзорным органом и существенно улучшила процедуру аутентификации с точки зрения технологий и защиты данных, было принято решение о наложении штрафа.

Обязательства по прозрачности и отсутствие прав обработки данных — Google Inc — 50,000,000.

Французский надзорный орган обнаружил два типа нарушений GDPR: нарушение обязательств по прозрачности (информация, предоставленная Google, не является легкодоступной для пользователей, некоторая информация не всегда ясна и полна) и неверное правовое основание для обработки персонализации рекламы. Компания Google заявила, что она получает согласие пользователя на обработку данных в целях персонализации рекламы. Однако, согласие пользователей недостаточно информировано и не является ни «конкретным», ни «однозначным».

3 самых крупных штрафа

Amazon — 746,000,000 евро

Управление по защите данных Люксембурга (CNPD) оштрафовало Amazon на рекордные 746 миллионов евро в результате 19 страничной жалобы от французской группы по защите приватности «La Quadrature du Net» в 2018 году. В жалобе от имени более чем 10 000 потребителей указано, что Amazon манипулирует клиентами в коммерческих целях, выбирая, какую рекламу и информацию они получают.

British Airways — 204,600,000 евро

Штраф связан с инцидентом, о котором British Airways сообщила надзорному органу в сентябре 2018 года. Злоумышленники перенаправляли трафик пользователей с официального сайта British Airways на поддельный, где собирали данные клиентов. В результате были скомпрометированы персональные данные около 500 000 клиентов. Расследование надзорного органа выявило, что из-за слабой системы безопасности произошла утечка различной информации: платежных реквизитов, информации о бронировании, а также имен и адресов клиентов. British Airways оказала содействие в расследовании и улучшила свои меры безопасности.

Marriott International, Inc — 110,390,200 евро

Штраф был наложен после инцидента, о котором Marriott уведомил надзорный орган в ноябре 2018 года. В результате произошла утечка персональных данных примерно 339 миллионов гостевых записей по всему миру. Из этого числа около 30 миллионов записей принадлежали жителям 31 страны Европейской экономической зоны (ЕЭЗ), в том числе семь миллионов — гражданам Великобритании.

Как мы помогаем избежать штрафов за нарушение GDPR

Штрафы за нарушение GDPR — это реальный риск для любого бизнеса, который занимается обработкой персональных данных. Чтобы обеспечить соответствие требованиям и защитить компанию от финансовых потерь, важно системно подходить к вопросам приватности и безопасности данных. Вот как мы можем помочь выстроить эффективную защиту.

Часто нарушения GDPR происходят из-за недостатка знаний у сотрудников. Корпоративное обучение — это не просто лекции, а практические занятия, адаптированные под задачи вашей компании. Мы разбираем реальные кейсы, типичные ошибки при обработке персональных данных и даём чёткие рекомендации, как их избежать. Такой формат помогает сформировать культуру приватности и повысить уровень compliance на всех уровнях компании, что значительно снижает риски случайных нарушений и штрафов.

консалтинг по защите данных

Аудит — это комплексная проверка всех процессов, связанных с обработкой и хранением персональных данных. Эксперты анализируют, насколько ваша компания соответствует требованиям GDPR, выявляют уязвимости и дают рекомендации по их устранению. Такой аудит помогает не только обнаружить скрытые риски, но и повысить уровень защиты данных. Это особенно важно для компаний, которые хотят быть уверены в безопасности своих бизнес-процессов и минимизировать вероятность штрафов.

Для долгосрочного соответствия GDPR и эффективной защиты данных необходима чёткая стратегия приватности. Privacy Roadmap — это поэтапный план внедрения GDPR в ежедневную работу компании. Мы учитываем специфику вашего бизнеса, разрабатываем индивидуальные решения и помогаем интегрировать требования compliance в корпоративную культуру. Такой подход обеспечивает не только текущее соответствие, но и готовность к будущим изменениям законодательства, снижая риски и укрепляя доверие клиентов.

Всё это — про реальную защиту бизнеса, построение культуры приватности и уверенность в завтрашнем дне. Системный подход к обучению, аудиту и стратегии приватности помогает избежать штрафов, повысить уровень безопасности данных и создать конкурентное преимущество на рынке.

Сделайте свой бизнес безопасным с Data Privacy Office

обучение по защите данных

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.