12 cамых известных штрафов за нарушение GDPR

Большинство санкций по GDPR возникают из-за того, что о приватности задумываются только как о формальной галочке, как о наличии ссылки на Privacy Notice внизу сайта, а не как о практических мерах, поэтому зачастую до сотрудников компании просто не доходит информация о том, как работать с персональными данными.

Предоставлять ли человеку доступ к его данным, если он к нам обратился с такой просьбой? Удалять данные или оставить, чтобы потом пустить маркетинговую рассылку? Тратиться ли на шифрование? Вовлекать ли в работу над приватностью разработчиков или не тратить их время?

Ниже представлены примеры штрафов, вынесенных надзорными органами в разных странах ЕС, которые однозначно дают ответы на эти вопросы.

Содержание

Право на доступ — Iberia Lae SA Operadora Unipersonal — 40 000 евро.

12 августа 2017 г. заявитель воспользовался правом на доступ к своим персональным данным в компании Iberia (испанский авиаперевозчик). В частности, он запросил доступ к четырем записям телефонных разговоров 8, 9 и 11 августа 2017 года, на что компания ответила, что «не может удовлетворить его просьбу, кроме как по представлению судебного решения». Субъект подал жалобу в испанский надзорный орган, который установил, что было нарушено право субъекта и порядок взаимодействия с надзорным органом по ст. 58 GDPR. В итоге авиаперевозчик был оштрафован на 40000 евро и согласился с санкцией.

Период хранения и меры безопасности — Digi Távközlési Szolgáltató Kft. — 288 000 евро.

Венгерский поставщик услуг электронной связи стал объектом внимания надзорного органа сразу по ряду статей GDPR. Компания создала базу данных для устранения инцидента в области информационной безопасности, однако после его устранения база не была удалена. Персональные данные пользователей были сохранены в используемых системах без цели и правового основания обработки. Кроме того, компания не применила надлежащие технические и организационные меры в области безопасности данных, а именно отсутствовало шифрование персональных данных и была возможность с использованием уязвимости, через общедоступный веб-сайт digi.hu получить доступ к базам данных. Надзорный орган наложил штраф в 100 000 000 форинтов, что на момент обнаружения нарушения было эквивалентно 288 000 евро.

Период хранения и проектируемая приватность — Deutsche Wohnen SE — 14 500 000 евро

Во время инспекций в июне 2017 года и марте 2019 года берлинский надзорный орган установил, что компания использовала систему архивирования для хранения персональных данных арендаторов, в которой не было возможности удалять данные, которые больше не требовались. Персональные данные арендаторов были сохранены без их согласия на хранение и в отдельных случаях хранились по несколько лет и, следовательно, могли просматриваться без первоначальной цели. Это были данные о личном и финансовом положении арендаторов, такие как справки о заработной плате, выписки из трудовых и учебных договоров, данные о налогах, социальном и медицинском страховании и выписки из банковского счета. После того, как комиссар по защите данных в Берлине вынес срочную рекомендацию изменить систему архивирования, компания также не смогла очистить свою базу данных.

Информационная безопасность — Telenor Norge AS — 134 000 евро.

Норвежский надзорный орган возбудил дело на основании информации о том, что телекоммуникационная компания Telenor обнаружила брешь в защите в функции голосовой почты. В течение нескольких лет существовала возможность взламывать мобильные ответы с помощью «спуфинговых сервисов» и подслушивать сообщения примерно 1,3 миллиона мобильных абонентов в Норвегии. Ранее за нарушение закона об электронных коммуникациях по тем же обстоятельствам Национальное управление связи приняло решение о пошлине в размере 1,5 млн норвежских крон, что эквивалентно 134 000 евро. Чтобы предотвратить наказание компании дважды за одно и то же нарушение, надзорный орган объявил выговор.

Биометрия — Неизвестная организация — 725 000 евро.

Организация требовала, чтобы ее сотрудники сканировали свои отпечатки пальцев для регистрации посещаемости. Однако, как указано в решении нидерландского надзорного органа по защите данных, организация не может полагаться на исключения из обработки этой особой категории персональных данных, а компания не могла предоставить никаких доказательств того, что сотрудники дали свое согласие на эту обработку данных.

face recognition gdpr data protection

Ограничение доступа — Sapienza Università di Roma — 30 000 евро.

Норвежский надзорный орган возбудил дело на основании информации о том, что телекоммуникационная компания Telenor обнаружила брешь в защите в функции голосовой почты. В течение нескольких лет существовала возможность взламывать мобильные ответы с помощью «спуфинговых сервисов» и подслушивать сообщения примерно 1,3 миллиона мобильных абонентов в Норвегии. Ранее за нарушение закона об электронных коммуникациях по тем же обстоятельствам Национальное управление связи приняло решение о пошлине в размере 1,5 млн норвежских крон, что эквивалентно 134 000 евро. Чтобы предотвратить наказание компании дважды за одно и то же нарушение, надзорный орган объявил выговор.

Проектируемая приватность — unicredit BANK SA — 130 000 евро.

Штраф в 130 000 евро был вынесен за нарушение при проектировании приватности (Privacy by Design), что привело к раскрытию идентификаторов в режиме онлайн и транзакций 337 042 субъектов данных. Систему онлайн-банкинга спроектировали так, что получателю платежа без нужды показывались адрес и паспортные данные плательщика. Румынский надзорный орган подчеркивает, что при разработке и проектировании приложений, услуг и продуктов, которые основаны на обработке персональных данных, производители должны быть поощрять право на защиту персональных данных. Видеопояснение: https://www.youtube.com/watc? v=RDTd2rW-dEg.

Информационная безопасность — 1&1 Telecom GmbH — 9 550 000 евро.

В случае 1 & 1 Telecom GmbH немецкому надзорному органу стало известно, что звонившие в службу поддержки клиентов компании могут получить обширную информацию о других личных данных клиента, просто указав имя и дату рождения клиента. Надзорный орган расценил это как нарушение статьи 32 GDPR, согласно которой компания обязана принимать соответствующие технические и организационные меры для систематической защиты обработки персональных данных. Компания пошла на сотрудничество с органом и пересмотрела процедуру аутентификации, которая была значительно улучшена с точки зрения технологий и защиты данных, однако несмотря на эти меры, было решено наложить штраф.

Обязательства по прозрачности и отсутствие прав обработки данных — Google Inc — 50,000,000.

Французский надзорный орган обнаружил два типа нарушений GDPR: нарушение обязательств по прозрачности (информация, предоставленная Google, не является легкодоступной для пользователей, некоторая информация не всегда ясна и полна) и неверное правовое основание для обработки персонализации рекламы. Компания Google заявляет, что она получает согласие пользователя на обработку данных в целях персонализации рекламы. Однако, согласие пользователей недостаточно информировано и не является ни «конкретным», ни «однозначным».

Что такое GDPR?

Amazon
€746,000,000
Управление по защите данных Люксембурга (CNPD) оштрафовало Amazon на рекордные 746 миллионов евро в результате 19 страничной жалобы от французской группы по защите приватности «La Quadrature du Net» в 2018 году. В жалобе от имени более чем 10 000 потребителей указано, что Amazon манипулирует клиентами в коммерческих целях, выбирая, какую рекламу и информацию они получают.
British Airways
204,600,000 euros
Штраф относится к инциденту, о котором British Airways уведомил надзорный орган в сентябре 2018 года. Этот инцидент частично связан с перенаправлением трафика пользователей с сайта British Airways на мошеннический сайт, через который злоумышленники собирали данные о клиентах. Персональные данные приблизительно 500 000 клиентов были скомпрометированы в этом инциденте. Расследование надзорного органа показало, что плохая система безопасности в компании скомпрометировала различную информацию, включая данные для входа в систему, платежную карту и данные о бронировании поездки, а также информацию об имени и адресе. British Airways сотрудничала с расследованием и усовершенствовала свои меры безопасности.
Marriott International, Inc
110,390,200
Штраф относится к инциденту, о котором Marriott уведомил надзорный орган в ноябре 2018 года. В результате этого инцидента были раскрыты различные персональные данные, содержащиеся примерно в 339 миллионах гостевых записей во всем мире, из которых около 30 миллионов относятся к жителям 31 страны в Европейской экономической зоне (ЕЭЗ), из которых семь миллионов связаны с жителями Великобритании.
Previous slide
Next slide

Забронируйте бесплатную консультацию прямо сейчас!

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.

Заполните форму, и наши менеджеры свяжутся с вами в ближайшее время.