Подкаст "Про Приватность"
Открытая площадка, где прайваси-эксперты обсуждают актуальные вопросы из сферы приватности.
Яндекс.Музыка | Spotify | Google Podcasts | Castbox | Mave
12 cамых известных штрафов за нарушение GDPR
Большинство санкций по GDPR возникают из-за того, что о приватности задумываются только как о формальной галочке, как о наличии ссылки на Privacy Notice внизу сайта, а не как о практических мерах, поэтому зачастую до сотрудников компании просто не доходит информация о том, как работать с персональными данными.
Предоставлять ли человеку доступ к его данным, если он к нам обратился с такой просьбой? Удалять данные или оставить, чтобы потом пустить маркетинговую рассылку? Тратиться ли на шифрование? Вовлекать ли в работу над приватностью разработчиков или не тратить их время?
Ниже представлены примеры штрафов, вынесенных надзорными органами в разных странах ЕС, которые однозначно дают ответы на эти вопросы.
Содержание
Право на доступ — Iberia Lae SA Operadora Unipersonal — 40 000 евро.
12 августа 2017 г. заявитель воспользовался правом на доступ к своим персональным данным в компании Iberia (испанский авиаперевозчик). В частности, он запросил доступ к четырем записям телефонных разговоров 8, 9 и 11 августа 2017 года, на что компания ответила, что «не может удовлетворить его просьбу, кроме как по представлению судебного решения». Субъект подал жалобу в испанский надзорный орган, который установил, что было нарушено право субъекта и порядок взаимодействия с надзорным органом по ст. 58 GDPR. В итоге авиаперевозчик был оштрафован на 40000 евро и согласился с санкцией.
Период хранения и меры безопасности — Digi Távközlési Szolgáltató Kft. — 288 000 евро.
Венгерский поставщик услуг электронной связи стал объектом внимания надзорного органа сразу по ряду статей GDPR. Компания создала базу данных для устранения инцидента в области информационной безопасности, однако после его устранения база не была удалена. Персональные данные пользователей были сохранены в используемых системах без цели и правового основания обработки. Кроме того, компания не применила надлежащие технические и организационные меры в области безопасности данных, а именно отсутствовало шифрование персональных данных и была возможность с использованием уязвимости, через общедоступный веб-сайт digi.hu получить доступ к базам данных. Надзорный орган наложил штраф в 100 000 000 форинтов, что на момент обнаружения нарушения было эквивалентно 288 000 евро.
Период хранения и проектируемая приватность — Deutsche Wohnen SE — 14 500 000 евро
Во время инспекций в июне 2017 года и марте 2019 года берлинский надзорный орган установил, что компания использовала систему архивирования для хранения персональных данных арендаторов, в которой не было возможности удалять данные, которые больше не требовались. Персональные данные арендаторов были сохранены без их согласия на хранение и в отдельных случаях хранились по несколько лет и, следовательно, могли просматриваться без первоначальной цели. Это были данные о личном и финансовом положении арендаторов, такие как справки о заработной плате, выписки из трудовых и учебных договоров, данные о налогах, социальном и медицинском страховании и выписки из банковского счета. После того, как комиссар по защите данных в Берлине вынес срочную рекомендацию изменить систему архивирования, компания также не смогла очистить свою базу данных.
Информационная безопасность — Telenor Norge AS — 134 000 евро.
Норвежский надзорный орган возбудил дело на основании информации о том, что телекоммуникационная компания Telenor обнаружила брешь в защите в функции голосовой почты. В течение нескольких лет существовала возможность взламывать мобильные ответы с помощью «спуфинговых сервисов» и подслушивать сообщения примерно 1,3 миллиона мобильных абонентов в Норвегии. Ранее за нарушение закона об электронных коммуникациях по тем же обстоятельствам Национальное управление связи приняло решение о пошлине в размере 1,5 млн норвежских крон, что эквивалентно 134 000 евро. Чтобы предотвратить наказание компании дважды за одно и то же нарушение, надзорный орган объявил выговор.
Биометрия — Неизвестная организация — 725 000 евро.
Организация требовала, чтобы ее сотрудники сканировали свои отпечатки пальцев для регистрации посещаемости. Однако, как указано в решении нидерландского надзорного органа по защите данных, организация не может полагаться на исключения из обработки этой особой категории персональных данных, а компания не могла предоставить никаких доказательств того, что сотрудники дали свое согласие на эту обработку данных.
Ограничение доступа — Sapienza Università di Roma — 30 000 евро.
Норвежский надзорный орган возбудил дело на основании информации о том, что телекоммуникационная компания Telenor обнаружила брешь в защите в функции голосовой почты. В течение нескольких лет существовала возможность взламывать мобильные ответы с помощью «спуфинговых сервисов» и подслушивать сообщения примерно 1,3 миллиона мобильных абонентов в Норвегии. Ранее за нарушение закона об электронных коммуникациях по тем же обстоятельствам Национальное управление связи приняло решение о пошлине в размере 1,5 млн норвежских крон, что эквивалентно 134 000 евро. Чтобы предотвратить наказание компании дважды за одно и то же нарушение, надзорный орган объявил выговор.
Проектируемая приватность — unicredit BANK SA — 130 000 евро.
Штраф в 130 000 евро был вынесен за нарушение при проектировании приватности (Privacy by Design), что привело к раскрытию идентификаторов в режиме онлайн и транзакций 337 042 субъектов данных. Систему онлайн-банкинга спроектировали так, что получателю платежа без нужды показывались адрес и паспортные данные плательщика. Румынский надзорный орган подчеркивает, что при разработке и проектировании приложений, услуг и продуктов, которые основаны на обработке персональных данных, производители должны быть поощрять право на защиту персональных данных. Видеопояснение: https://www.youtube.com/watc? v=RDTd2rW-dEg.
Информационная безопасность — 1&1 Telecom GmbH — 9 550 000 евро.
В случае 1 & 1 Telecom GmbH немецкому надзорному органу стало известно, что звонившие в службу поддержки клиентов компании могут получить обширную информацию о других личных данных клиента, просто указав имя и дату рождения клиента. Надзорный орган расценил это как нарушение статьи 32 GDPR, согласно которой компания обязана принимать соответствующие технические и организационные меры для систематической защиты обработки персональных данных. Компания пошла на сотрудничество с органом и пересмотрела процедуру аутентификации, которая была значительно улучшена с точки зрения технологий и защиты данных, однако несмотря на эти меры, было решено наложить штраф.
Обязательства по прозрачности и отсутствие прав обработки данных — Google Inc — 50,000,000.
Французский надзорный орган обнаружил два типа нарушений GDPR: нарушение обязательств по прозрачности (информация, предоставленная Google, не является легкодоступной для пользователей, некоторая информация не всегда ясна и полна) и неверное правовое основание для обработки персонализации рекламы. Компания Google заявляет, что она получает согласие пользователя на обработку данных в целях персонализации рекламы. Однако, согласие пользователей недостаточно информировано и не является ни «конкретным», ни «однозначным».
