DPO
Постановка системы защиты персональных данных согласно европейским регламентам и национальным законам

Откуда, кому и за что может «прилететь» за нарушение приватности?

 

Когда мы слышим о «наказаниях» за нарушение приватности, то первое, что приходит на ум – это большие штрафы от надзорных органов.

Следующий блок – это иски от субъектов данных. И если оценивать их размеры, для компаний это настоящий кошмар.

И наконец – это дополнительная ответственность должностных лиц. О ней часто забывают, потому что применяют это наказание по не совсем непонятным критериям.

Мы проверили актуальную статистику: общая сумма штрафа за время действия GDPR составляет почти 300 миллионов евро.

Сейчас проиллюстрируем вам все эти виды наказаний актуальными кейсами из мировой практики.

Одновременно в Нидерландах и Великобритании случились первые групповые иски по GDPR. Происходит это так: сначала DPA (надзорный орган) накладывает на компанию штраф, а потом истцы, пострадавшие субъекты, подают иск. Получается, что за одно и тоже нарушение можно пострадать не только от штрафа, но и от иска. И иски к тому же могут быть предъявлены в разных странах, потому что там разные субъекты и разные законодательства. С компанией «Oracle and Salesforce» случилось именно так. А если бы и в других странах были прайваси-активисты, способные организовать групповой иск потерпевших, то таких исков было бы гораздо больше.

В Великобритании иск организовала Ребекка Румбул, прайвасистка и специалистка по защите данных, а в Нидерландах это было объединение прайваси-активистов Privacy collective foundation. То есть это были прайваси-активисты, которые зарабатывают деньги на том, чтобы доводить такие дела до суда. Что «Oracle and Salesforce» сделали? Неправильное использовали миллионы пользовательских данных через кукис – прямое нарушение GDPR. Их компании Bluekai и Krux следили за пользователями в реальном времени. Благодаря этой технологии фирмы улучшили свои продажи, делали навязчивые рекламные кампании. Согласие не собиралось, а достаточная безопасность персональных данных не обеспечивалась.

Стоит уточнить, что подобные иски в Великобритании – это большая редкость. Теперь там не будет напрямую применяться GDPR. Британцы будут принимать своё национальное законодательство.

В ноябре 2020 года Facebook выплатил 4 млн рублей в российскую казну за то, что вовремя не предоставил информацию о локализации баз данных российских пользователей. В тот же день Facebook был оштрафован ещё и в Южной Корее за то, что они разглашали данные  третьих лиц без их согласия, хранили пароли без шифрования. Штраф за это составил 6 миллионов долларов. А за то, что во время расследования фальсифицировались документы, начато уголовное расследование и ещё 57 тысяч долларов штрафа. Но одним штрафом дело не закончилось. Директору по приватности (он о нарушениях знал, но ничего не предпринял) грозит до 5 лет тюрьмы или 43 тысячи долларов штрафа.

 

facebook

 

Ещё один случай. В начале 2020 года инспектор по защите персональных данных (DPO) туристической компании из-за несоблюдения её обязанностей получила персональный штраф в 10 миллионов вон (8.500 тысяч долларов) и был отдельный штраф компании по этому поводу. То есть речь про ответственность инспектора. По GDPR есть принцип защиты инспекторов, есть руководство, и мы видим, что «DPOs are not personally liable in case of non-compliance with the GDPR». А реальность другая. Несмотря на то, что надзорный орган не может оштрафовать инспектора персонально, но это не защищает его от ответственности перед компанией, которая скорей всего захочет возместить ущерб, если она считает, что тот проявил халатность или ничего не внедрил, и вообще во всём виноват. При этом некоторые национальные законодательства вносят личную гражданско-правовую, административную и даже уголовную ответственность за нарушение защиты персональных данных. В восточных странах эта ответственность серьёзней, чем у нас. В Малайзии до 2-х лет заключения, в Гонконге до 5, а на Филиппинах до 7! Так сложилось, потому что на западе есть традиция коллективных исков, а в восточных странах такое не принято, поэтому они вводят максимально строгую ответственность, чтобы хоть как-то привлечь внимание к проблеме.

Опять про Facebook. По законодательству о биометрических данных штата Иллинойс Facebook был наказан и заплатил 650 миллионов долларов, каждый пользователь получил 345 долларов. Всего было миллион шестьсот пользователей коллективного иска. Получила компания этот иск за то, что использовала face-tagging — идентификацию человека по фотографии без разрешения. Только после этого была введена практика предварительного согласия на то, чтобы ваши друзья отметили вас на фотографии. 

Ещё один кейс Facebook анонсирован в апреле 2021 года. Ещё неизвестна сумма, но известно, что Digital Rights Ireland (активисты прайваси) представляют пользователей соцсети, которые живут в Европе или Европейской экономической зоне. Они сделали страницу в Интернете, куда каждый пользователь из этой зоны может прийти и стать стороной иска. Сейчас идет поиск истцов.

Совсем недавно состоялись три громкие утечки данных: ClubHouse, LinkedIN, Facebook. Все три социальные сети отреагировали одинаково: сказали: «Это веб-скрейпинг». Многие блогеры высказались на тему того, что это не была утечка, так как данные получены легальным путём.

А вот Digital Rights Ireland посчитал, что это утечка персональных данных, которая случилась ещё в 2019 году. При этом есть сомнения, что это старые данные, либо что он ещё был дополнен с того времени более свежими. Там около 533 миллиона аккаунтов пользователей из разных стран. По Регламенту истцы не должны доказывать свой ущерб и убытки. Онипредъявляют какую-то сумму компенсации, и судья даже не должен взвешивать её разумность и справедливость: он может просто признать иск или отказать в нем. 

Месяц назад Корейский надзорный орган наложил штраф почти 100 тысяч долларов на стартап в сфере искусственного интеллекта, который разработал чат-бот по имени Iruda. Он симулирует корейскую студентку 20 лет и  встраивает в Facebook-мессенджер. Разработчики, когда тестировали алгоритм, использовали около 10 миллиардов сообщений корейцев из KakaoTalk (самый популярный мессенджер в стране). Доступна вся информация о пользователях: имя, номер телефона, адрес, электронная почта. Сделали они это без согласия. При установке других своих приложений оповещали, что будут использовать данные для разработки нового продукта, но ничего о нём не рассказывали и согласия не брали. Это просто было прописано как обязательное в Условиях использования. К тому же они ещё не брали согласие с детей до 14 лет или их родителей. Это первый кейс в Корее по применению закона о защите персональных данных к искусственному интеллекту.

Теперь переходим к CCPA (Закону о персональных данных Калифорнии) — история с Google. На кону довольно крупная сумма в 5 миллиардов долларов. Дело ещё продолжается. Подали иск всего 3 пользователя. Они апеллируют к тому, что в Chrome даже в режиме инкогнито, продолжалось отслеживание активности пользователей. На что Google отвечает «это указано в их политике». Режим инкогнито не предполагает отключение всех трекеров — вы всё равно видны Интернету. Они уже пытались оспорить этот коллективный иск, на что судья сказал, что их доводы звучат неубедительно, а режим инкогнито должен соответствовать названию: никто не должен знать о том, что я делаю в интернете.

 

google

 

Следующий иск тоже Google, тоже CCPA. Он случился в апреле 2021 года. Касается платформы GAEN от Google и Apple, которая отслеживала по Bluetooth близость к заражённым COVID-19. Приложения, разработанные на этой базе, могли получать чувствительные данные, в том числе о диагнозах конкретных пользователей. Это крупная сумма и серьёзная гражданско-правовая ответственность для компании. 

Кейс H&M произошёл в октябре 2020 года. В компании с 2014 года была практика, что сотрудники после больничного проходили welcome back talk, который записывался и хранился на облаке компании так, что к нему имели доступ более 50 менеджеров. Они собирали информацию через сплетни и слухи и хранили там же. Это были данные о болезни, диагнозах, семейных проблемах, вероисповедания. Хранилась и использовалась для принятия решений об увольнении или повышении работников. Компания получила за это штраф 35 миллионов евро.

Другой кейс про одежду в 2020 г. Первый коллективный иск по CCPA случился по отношению к Hanna Andersson и Salesforce. Правда, Salesforce не участвовал в мировом соглашении и не платил деньги (возможно, как-то урегулировали этот спор). Hanna Andersson – производитель и продавец детской одежды, к ним обратились с иском 200 тысяч покупателей. В итоге, по соглашению они получили 400 тысяч долларов. Вознаграждение юристов составило 120 000 долларов. CCPA вступил в силу в январе 2020 года. Юристы заранее подготовили иск до вступления в силу документа.

 

 

Hanna Andersson

 

Есть негативные исходы у групповых исков: формальные отказы.

Ещё одно дело в Калифорнии. Решение принято в сентябре 2020 года. Это гражданский процесс, который проводит прокурор и суммы взысканы в казну Калифорнии. Первая компания Glow Inc. – приложение fertility tracker для женщин. Они собирали очень много данных, а как выяснилось, доступ к этим данным мог быть предоставлен просто по ссылке без согласия пользователя (девушки). Можно было поменять пароль любому человеку и профиль будет тебе доступным. За это они получили 250 тысяч долларов.

Ещё один кейс о компании Anthem Inc., которая является оператором медицинских услуг. Есть утечка данных 78 миллионов клиентов по всей стране, включая 13.5 миллионов калифорнийцев. Мошенники рассылали фишинговые электронные письма, а также смогли попасть во внутреннюю сеть и получить доступ к базе чувствительных данных: имя, адреса, email, номер социального страхования, дату рождения и др. Штраф – 8.69 миллионов долларов.

Кейс LabCorp. Обычно иски идут от пользователей субъектов данных компании. Здесь другая ситуация: компания – лабораторный гигант, её акционер подал иск на главного исполнительного директора управления из-за того, что он сокрыл две утечки данных. По первой утечке были скомпрометированы данные около 7 миллионов пациентов, и они стали публичны через сторонний биллинговый провайдер. После второй утечки стали известны очень много документов. Акционер говорит, что процедуры кибербезопасности были недостаточны. И клиентов, и надзорные органы о нарушениях вообще не информировали. Акционеры, от которых скрыли все это, просят принять жесткие меры по реформе корпоративного управления и их внутренних процессов.

 

LabCorp

 

В следующем групповом иске уже достигнуто предварительное мировое соглашение. Иск подали в 2021 году в отношении TikTok на основании CCPA и COPA по поводу защиты данных детей. Его продлевали, чтобы как можно больше пользователей могли подключиться. TikTok уже заранее согласился оплатить 92 миллиона долларов. Приглашаются к участию в иске все пользователи младше 13 лет, а также их родители. Компанию судят за то, что они собирали и зранили данные детей до 13 лет – нарушение CCPA и COPA.

Кейс GDPR Class action British Airways. В прошлом году компания получила штраф 22 миллиона евро за утечку данных 500 тысяч клиентов. Сайт компании подвергся кибер-атаке и данные клиентов, которые вводили их в этот момент, перенаправлялись мошенникам: логин, карта, имена, адреса и информация из путешествий.

Этот штраф лёг в основу коллективного иска к British Airways от 16 тысяч субъектов. Они получат от 2000 до 10 000 фунтов. Пострадавшим пришлось менять банковские карточки, так как неизвестные получили доступ к их финансовой информации. Это довольно большой моральный ущерб.

 

British Airways повторно отправила сотрудников в вынужденные отпуска

 

Коллективный иск против британских супермаркетов Morrisons. Многие называют его первым коллективным иском в Великобритании не по GDPR. Иск изначально был не к компании, а к его сотруднику, который незаконно раскрыл персональные данные почти 100 000 человек. И компанию привлекли по субсидиарной ответственности за проступки сотрудника. Morrisons пыталась доказать отсутствие субсидиарной ответственности. Они полностью перекладывали роль контролёра на этого работника. Но в судах низшей инстанции с ними были не согласны. Изначально от них требовали возмещение ущерба, но верховный суд пересмотрел этот вопрос и решил не привлекать компанию к субответственности, так как работник действовал за рамками своих должностных обязанностей. Здесь определяющим будет вина нанимателя: дал ли он какую-то задачу работнику, связанную с утечкой данных.

Здесь компания должна доказать, что её процесс не содержит дыр, которые могут привести к штрафам, искам и прочим санкциям. Мы должны максимально предугадать все такие ситуации и быть Нострадамусами.

 

Business_team

 

А подробнее о штрафах и нарушении приватности мы писали в нашем лонгриде о GDPR.

Расписание курсов загружается, подожди несколько секунд