Штрафи за недотримання вимог GDPR в січні 2020 року: за що штрафують компанії?

11 Лютого 2020

Поки більшість компаній почувалися доволі розслаблено у зв’язку з новорічними та різдвяними святами, контролюючі органи Європейського Союзу продовжували свою роботу, зокрема щодо притягнення до відповідальності компаній, які здійснюють свою діяльність не у відповідності до GDPR та внутрішнього законодавства країн-членів ЄС в контексті захисту персональних даних.

ІСПАНІЯ

Vodafone Espana. Естафету з притягнення до відповідальності за недотримання вимог у сфері захисту персональних даних в 2020 році розпочав іспанський контролюючий орган, який має назву Іспанське агентство з захисту даних (AEPD). Агентство наклало штраф у розмірі 44 000 євро на компанію Vodafone Espana S.A.U. за помилкове відправлення договору на послуги неавторизованій особі. Договір містив значний об’єм інформації, в тому числі персональні дані клієнта Vodafone Espana S.A.U. Як повідомляється у звіті AEPD, конверт із контрактом був помилко адресований особі, яка не мала жодного відношення до контракту. Ця обставина стала причиною притягнення компанії Vodafone Espana S.A.U. до відповідальності у зв’язку з порушенням статті 5 (1) (f) GDPR.

Vodafone визнає свою відповідальність за обставини порушення, які виникли у зв’язку з людською помилкою при надсиланні договору іншій людині. З відповіді компанії Vodafone Espana S.A.U  можемо зрозуміти, що в жодному разі не мав місце свідомий намір порушувати вимоги законодавства, а була виключно ситуація, яка виникла через помилку людини.

Факт того, що порушення сталося через людську помилку,  а також те, що порушення не мало впливу на значну кількість суб’єктів даних, AEPD застосував штраф лише у розмірі 44 000 Євро.

EDP ENERGIA. Іспанське агентство захисту даних оштрафувало компанію EDP ENERGIA, S.A.U. на суму        75 000 євро за обробку персональних даних суб’єкта даних, начебто клієнта, без законних підстав. Штраф був накладений через те, що компанія не перевіряла, чи має третя сторона, яка надала персональні дані EDP ENERGIA,  належні повноваження представляти суб’єкта даних.

Коли компанія EDP ENERGIA, S.A.U отримувала інформацію від іншої компанії щодо нарахування сум за спожиту електроенергію фізичною особою, компанія EDP ENERGIA, S.A.U не розробила та не імплементувала відповідних процедур для можливості підтвердити, що стороння компанія має всі підстави для передачі цих даних, а також що стороння компанія має договір з фізичною особою про надання послуг. В результаті цього, компанія EDP ENERGIA, S.A.U приступила до обробки персональних даних суб’єкта даних на підставі інструкцій третьої сторони.

Недбальство компанії EDP ENERGIA, S.A.U коштувало їй 75 000 євро, а також подальшої прискіпливої уваги з боку AEPD.

ВЕЛИКА БРИТАНІЯ

DSG Retail Limited. Контролюючий орган Великої Британії Information Commissioner’s Office (ICO), в результаті проведеного розслідування виявив системні збої в роботі апаратних систем компанії DSG Retail Limited, зокрема в частині захисту персональних даних.  ICO  встановив, що часті збої в роботі систем компанії стосувалися основних, звичайних заходів безпеки, показуючи повне ігнорування безпеки своїх клієнтів, що призвело до проникнення в систему сторонніх осіб та викрадення великої кількості особистих даних суб’єктів даних. Було визначено, що постраждало близько 14 мільйонів суб’єктів даних.

Представники Information Commissioner’s Office заявили, що порушення в цьому випадку були настільки серйозними, що було прийнято рішення про встановлення максимального покарання, однак, у зв’язку з тим, що порушення було зафіксовано досить давно, був накладений максимальний штраф у розмірі, згідно з попереднім законодавством Великої Британії, яке діяло до набрання чинності GDPR. У зв’язку з таким порушенням, компанія DSG Retail Limited була оштрафована на суму всього лиш в 500 000 фунтів стерлінгів, хоча могла і позбутися не одного десятка мільйонів.

Варто зауважити, що застосування значних штрафів практикується саме за порушення вимог, які стосуються організації безпеки обробки, зберігання або будь-якого іншого використання персональних даних. В 2019 році ми вже мали подібну ситуацію з компанією British Airways.

ШВЕЦІЯ

Mrkoll.se. Шведський контролюючий орган Datainspektionen наклав штраф у розмірі 35 000 євро на Mrkoll.se – веб-сайт, який публікує персональні дані всіх шведів віком старше 16 років – за порушення закону про кредитну інформацію та GDPR. Сайт Mrkoll.se здійснює діяльність з надання кредитної інформації про фізичних осіб таким чином, що порушує вимоги GDPR. Загалом база даних, яку у розпорядженні мав веб-сайт, містить  персональні дані понад 8 мільйонів людей.

Представники Веб-сайту заявили, що у відповідності до шведського законодавства, вони мають право публікувати інформацію про осіб, які не мають кредитних заборгованостей, однак Datainspektionen заперечив та послався на те, що інформація про статус фізичної особи, в контексті того чи має вона фінансовий борг чин ні, по своїй суті вже є персональними даними у відповідності закону Швеції про кредитну інформацію, в якому є посилання на GDPR. Тим більше, в публічних профілях суб’єктів даних містилася інформація про наявність судимостей в тієї чи іншої особи, а розміщення такої інформаціі повинне обов’язково узгоджуватися з контролюючим органом.

РЕСПУБЛІКА КІПР

Louis Group of Companies. Контролюючий орган Кіпру наклав штраф на компанії із групи компаній Louis Group of Companies за те, що вони здійснювали обробку персональних даних своїх працівників, в тому числі чутливих персональних даних, не у відповідності з вимогами GDPR. Так материнською  компанією групи було встановлено, що часті короткі лікарняні працівників приносять більше шкоди групі компаній, а ніж довготривалі лікарняні. Такі дослідження стали результатом моніторингу даних  майже тисячі працівників, які працевлаштовані в групі компаній.

Як наслідок, профспілка працівників, отримавши таку інформацію, звернулася до контролюючого органу, із заявою про неправомірну обробку чутливих персональних даних працівників, а саме про їхнє здоров’я, без належної законної підстави.

Так як група компаній не змогла довести, що обробка чутливих персональних даних працівників, для цілей моніторингу ефективності роботи компанії, ґрунтується на законних інтересах компанії, три компанії із числа Louis Group of Companies були оштрафовані на суму, яка в сукупності склала 82 000 євро.

ІТАЛІЯ

Eni Gas and Luce (Egl). Італійський наглядовий орган наклав два штрафи на Eni Gas and Luce (Egl) на загальну суму 11,5 млн євро за незаконну обробку персональних даних в контексті рекламної діяльності та активізації небажаних контрактів. Штрафи, які накладалися контролюючим органом, визначалися з урахуванням факторів, що визначаються у Регламенті ЄС, включаючи широке коло зацікавлених сторін, значну географію діяльності компанії, тривалість порушення та економічні умови Eni Gas and Luce (Egl).

Загалом, компанія була притягнена до відповідальності за низку порушень у сфері захисту персональних даних, однак основні два фактори, які зіграли ключову роль, це:

  • Здійснення неавторизованої маркетингової активності по відношенню до суб’єктів даних; та
  • Укладання контрактів на постачання природних ресурсів без згоди суб’єктів даних на використання їхніх даних з метою укладення таких контрактів.

Узагальнюючи всі порушення компанії, варто зазначити, що до виявлених порушень належать: (і) рекламні дзвінки, здійснені без згоди суб’єкта даних або незважаючи на відмову суб’єкта даних від прийому рекламних дзвінків або без ініціювання конкретних процедур перевірки загальнодоступного реєстру відмови; (іі) зберігання даних більше ніж це дозволено; (ііі) отримання даних про потенційних клієнтів від постачальників списків суб’єктів даних, які не отримали жодної згоди на розголошення таких даних.

ВИСНОВОК

Тенденція щодо збільшення розмірів  та частоти накладуваних штрафів все посилюється і 2020 рік пророкує бути дуже цікавим, адже «апетити» контролюючих органів тільки зростають. Спробуємо тримати вас в курсі останніх новин щодо штрафних санкцій, які застосовуються до компаній на території всього світу в контексті застосування GDPR. Вже в наступній статті в розділі сайту «GDPR штрафи та відповідальність» читайте звіт по штрафам за лютий місяць 2020 року.