Штрафы за несоблюдение требований GDPR в январе 2020 года: за что штрафуют компании?

11 февраля 2020

Пока большинство компаний чувствовали себя довольно спокойно в связи с новогодними и рождественскими праздниками, контролирующие органы Европейского Союза продолжали свою работу, в частности о привлечении к ответственности компаний, осуществляющих свою деятельность не в соответствии с GDPR и внутреннего законодательства стран-членов ЕС в контексте защиты персональных данных.

ИСПАНИЯ

Vodafone Espana. Эстафету по привлечению к ответственности за несоблюдение требований в сфере защиты персональных данных в 2020 году начал испанский контролирующий орган, который называется Испанское агентство по защите данных (AEPD). Агентство наложило штраф в размере 44 000 евро на компанию Vodafone Espana S.A.U. за ошибочную отправку договора на услуги неавторизованному лицу. Договор содержал значительный объем информации, в том числе персональные данные клиента Vodafone Espana S.A.U. Как сообщается в отчете AEPD, конверт контракту был ошибочно адресован лицу,  которое не имеет никакого отношения к контракту. Это обстоятельство стало причиной привлечения компании Vodafone Espana S.A.U. к ответственности в связи с нарушением статьи 5 (1) (f) GDPR.
Vodafone признает свою ответственность за обстоятельства нарушения, возникшие в связи с человеческой ошибкой при отправке договора другому человеку. Из ответа компании Vodafone Espana S.A.U можем понять, что в любом случае имел место сознательное намерение нарушать требования законодательства, а была исключительно ситуация, возникшая из-за ошибки человека.

Факт того, что нарушение произошло из-за человеческой ошибки, а также то, что нарушение не имело влияния на значительное количество субъектов данных, AEPD применил штраф только в размере 44 000 Евро.

EDP ​​ENERGIA. Испанское агентство защиты данных оштрафовало компанию EDP ENERGIA, S.A.U. на сумму 75 000 евро за обработку персональных данных субъекта данных, вроде клиента, без законных оснований. Штраф был наложен из-за того, что компания не проверяла, имеет ли третья сторона, которая предоставила персональные данные EDP ENERGIA, соответствующие полномочия представлять субъекта данных.

  • Когда компания EDP ENERGIA, S.A.U.  получала информацию от другой компании по начислению сумм за потребленную электроэнергию физическим лицом, компания EDP ENERGIA, S.A.U.  не разработала и не имплементировала соответствующих процедур для возможности подтвердить, что сторонняя компания имеет все основания для передачи этих данных, а также сторонняя компания имеет договор с физическим лицом о предоставлении услуг. В результате этого, компания EDP ENERGIA, S.A.U приступила к обработке персональных данных субъекта данных на основании инструкций третьей стороны.

Халатность компании EDP ENERGIA, S.A.U стоило ей 75 000 евро, а также дальнейшей пристального внимания со стороны AEPD.

ВЕЛИКОБРИТАНИЯ

DSG Retail Limited. Контролирующий орган Великобритании Information Commissioner’s Office (ICO), в результате проведенного расследования обнаружил системные сбои в работе аппаратных систем компании DSG Retail Limited, в частности в части защиты персональных данных. ICO установил, что частые сбои в работе систем компании касались основных, обычных мер безопасности, показывая полное игнорирование безопасности своих клиентов, что привело к проникновению в систему посторонних лиц и похищение большого количества личных данных субъектов данных. Было определено, что пострадало около 14 миллионов субъектов данных.

Представители Information Commissioner’s Office заявили, что нарушения в этом случае были настолько серьезными, что было принято решение об установлении максимального наказания, однако, в связи с тем, что нарушение было зафиксировано достаточно давно, был наложен максимальный штраф в размере, согласно предварительному законодательством Великобритании, которое действовало до вступления в силу GDPR. В связи с таким нарушением, компания DSG Retail Limited была оштрафована на сумму всего лишь в 500 000 фунтов стерлингов, хотя могла и избавиться не один десяток миллионов.
Стоит заметить, что применение значительных штрафов практикуется именно за нарушение требований, касающихся организации безопасности обработки, хранения или любого другого использования персональных данных. В 2019 году мы уже имели подобную ситуацию с компанией British Airways.

ШВЕЦИЯ

Mrkoll.se. Шведский контролирующий орган Datainspektionen наложил штраф в размере 35000 евро на Mrkoll.se — сайт, который публикует персональные данные всех шведов старше 16 лет — за нарушение закона о кредитной информацию и GDPR. Сайт Mrkoll.se осуществляет деятельность по предоставлению кредитной информации о физических лицах таким образом, что нарушает требования GDPR. В общем база данных, которую в распоряжении имел сайт, содержит персональные данные более 8 миллионов человек.

Представители Сайта заявили, что в соответствии с шведским законодательством, они имеют право публиковать информацию о лицах, не имеющих кредитных задолженностей, однако Datainspektionen возразил и сослался на то, что информация о статусе физического лица, в контексте того имеет ли она финансовый долг или нет, по своей сути уже является персональными данными в соответствии закона Швеции о кредитной информацию, в котором есть ссылка на GDPR. Тем более, в публичных профилях субъектов данных содержалась информация о наличии судимостей у того или иного лица, а размещение такой информации должно обязательно согласовываться с контролирующим органом.
РЕСПУБЛИКА КИПР

Louis Group of Companies. Контролирующий орган Кипра наложил штраф на компании из группы компаний Louis Group of Companies за то, что они совершали обработку персональных данных своих работников, в том числе чувствительных персональных данных, не в соответствии с требованиями GDPR. Так материнской компанией группы было установлено, что частые короткие больничные работников приносят больше вреда группе компаний, нежели длительные больничные. Такие исследования стали результатом мониторинга данных почти тысячи работников, трудоустроенных в группе компаний.
Как следствие, профсоюз работников, получив такую ​​информацию, обратилась в контролирующий орган, с заявлением о неправомерной обработке чувствительных персональных данных работников, а именно об их здоровье, без должного законного основания.
Так как группа компаний не смогла доказать, что обработка чувствительных персональных данных работников, для целей мониторинга эффективности работы компании, основывается на законных интересах компании, три компании из числа Louis Group of Companies были оштрафованы на сумму, в совокупности составила 82 000 евро.

ИТАЛИЯ

Eni Gas and Luce (Egl). Итальянский надзорный орган наложил два штрафа на Eni Gas and Luce (Egl) на общую сумму 11,5 млн евро за незаконную обработку персональных данных в контексте рекламной деятельности и активизации нежелательных контрактов. Штрафы, которые наложены контролирующим органом, определялись с учетом факторов, определяемых в Регламенте ЕС, включая широкий круг заинтересованных сторон, значительную географию деятельности компании, продолжительность нарушения и экономические условия Eni Gas and Luce (Egl).

В общем, компания была привлечена к ответственности за ряд нарушений в сфере защиты персональных данных, однако основные два фактора, которые сыграли ключевую роль, это:

• Осуществление неавторизованной маркетинговой активности по отношению к субъектам данных; и

• Заключение контрактов на поставку природных ресурсов без согласия субъектов данных на использование их данных с целью заключения таких контрактов.

Обобщая все нарушения компании, стоит отметить, что в обнаруженных нарушений относятся: (i) рекламные звонки, совершенные без согласия субъекта данных или несмотря на отказ субъекта данных от приема рекламных звонков или без инициирования конкретных процедур проверки общедоступного реестра отказа; (іi) хранения данных более чем это разрешено; (іii) получения данных о потенциальных клиентах от поставщиков списков субъектов данных, которые не получили никакого согласия на разглашение таких данных.

ЗАКЛЮЧЕНИЕ

Тенденция по увеличению размеров и частота наложенных штрафов все усиливается и 2020 год предсказывает быть очень интересным, ведь «аппетиты» контролирующих органов только растут. Попробуем держать вас в курсе последних новостей о штрафных санкций, которые применяются к компаниям на территории всего мира в контексте применения GDPR. Уже в следующей статье в разделе сайта «GDPR штрафы и ответственность» читайте отчет по штрафам за февраль 2020 года.