Самые большие штрафы за нарушение GDPR в 2023 году
Вопрос о том, становятся ли требования к обеспечению конфиденциальности данных в Европейском Союзе более благоприятными для бизнеса, можно найти в нашем анализе штрафов за нарушения правил обработки персональных данных, в том числе в соответствии с GDPR, за 2023 год.
Список крупнейших штрафов GDPR за 2023 год
Анализируя, в общем, возможность усиления регулирования защиты конфиденциальности как в мире, так и в Европейском Союзе, можно подчеркнуть, что с каждым годом такая тенденция становится более актуальной. Ярким примером могут служить санкции в виде штрафов, которые были применены к компаниям в 2023 году государственными регулирующими органами. В частности, мы хотим обратить ваше внимание на крупнейшие штрафы, которые были применены к таким компаниям:
Meta: самый крупный штраф в истории
В мае 2023 года Комиссия по Защите Данных Ирландии наложила рекордный штраф в размере $1.2 миллиарда на компанию Meta Platforms Ireland Ltd, которая является материнской компанией Facebook и Instagram. Такая огромная санкция касалась передачи персональных данных европейских пользователей Facebook в Соединенные Штаты без достаточной защиты, а также недостаточных мер защиты конфиденциальности детей.
В результате расследования было установлено, что компания сознательно игнорировала решение Суда Правосудия Европейского Союза (CJEU) о недостаточности применения Стандартных Контрактных Условий (SCCs) как надежного инструмента для передачи персональных данных в США и продолжала их использовать, тем самым, делая персональные данные объектом доступа и контроля со стороны разведывательных органов США.
Meta: штраф за неисполнение условий маркетинга
Независимо от штрафа в 1,2 миллиарда евро, Комиссия по защите данных Ирландии также применила санкции к компании Meta Platforms Ireland Ltd в виде штрафа в размере 390 (триста девяносто) миллионов евро за нарушение условий предоставления рекламы пользователям сервиса Facebook. Так, было установлено, что компания, нарушая условия GDPR, применила некорректное правовое основание для таргетированной рекламы, выбрав «контракт» в качестве правовой основы. Компания Meta утверждала, что предоставление персонализированной рекламы необходимо для выполнения «контракта» между ними и пользователями. Однако Комиссия по защите данных Ирландии и Европейская Рада по защите данных (EDPB) не согласились с этим, указав, что пользователи не явно согласились на использование их данных для таких целей. Это фактически сделало согласие на персонализированную рекламу обязательным выбором для возможности получения услуг от компании Meta, не оставляя пользователям права отказаться от такой рекламы.
Кроме того, расследование выявило, что Meta недостаточно обеспечила прозрачность и контроль пользователей над своими персональными данными, используемыми для рекламы. Комиссия по защите данных Ирландии установила, что политики конфиденциальности Meta и настройки рекламы были слишком сложными и запутанными для пользователей, чтобы понять, как их данные используются для направленной рекламы. Это отсутствие прозрачности затрудняло возможность пользователям контролировать то, как их данные обрабатывались.
TikTok
Комиссия по защите данных применила штраф к китайской компании TikTok на сумму 345 (триста сорок пять) миллионов евро после того, как в ходе расследования выяснилось, что платформа незаконно обрабатывала персональные данные детей и делала их публичными через открытые профили пользователей и видеоролики. Кроме всего прочего, функционал, предназначенный для того, чтобы позволить родителям контролировать активность своих детей, имел недостаточные меры проверки, которые были легко обойти, а политика конфиденциальности и практика обработки данных TikTok были слишком сложными и запутанными для молодых пользователей, не предоставляя им значительного контроля над своими данными.
Criteo
На этот раз уже французский контролирующий орган (CNIL) принял решение о применении штрафных санкций к компании CRITEO, специализирующейся на «поведенческом ретаргетинге», который заключается в отслеживании активности пользователей Интернета с целью показа персонализированной рекламы. Компания не соблюдала положений GDPR в части получения согласия на обработку персональных данных и возможности его отзыва (статьи 7(1), (3), 17(1) GDPR), требований предоставления информации о обработке персональных данных в понятной форме (статья 12 и 13 GDPR) и реализации права на получение доступа к персональным данным (статья 15(1) GDPR). Общая сумма штрафа составила 40 (сорок) миллионов евро.
Tim
В апреле 2023 года итальянский орган по защите данных (Garante) вынес решение, в котором наложил на компанию TIM S.p.A. штраф за многочисленные нарушения GDPR. Применение такого штрафа стало возможным после получения нескольких жалоб от лиц, утверждавших, что телемаркетинговая деятельность TIM является незаконной. В результате расследования было установлено, что TIM не удовлетворил или сделал это за пределами срока, предусмотренного GDPR, несколько запросов относительно прав субъектов данных. Кроме того, компания TIM не соблюдала порядок, согласно которому четко устанавливается обязанность контролера данных продемонстрировать согласие субъекта данных; в этом контексте Garante отметил, что относительно нескольких маркетинговых сообщений/звонков от имени TIM компания, осуществлявшая звонки, не имела никакого подтверждения получения согласия от получателей коммерческих сообщений. Кроме всего прочего, было выявлено, что компания не предпринимала никаких действий относительно утечки персональных данных в течение длительного времени, не имея возможности выявить и устранить нарушения информационной безопасности. В результате нарушений статей 5(2), 6, 7, 12(2), 12(3), 13, 14, 15(1), 24 и 32(1)(b) GDPR и других статей внутреннего законодательства Италии на компанию TIM был наложен штраф в размере 7,6 миллионов евро.
В начале 2023 года Комиссия по защите данных Ирландии оштрафовала WhatsApp на 5,5 миллиона евро. Штраф был наложен после жалобы субъекта данных на то, как приложение просило пользователей согласиться с его обновленными условиями обслуживания после вступления в силу GDPR. В случае отказа они больше не смогут получить доступ к услуге, и соответствующий субъект данных утверждал, что пользователи были вынуждены дать согласие на обработку их персональных данных. В результате расследования было установлено, что компания WhatsApp не предоставляла пользователям право выбора при принятии обновленных условий, а предоставляла их как неподлежащее обсуждению условие для дальнейшего использования своих услуг, фактически заставляя пользователей соглашаться на расширенную практику обмена данными. Это нарушило требование GDPR о свободно предоставленном информированном согласии. Кроме того, было установлено, что условия обслуживания и политика конфиденциальности были признаны слишком сложными и длинными, так как они не предоставили пользователям четкую и понятную информацию о последствиях принятия новых положений об обмене данными.
Spotify
В 2023 году Шведское агентство по защите данных оштрафовало веб-плеер цифровой музыки и подкастов Spotify на сумму 5,4 миллиона долларов за нарушение правил прозрачности, установленных GDPR. В результате расследования было выявлено, что Spotify отвечает на запросы доступа к данным, не информируя клиентов о том, как компания использует их данные. В пресс-релизе агентства по конфиденциальности указывается, что Spotify должен быть «точнее» в раскрытии данных и сделать так, чтобы клиенты, запрашивающие доступ, имели возможность понять, как Spotify использует их данные. И хотя выявленные недочеты в целом считаются незначительными, в свете количества зарегистрированных пользователей и оборота Spotify, агентство применило штраф именно в таком размере против Spotify.
Как можем видеть, размеры штрафов являются значительными в 2023 году. В 2024 году тенденция не обещает уменьшаться, и внимание контролирующих органов будет смещаться в сторону среднего и малого бизнеса. Именно поэтому мы подчеркиваем, что чрезвычайно важным элементом вашего бизнеса в Европе должно быть соответствие требованиям защиты персональных данных.
