Штрафы GDPR: кого и за что привлекался к ответственности в 2019 году

21 января 2020

Не секрет, что General Data Protection Regulation (GDPR) — это один из европейских документов, который стал самым эффективным инструментом для наполнения бюджета стран-членов Европейского Союза в контексте привлечения представителей бизнеса к ответственности за несоблюдение требований обеспечения безопасности персональных данных.

Самые крупные штрафы за нарушение GDPR

Прошло полтора года с момента вступления в силу General data protection Regulation, и только в 2019 году на ряд компаний было наложено штрафов на миллионы долларов за различные нарушения в сфере защиты персональных данных.

По данным анализа веб-портала новостей и кибербезопасности PreciseSecurity, размер штрафных санкций за десять крупнейших нарушений требований GDPR, составила 443,7 миллиона долларов. Три крупнейшие нарушения данных составляют почти 90 процентов этой суммы.

British Airways

Самый большой штраф был наложен на компанию British Airways, в размере 225 160 000 долларов за нарушение безопасности персональных данных в результате незаконного доступа хакеров к финансовым деталей и конфиденциальной личной информации, которой владела компания British Airways. В результате расследования, проведенного европейскими контролирующими органами, было установлено, что недостаточный уровень киберзащиты компании привел к тому, что в базу данных получили доступ неавторизованные пользователи, в результате чего, персональные данные полумиллиона пользователей были слиты в сеть Интернет.

Marriott International

Место номер два занимает компания Marriott International. Эта гостиничная корпорация была оштрафована в ноябре 2018 в результате нарушения, результатом которого стало похищение личных данных 339000000 его гостей. Позже было установлено, что нарушение стало возможным через компанию, которую ранее приобрела компания Marriott International и включила в группу своих компаний.

Стоит отметить, что первые упомянутые два крупнейших штрафы были наложены в Великобритании, в то время как третий — во Франции. Многие задаются вопросом относительно того, действительно ли Великобритания, в предвкушении BREXIT, пытается воспользоваться новым европейским регламентом «на полную». Возможно это и так, ведь выход этого государства из состава Европейского Союза запланирован уже на 2020 год. Но не следует забывать, что законодательная база Великобритании является одной из самых «сильных», в частности в вопросах защиты персональных данных, поэтому, возможно, даже после выхода из ЕС, она так и будет продолжать наводить ужас на большую часть бизнеса.

Google

Возвращаясь в рейтинг компаний, в которых были применены самые большие штрафы стоит упомянуть и популярную поисковую систему в мире — Google, со штрафом в размере 55000000 долларов, которая занимает третье место. Французский контролирующий орган (CNIL) наложил штраф на компания Google после того как пришел к выводу, что компания недостаточно четко сформулировала свою политику в отношении получения согласия на обработку данных, а также не предоставила своим пользователям достаточного контроля над персональными данными.

Сумма высоких штрафных санкций за нарушение персональных данных, которые были наложены в 2019 году, достигает 400 000 000 долларов, что составляет около 90 процентов от суммы всех штрафов, наложенных контролирующими органами по всей Европе за период с мая 2018 года по текущий момент.

По преимущественно штрафуют компании?

недостатки безопасности

Анализируя подавляющее большинство кейсов по привлечению к ответственности в контексте применения GDPR, стоит отметить, что основной причиной остается несоблюдение безопасности обработки персональных данных, оказывается в непринятии организационных и / или технических мероприятий, которые были бы достаточными, чтобы гарантировать уровень безопасности, соответствующий идентифицированным компаниями рискам.

Основным катализатором, который приводит к выявлению пробелов в системе безопасности компаний, является постоянное киберугроз, что проявляется в постоянных и / или повторяющихся хакерских атаках, которые с каждым днем ​​набирают все более агрессивный характер, в силу развития новейших технологий. Даже такие гиганты, такие как например компания British Airways, не смогли предусмотреть всех опасных нюансов, которые могут возникнуть в своих информационных систем.

Несоблюдение условий получения согласия на обработку данных

Достаточно большая часть штрафов применяется также за то, что компании не обеспечивают достаточно корректную процедуру получения от субъектов данных согласия на обработку персональных данных, а также за то, что субъекты данных не обеспечиваются всей необходимой информации, в отношении операций по обработке персональных данных .

Ярким примером в этом случае, могут стать штрафы, наложенные в 2019 году на испанскую компанию Vueling, которая не обеспечила субъектам данных возможность давать согласие на обработку файлов cookie так, как это предусмотрено General Data Protection Regulation и e-Privacy Directive. В то время как GDPR требует получения согласия путем совершения конкретной действий, которая подтверждает желание субъекта данных на обработку его персональных данных, большинство компаний продолжают получать согласие, использую пассивный подход, заключающийся в применении фразы «продолжая …., Вы даете согласие» .

Обработка в целях маркетинга

Темой, которая также набирает обороты, остается тема маркетинговой рассылки, осуществляется компаниями с целью реализации своих товаров, услуг, а также осуществление иной деятельности. Представители бизнеса не всегда осознают, что необходимость получения согласия на рассылку таких сообщений является обязательным, а потому могут массово отправлять сообщения своим пользователям и клиентам, не осознавая возможные последствия. Кроме GDPR, этот вопрос регулирует также другое законодательство, как Европейского Союза, так и каждой отдельно взятой страны-члена ЕС.

Осенью 2019 года, румынский контролирующий орган, пользуясь своими полномочиями, привлек к ответственности как минимум три компании за несоблюдение требований осуществления маркетинговой рассылки, в контексте обработки персональных данных. Это стало причиной наложения незначительных, в понимании GDPR, но достаточно неприятных для бюджета компаний штрафов.

Недостаточное документарное урегулирования

Контролирующие органы, кроме всех других аспектов, также обращают внимание и на то, как компании реализуют свое соответствие требованиям GDPR через разработку и осуществление внутренних документов, в частности политик, процедур, регламентов и правил. Если посмотреть на упомянутый выше кейс с компанией Google, то станет понятно, что французский контролирующий орган обратил свое внимание на некоторые документарные аспекты компании, касающиеся порядка получения согласия на обработку данных и управления персональными данными своими пользователями.

В этом контексте стоит напомнить и о таких два важных документа как Политика конфиденциальности (Privacy Policy) и Политика cookies (Cookies Policy), которые должны сопровождать деятельность любого веб-сервиса. В случае отсутствия или недостаточности этих документов, не стоит надеяться, что компании удастся избежать привлечения к ответственности.

вывод

Во избежание привлечения к ответственности, не нужно готовить компанию к тому, как защищаться от применяемых санкций, а нужно сосредоточиться на подготовке условий, которые бы обеспечили отсутствие каких-либо оснований для возможности их применения.