Штрафи GDPR: кого та за що притягували до відповідальності в 2019 році
Не секрет, що General Data Protection Regulation (GDPR) – це один з європейських документів, який став найбільш ефективнішим інструментом для наповнення бюджету країн-членів Європейського Союзу, в контексті притягнення представників бізнесу до відповідальності за недотримання вимог забезпечення безпеки персональних даних.
Найбільші штрафи за порушення GDPR
Минуло півтора року з моменту набуття чинності General data protection Regulation, і лише в 2019 році на ряд компаній було накладено штрафів на мільйони доларів за різноманітні порушення у сфері захисту персональних даних.
За даними аналізу веб-порталу новин та кібербезпеки PreciseSecurity, розмір штрафних санкцій за десять найбільших порушень вимог GDPR, склала 443,7 мільйони доларів. Три найбільші порушення даних становлять майже 90 відсотків цієї суми.
British Airways
Найбільший штраф був накладений на компанію British Airways, у розмірі 225,16 мільйонів доларів за порушення безпеки персональних даних у результаті незаконного доступу хакерів до фінансових деталей та конфіденційної особистої інформації, якою володіла компанія British Airways. В результаті розслідування, проведеного європейськими контролюючими органами, було встановлено, що недостатній рівень кіберзахисту компанії призвів до того, що до бази даних отримали доступ неавторизовані користувачі, в результаті чого, персональні дані півмільйона користувачів були злиті в мережу Інтернет.
Marriott International
Місце номер два займає компанія Marriott International. Ця готельна корпорація була оштрафована у листопаді 2018 року у результаті порушення, результатом якого стало викрадення особистих даних 339 мільйонів його гостей. Пізніше було встановлено, що порушення стало можливим через компанію, яку раніше придбала компанія Marriott International та включила до групи своїх компаній.
Варто зазначити, що перші згадані два найбільші штрафи було накладено у Великій Британії, в той час як третій – у Франції. Багато хто задається питанням стосовного того, чи дійсно Велика Британія, в передчутті BREXIT, намагається скористатися новим європейським регламентом «на повну». Можливо це і так, адже вихід цієї держави зі складу Європейського Союзу запланований вже на 2020 рік. Але не слід забувати, що законодавча база Великої Британії є однією з «найсильніших», зокрема і в питаннях захисту персональних даних, тому, можливо, навіть після виходу з ЄС, вона так і продовжуватиме наводити жах на більшу частину бізнесу.
Повертаючись до рейтингу компаній, до яких були застосовані найбільші штрафи варто згадати і найпопулярнішу пошукову систему у світі – Google, зі штрафом у розмірі 55 мільйонів доларів, яка займає третє місце. Французький контролюючий орган (CNIL) наклав штраф на компанія Google після того як дійшов висновку, що компанія недостатньо чітко сформулювала свою політику щодо отримання згоди на обробку даних, а також не надала своїм користувачам достатнього контролю над персональними даними.
Сума найвищих штрафних санкцій за порушення персональних даних, які були накладені у 2019 році, сягає 400 мільйонів доларів, що складає близько 90 відсотків від суми всіх штрафів, накладених контролюючими органами по всій Європі за період з травня 2018 року по теперішній момент.
За що переважно штрафують компанії ?
Недоліки безпеки
Аналізуючи переважну більшість кейсів щодо притягнення до відповідальності, в контексті застосування GDPR, варто зазначити, що основною причиною залишається недотримання безпеки обробки персональних даних, що виявляється в невжитті організаційних та/або технічних заходів, які були б достатніми, щоб гарантувати рівень безпеки, який відповідає ідентифікованим компаніями ризикам.
Основним каталізатором, який призводить до виявлення прогалин в системі безпеки компаній, є постійна кіберзагроза, що виявляється в постійних та/або повторюваних хакерських атаках, які з кожним днем набирають все більш агресивнішого характеру, в силу розвитку новітніх технологій. Навіть такі гіганти, як от наприклад компанія British Airways, не змогли передбачити всіх небезпечних нюансів, що можуть виникнути в межах своїх інформаційних систем.
Недотримання умов отримання згоди на обробку даних
Досить велика частина штрафів застосовується також за те, що компанії не забезпечують достатньо коректну процедуру отримання від суб’єктів даних згоди на обробку персональних даних, а також за те, що суб’єкти даних не забезпечуються всією необхідною інформацію, стосовно операцій з обробки персональних даних.
Яскравим прикладом, в цьому випадку, можуть стати штрафи, накладені в 2019 році на іспанську компанію Vueling, яка не забезпечила суб’єктам даних можливість надавати згоду на обробку файлів cookie так, як це передбачається General Data Protection Regulation та e-Privacy Directive. В той час як GDPR вимагає отримання згоди шляхом вчинення конкретної дій, яка підтверджує бажання суб’єкта даних на обробку його персональної інформації, більшість компаній продовжують отримувати згоду, використовую пасивний підхід, що полягає в застосування фрази «продовжуючи…., ви надаєте згоду».
Обробка в цілях маркетингу
Темою, яка також набирає оберти, залишається тема маркетингової розсилки, що здійснюється компаніями з метою реалізації своїх товарів, послуг, а також здійснення іншої діяльності. Представники бізнесу не завжди усвідомлюють, що необхідність отримання згоди на розсилку таких повідомлень є обов’язковою, а тому можуть масово надсилати повідомлення своїм користувачам та клієнтам, не усвідомлюючи можливі наслідки. Окрім GDPR, це питання регулює також інше законодавство, як Європейського Союзу, так і кожної окремо взятої країни-члена ЄС.
Восени 2019 року, румунський контролюючий орган, користуючись своїми повноваженнями, притягнув до відповідальності як мінімум три компанії за недотримання вимог здійснення маркетингової розсилки, в контексті обробки персональних даних. Це стало причиною накладення незначних, в розумінні GDPR, але досить неприємних для бюджету компаній штрафів.
Недостатнє документарне врегулювання
Контролюючі органи, окрім всіх інших аспектів, також звертають увагу і на те, як компанії реалізують свою відповідність вимогам GDPR через розробку та імплементацію внутрішніх документів, зокрема політик, процедур, регламентів та правил. Якщо подивитися на згаданий вище кейс з компанією Google, то стане зрозуміло, що французький контролюючий орган звернув свою увагу на деякі документарні аспекти компанії, які стосувалися порядку отримання згоди на обробку даних та керування персональними даними своїми користувачами.
В цьому контексті варто нагадати і про такі два важливі документи як Політика конфіденційності (Privacy Policy) та Політика cookies (Cookies Policy), що мають супроводжувати діяльність будь-якого веб-сервісу. У разі відсутності або ж недостатності цих документів, не варто сподіватися, що компанії вдасться уникнути притягнення до відповідальності.
Висновок
Для уникнення притягнення до відповідальності, не потрібно готувати компанію до того, як захищатися від застосовуваних санкцій, а потрібно зосередитися на підготовці умов, які б забезпечили відсутність будь-яких підстав для можливості їхнього застосовування.
