GDPR штрафы: тренды 2020. кого и за что штрафуют?
В мае 2020 исполнится два года как был введен в действие Регламент Европейского Парламента и Совета (ЕС) 2016/679 о защите персональных данных. Перед началом новой эры в регулировании защиты персональных данных было много дискуссий. Юристы пугали своих клиентов всего четырьмя буквами — GDPR.
За время действия, этот Регламент заставил компании со всего мира разработать юридические и технические механизмы работы с персональными данными. Но иногда этих мер было недостаточно. Регуляторы разных стран уже взыскивают огромные штрафы.
В данной статье мы расскажем, кого и за что штрафовали 2019 году — это даст понимание, какие ошибки допускаются компаниями в обработке персональных данных.
Статистика показывает, что с начала 2019 количество штрафов по сравнению с концом 2019 стремительно возросла. Если в начале года речь шла о десятке случаев применения санкций, то в конце года их количество превысило сотню в месяц. /По прогнозам, такая тенденция останется и в 2020 году.
Недавно Британский контролирующий орган — Information Commissioner (ICO) оштрафовал аптеку за то, что она оставила около 500 000 документов в незапертых шкафах в своих подсобных помещениях.
Невозможность обрабатывать данные способом, который обеспечивает надежную защиту от несанкционированной или незаконной обработки и случайной потери, уничтожения или повреждения и есть нарушением GDPR.
Самые популярные нарушения GDPR:
- Недостаточные технические и организационные меры по обеспечению информационной безопасности
- Недостаточная правовая база для обработки данных
- Несоблюдение принципов обработки данных
- Недостаточное выполнение информационных обязательств
Недостаточные технические и организационные меры по обеспечению информационной безопасности (ст. 32 GDPR)
Британский надзорный орган — Information Commissioner (ICO) решил на примере British Airways и Marriott International, Inc . продемонстрировать, что бывает в случае выявления проблем в информационной безопасности. Санкции за нарушения достигли € 204,600,000 и € 110,390,200 соответственно.
British Airways обошли вниманием фишинговые сайты, которые имитировали связь с компанией и воровали данные пользователей, а Marriott International, Inc., при поглощении другой компании, не проверил законность собранных ею персональных данных.
Интересен тот факт, что эти компании самостоятельно сообщили о кибер-инцидентах в системе защиты персональных данных и сотрудничали с контролирующим органом в ходе расследования, а также усовершенствовали свои механизмы безопасности.
Недостаточная правовая база для обработки данных
Самый известный кейс в этой категории нарушений — Google, который не создал удобную и понятную политику конфиденциальности для своих пользователей.
DPA проверял соответствие операций по обработке по GDPR путем анализа поведения пользователя и документов, к которым он имеет доступ при создании аккаунта Google на телефоне с операционной системой Android. Если коротко, то DPA пришел к выводу, что документы компании вовсе не user-friendly.
Более того, Комитет отметил, что некоторая информация не всегда раскрыта четко и исчерпывающе. Пользователи не в состоянии полностью понять суть и цель операций обработки данных, которые осуществляет Google. Это также касается обработки данных в маркетинговых целях. Информация об операциях по обработке данных для персонализации рекламы размещена в нескольких документах и не позволяет пользователю узнать объем собираемой о нем информации.
В чем ошибка?
«Перед созданием учетной записи пользователю предлагается установить флажки «Я согласен с Условиями использования Google» и «Я согласен на обработку моей информации, как описано выше и более подробно описано в Политике конфиденциальности», чтобы создать учетную запись.
Таким образом, пользователь дает свое согласие в полном объеме на все операции по обработке персональных данных, которые выполняются GOOGLE на основе этого согласия (персонализация рекламы, распознавание речи и т.д.). Однако GDPR предусматривает, что согласие является «конкретным», только если оно дается отдельно для каждой цели.»
Несоблюдение принципов обработки данных
Лидером по размеру полученного штрафа за это нарушение пока является Deutsche Wohnen SE .
А все потому, что в ходе проверки в 2017 году было выявлено что компания:
(1) сохраняла данные бывших арендаторов не проверяя, есть ли необходимость в их сохранении и
(2) использовала систему архивирования, которая не позволяла удалять ненужные данные для конкретной цели.
Конечно, позже они усовершенствовали свою систему, но контролирующий орган решил, что приняты меры для исправления нарушений не были достаточными, и до сих пор не соответствуют принципам ограничения хранения и минимизации данных.
Недостаточное выполнение информационных обязательств
Испанская La Liga de Fútbol Profesional была оштрафована за того, что через мобильное приложение могла активировать микрофон телефона для распознавания окружающих звуков.
Это было сделано для того, чтобы находить бары, которые транслируют футбольные матчи без уплаты соответствующих сборов. DPA решил, что звук тоже можно отнести к данным, с помощью которых можно идентифицировать личность.
Контролирующий орган La Agencia de Protección de Datos указал, что такой функционал приложения в правилах пользователя не раскрывается прозрачно и понятно. По их мнению, необходимо получать согласие пользователя на такие действия не только при установке мобильного приложения, поскольку пользователь не помнит на что он давал согласие, но и каждый раз, когда активируется сбор таких данных.
Выводы
GDPR дает понять, что компании должны нести ответственность за собранные персональные данные. Информация действительно ценна, поэтому компании имеют юридическую обязанность обеспечивать ее безопасность, как и любого другого актива. Путем проведения юридического аудита можно оценить не только то, как и какие персональные данные были получены, но и то, как они защищены.