ТОП-7 штрафів 2022 року за порушення правил GDPR

1 000 EUR – це багато для бізнесу? А 100 000 EUR? А 405 000 000 EUR? Саме таку суму штрафу заплатила одна відома компанія за порушення правил європейського Загального регламенту про захист персональних даних (General Data Protection Regulation – GDPR). У цій статті дізнаєтесь про топ 7 найбільших штрафів 2022 року та ті практики з персональними даними, яких варто уникати у своєму бізнесі.

GDPR встановлює, що європейські наглядові органі уповноважені накладати штрафи у розмірі до 20 000 000 (двадцяти мільйонів) EUR або до 4 % від загального глобального річного обігу компанії за попередній фінансовий рік, залежно від того, яка сума є вищою (ауч). Якою ця сума може бути на практиці розглянемо нижче.

7 місце

Кого: REWE International AG

Коли: 14 січня 2022

Де: Австрія

На скільки: 8 000 000 (вісім мільйонів) EUR

За що: Відсутність правової підстави для обробки персональних даних

Відкриває підбірку штраф компанії REWE International, що займається роздрібною торгівлею (магазини PENNY, BILLA, BIPA та інші) за необережне поводження з даними клієнтів, які брали участь у спільній програмі лояльності клієнтів Rewe, OMV та інших партнерів – jö Bonus Club. Програма збирала персональні дані клієнтів без їхньої згоди та використовувала їх у маркетингових цілях. REWE International заявила про намір оскаржити це рішення в апеляційному порядку.

Якщо коротко: 

• REWE International не погоджується нести відповідальність, оскільки програма лояльності надається jö Bonus Club, що управляється Unser Ö-Bonus Club GmbH – юридично і економічно незалежною дочірньою компанією, і, на думку REWE International, материнська компанія у цьому випадку не має нести відповідальність за обробку даних; 
• це вже друга санкція за два роки (у першому випадку jö Bonus Club незаконно використовували мільйони даних своїх членів для цілей профайлингу, за що були оштрафовані на 2 000 000 EUR).

Головний урок: визначати ролі між компаніями, чітко розмежувати їх і визначати відповідальність, не приховувати від власних клієнтів шляхи передачі їхніх даних. 

 

6 місце

Кого: Google LLC

Коли: 18 травня 2022

Де: Іспанія

На скільки: 10 000 000 (десять мільйонів) EUR

За що: Відсутність правової підстави для обробки персональних даних

Такий великий штраф Google отримали за передачу даних третім особам без законних на те підстав (ст. 6 GDPR) і за перешкоджання праву користувачів на видалення даних (ст. 17 GDPR).

Google передавав персональні дані проекту Lumen, заснованому при Гарвардському університеті. Проект розпочався у 2002 року з метою дослідження запитів, пов’язаних з видаленням контенту з веб-сайтів на території США та за їх межами. Зібрані дані могли бути доступними дослідникам та іншим зацікавленим сторонам. 

Користувачі платформ, керованих Google, таких як YouTube або Google Drive, могли вимагати видалення контенту про себе на цих платформах через різні контактні форми, надані Google. Однак, персональні дані користувачів (їхня особистість, адреса електронної пошти, наведені причини для видалення та URL-адреса веб-сайту), які використовують ці форми, автоматично передавалися до проекту Lumen і такі користувачі не мали можливості заперечити проти цієї передачі, оскільки вона була умовою використання форми. 

З цієї причини було встановлено, що передача даних компанією Google проекту Lumen нав’язувалась користувачам, і тому здійснювалась без їхньої дійсної згоди. Google не надав користувачам достатньої можливості реалізувати своє право на видалення своїх даних. 

При оцінці штрафу наглядовий орган врахував як обтяжуючі фактори те, що:

• дані були не тільки розкриті, але і передані в третю країну без можливості користувачів заперечити проти цього, позбавляючи їх контролю над своїми даними; 
• передача відбувалася протягом дуже тривалого періоду часу; 
• було зачеплено велику кількість фізичних осіб, а в деяких випадках оброблялися чутливі дані.

Головний урок: мати законну підставу для кожної обробки, не приховувати від користувачів кому передаються їхні дані, надати можливість реально здійснювати їхні права. 

5 місце

Кого: Meta Platforms Ireland Limited

Коли: 15 березня 2022

Де: Ірландія

На скільки: 17 000 000 (сімнадцять мільйонів) EUR

За що: Недостатність технічних та організаційних заходів щодо забезпечення інформаційної безпеки

Рішення ґрунтується на 12 повідомленнях про порушення персональних даних, що сталися в період з 07 червня 2018 року по 04 грудня 2018 року. Хоча ірландський наглядовий орган встановив, що надана компанією інформація та підтверджуючі документальні докази можна вважати аналогічними найкращим галузевим практикам та найсучаснішому рівню техніки, однак Meta Platforms не вжила належних технічних та організаційних заходів, які б дозволили їй легко продемонструвати заходи безпеки, які вона впровадила на практиці для захисту даних користувачів з ЄС в контексті таких 12 порушень. Як заявила сама компанія: “Цей штраф стосується практики ведення записів з 2018 року, яку ми відтоді оновили, а не нездатності захистити інформацію людей”.

Як результат розгляду наглядовим органом Ірландії було встановлено порушення ст. 5(2) (порушення принципу підзвітності – можливості продемонструвати власний комплаєнс) і ст. 24(1) (наявність технічних та організаційних заходів щодо забезпечення інформаційної безпеки) GDPR.

Головний урок: GDPR – це більше ніж пакет документів. Правила приватності мають реально діяти в компанії, а не лише відображуватись на папері.

4 місце

Кого: Clearview Al Inc.

Коли: 17 жовтня 2022

Де: Франція

На скільки: 20 000 000 (двадцять мільйонів) EUR

За що: Неналежна реалізація прав суб’єктів даних

Цього року Clearview Al Inc. отримали аж чотири штрафи, три на 20 000 000 EUR від Франції, Італії та Греції, та один на 9 000 000 EUR від Сполученого Королівства. Clearview Al збирає фотографії з багатьох веб-сайтів, включаючи соціальні мережі, і пропонує доступ до своєї бази даних зображень (яких аж 20 мільярдів!) у вигляді пошукової системи. У цій системі можна шукати людину на основі біометричних даних, витягнутих із фотографій та відео, які є в публічному доступі (їх можна переглянути без входу в обліковий запис). Американська компанія пропонує цю послугу правоохоронним органам з метою ідентифікації злочинців або жертв злочинів, про що переважна більшість людей у цій базі не знають. 

Технологія розпізнавання облич використовується для того, щоб зробити запит до пошукової системи і знайти людину за її фотографією. Для цього компанія будує “біометричний шаблон”, тобто цифрове представлення фізичних характеристик людини (в даному випадку обличчя). Такі дані за GDPR є особливо чутливими, оскільки пов’язані з фізичною ідентичністю і дозволяють ідентифікувати особу в унікальний спосіб.

Наглядовий орган Франції встановив, що:

• обробка персональних була незаконною, оскільки збір та використання біометричних даних здійснювались без законних підстав (ст. 6 GDPR);
• компанія обмежувала реалізацію прав суб’єктів даних через їхні запити, наприклад, обмежуючи кількість запитів, дані щодо яких можна робити запит, ігноруючи деякі запити або неповно відповідаючи на них (ст. 12, 15 та 17 GDPR);
• компанія ніяк не прореагувала на офіційне повідомлення французького наглядового органу про припинення неправомірних дій та неохоче співпрацювала під час розслідування (ст. 31 GDPR). 

Головний урок: GDPR поширюється не лише на компанії, які зареєстровані в Європі; потрібно знати з якими категоріями даних компанія працює і чи є для них особливі правила; в ході розслідування необхідно правильно співпрацювати з наглядовим органом.

3 місце

Кого: Meta Platforms Ireland Limited

Коли: 25 листопада 2022

Де: Ірландія

На скільки: 265 000 000 (двісті шістдесят п’ять мільйонів) EUR

За що: Недостатність технічних та організаційних заходів щодо забезпечення інформаційної безпеки

У квітні 2021 року в засобах масової інформації з’явилася інформація про витік персональних даних користувачів Facebook. Телефонні номери, електронні пошти, повні імена, дати народження та інша особиста інформація 533 мільйонів користувачів стала доступною на хакерський платформі. 

Персональні дані про користувачів платформи були вилучені з публічних профілів у 2018 та 2019 роках за допомогою скрейпінгу (scraping) – автоматизованого збору даних з веб-сайту або додатку. У зв’язку з цим ірландський наглядовий орган (DPC) проаналізував та оцінив інструменти призначені для пошуку друзів за телефонними номерами з використанням функцій пошуку та імпорту контактів:  Facebook Contact Importer, Messenger Contact Importer, Instagram Contact Importer та Messenger Search.

У рамках розслідування на предмет дотримання Meta Platforms принципів privacy by design та by default DPC встановив порушення ст. 25 GDPR: 

• відсутність належних заходів призвела до того, що відповідний функціонал Facebook міг використовуватися зловмисниками для створення датасетів, а не для пошуку відомих їм профілів користувачів Facebook; хоча Meta Platforms запровадили ліміти запитів за одиницю часу (rate limits) та заходи з виявлення ботів для зменшення ризику, ці заходи не були достатніми для зменшення ризику активності фейкових акаунтів та збору даних ботами;
• відсутність належних заходів дозволила зловмисникам використовувати відповідний функціонал, щоб з’ясувати, чи відповідають випадкові комбінації цифр і букв дійсним номерам телефонів та адресам електронної пошти, і якщо так, то з’ясувати особу користувача Facebook, якому належать ці дані;
• налаштування пошуку для користувачів відповідного функціоналу були автоматично встановлені таким чином, щоб включати номер телефону та адресу електронної пошти кожного користувача Facebook, навіть якщо суб’єкт даних не надав свій номер телефону для цілей пошуку, тобто Meta Platforms зробила ці персональні дані доступними без втручання суб’єкта даних невизначеному колу фізичних осіб. 

Головний урок: впроваджуючи нову фічу у свої послуги необхідно подбати про приватність кінцевих користувачів, зокрема про вжиті технічні та організаційні безпекові заходи та обробку лише необхідних даних; увагу варто звернути на відповідність та пропорційність заходів, сучасний рівень розвитку, вартість реалізації, конкретні ризики для користувачів, специфіку, контекст та цілі опрацювання.

2 місце

Кого: Meta Platforms Ireland Limited

Коли: 31 грудня 2022

Де: Ірландія  

На скільки: 390 000 000 (триста дев’яносто мільйонів) EUR

За що: Невідповідність загальним принципам обробки персональних даних 

Кінець 2022 року ознаменувався плідною роботою DPC для практики приватності та одним із топ-3 нині найбільших штрафів. Двома рішеннями DPC Meta Platforms була оштрафована за невідповідність правилам із захисту персональних даних своїх двох добре відомих сервісів – Facebook та Instagram. Facebook отримав штраф у розмірі 210 000 000 EUR, а Instagram – 180 000 000 EUR.

Напередодні 25 травня 2018 року (дата набрання чинності GDPR) Meta Platforms змінила свої умови користування сервісами (Facebook’s Terms of Service and Instagram’s Terms of Use), що стосувались, зокрема, поведінкової реклами (behavioural advertising). Порушення GDPR проявлялись, серед іншого, у наступному:

• Meta Platforms не мали законної підстави для обробки персональних даних для цілей поведінкової реклами. Нові умови користування сервісів покладались не на згоду користувачів, а на виконання договору між Meta Platforms та юзером (ст. 6(1)(b) GDPR) для більшості процесів з обробки персональних даних. Для того, щоб користуватись (чи продовжувати користуватись) сервісами Facebook та Instagram, юзер був зобов’язаний погодитись (натиснути єдину кнопку “I Agree”) з оновленими користувацькими умовами і поведінковою рекламою як частиною сервісу.
• Насправді ж, як відмітила Європейська рада із захисту персональних даних (EDPB), поведінкова реклама не була істотним або ж основним елементом сервісів та об’єктивно не була необхідною для виконання договору між Meta Platforms з юзером.
• Крім того, Meta Platforms порушила зобов’язання щодо прозорості та повідомлення користувачів відповідно до ст. 5(1)(а), 12(1) та 13(1)(c) GDPR. Компанія не пояснила користувачам, з якою метою і на якій правовій основі обробляються їхні персональні дані.

Головний урок: кожна обробка для окремої цілі потребує законної підстави, не варто однією підставою намагатись охопити нерелевантні процеси з персональними даними; статті GDPR пов’язані між собою, порушення однієї норми часто призводить до порушення основних принципів.

1 місце

Кого: Meta Platforms Ireland Limited

Коли: 05 вересня 2022

Де: Ірландія (остаточне рішення ухвалене EDPB)

На скільки: 405 000 000 (чотириста п’ять мільйонів) EUR

За що: Невідповідність загальним принципам обробки персональних даних 

Найбільший штраф 2022 року отримав Instagram за порушення приватності своїх маленьких користувачів. GDPR з особливою увагою ставиться до захисту приватності дітей. Додаток на платформі дозволив підліткам у віці 13-17 років створювати бізнес-акаунти, які дають доступ до більшої кількості аналітичних даних щодо взаємодії інших юзерів з профілем. 

Відповідно до преамбули 38 GDPR у випадках, коли дані дітей використовуються для створення профілів користувачів, повинні застосовуватися спеціальні засоби захисту, оскільки діти можуть бути менш обізнані про ризики, наслідки та гарантії, а також про свої права у зв’язку з обробкою їхніх даних.

У результаті розгляду справи було встановлено, що неправомірні дії соціальної мережі потенційно зачепили права мільйонів підлітків і компанія порушила ряд статей GDPR: 5(1)(a), 5(1)(c) щодо принципів обробки даних; 6(1) щодо підстав обробки даних; 12(1) щодо прозорості і повідомлення про обробку даних; 24 щодо відповідальності контролера; 25(1) і 25(2) щодо захисту персональних даних by design та by default; 35(1) щодо проведення неналежного оцінювання впливу на захист персональних даних (data protection impact assessment). Зокрема:

• бізнес-акаунти Instagram зробили контактну інформацію маленьких користувачів (номери мобільних телефонів та адреси електронної пошти) публічно доступною через їхню сторінку профілю; 
• дітям було недостатньо зрозуміло, що їхні дані будуть оприлюднені, і пов’язані з цим ризики;
• налаштування облікових записів підлітків за замовчуванням були встановлені на “публічні”, що робило їхній вміст у соціальних мережах загальнодоступним для перегляду, якщо вони не змінювали налаштування облікового запису;
• Instagram не впровадив належні політики, враховуючи потенційну шкоду, яку може завдати дітям ця платформа; 
• обробка (публікація номерів та електронних пошт) не могла здійснюватись ні як необхідна для виконання договору за ст. 6(1)(b) GDPR (обробка не може вважатись саме необхідною для виконання договору з дитиною), ні на підставі законного інтересу за ст. 6(1)(f) GDPR (обробка або не була необхідною, або, якщо її вважати необхідною, вона не пройшла тест на збалансованість, необхідний при визначенні законного інтересу).

Головний урок: GDPR встановлює спеціальні правила обробки даних для дітей і порушення таких правил може призвести до накладення особливо великого штрафу; визначення правильної підстави обробки – це основа роботи компанії; дотримання принципів privacy by design та by default є обов’язком контролера.

Висновок

Від такої кількості нулів може закрутитись голова. Але при роботі з персональними даними варто тримати її холодною, добре знаючи свій продукт. Порушення правил GDPR не завжди закінчується штрафом, і тому краще скористатися попереджувальним механізмом – проконсультуватись з досвідченими юристами, передбачити ймовірні сценарії розслідувань, підготувати аргументи і докази заздалегідь. Такий power move проллє світло на всі ризиковані моменти в практиках, пов’язаних з обробкою персональних даних, або ж допоможе правильно вийти із потенційно небезпечної ситуації при роботі на європейському ринку.