Материал подготовили консультанты компании Data Privacy Office. Приводим процессы IT-компаний и продуктов в соответствие GDPR.
Большинство санкций по GDPR возникают из-за того, что о приватности задумываются только как о формальной галочке, как о наличии ссылки на Privacy Notice внизу сайта, а не как о практических мерах, поэтому зачастую до сотрудников компании просто не доходит информация о том, как работать с персональными данными.
Предоставлять ли человеку доступ к его данным, если он к нам обратился с такой просьбой? Удалять данные или оставить, чтобы потом пустить маркетинговую рассылку? Тратиться ли на шифрование? Вовлекать ли в работу над приватностью разработчиков или не тратить их время?
Ниже представлены примеры штрафов, вынесенных надзорными органами в разных странах ЕС, которые однозначно дают ответы на эти вопросы.
Право на доступ — Iberia Lae SA Operadora Unipersonal — 40 000 евро
12 августа 2017 г. заявитель воспользовался правом на доступ к своим персональным данным в компании Iberia (испанский авиаперевозчик). В частности, он запросил доступ к четырем записям телефонных разговоров 8, 9 и 11 августа 2017 года, на что компания ответила, что «не может удовлетворить его просьбу, кроме как по представлению судебного решения». Субъект подал жалобу в испанский надзорный орган, который установил, что было нарушено право субъекта и порядок взаимодействия с надзорным органом по ст. 58 GDPR. В итоге авиаперевозчик был оштрафован на 40 000 евро и согласился с санкцией.
Период хранения и меры безопасности — Digi Távközlési Szolgáltató Kft. — 288 000 евро
Венгерский поставщик услуг электронной связи стал объектом внимания надзорного органа сразу по ряду статей GDPR. Компания создала базу данных для устранения инцидента в области информационной безопасности, однако после его устранения база не была удалена. Персональные данные пользователей были сохранены в используемых системах без цели и правового основания обработки. Кроме того, компания не применила надлежащие технические и организационные меры в области безопасности данных, а именно отсутствовало шифрование персональных данных и была возможность с использованием уязвимости, через общедоступный веб-сайт digi.hu получить доступ к базам данных. Надзорный орган наложил штраф в 100 000 000 форинтов, что на момент обнаружения нарушения было эквивалентно 288 000 евро.
Период хранения и проектируемая приватность — Deutsche Wohnen SE — 14 500 000 евро
Во время инспекций в июне 2017 года и марте 2019 года берлинский надзорный орган установил, что компания использовала систему архивирования для хранения персональных данных арендаторов, в которой не было возможности удалять данные, которые больше не требовались. Персональные данные арендаторов были сохранены без их согласия на хранение и в отдельных случаях хранились по несколько лет и, следовательно, могли просматриваться без первоначальной цели. Это были данные о личном и финансовом положении арендаторов, такие как справки о заработной плате, выписки из трудовых и учебных договоров, данные о налогах, социальном и медицинском страховании и выписки из банковского счета. После того, как комиссар по защите данных в Берлине вынес срочную рекомендацию изменить систему архивирования, компания также не смогла очистить свою базу данных.
Информационная безопасность — Telenor Norge AS — 134 000 евро
Норвежский надзорный орган возбудил дело на основании информации о том, что телекоммуникационная компания Telenor обнаружила брешь в защите в функции голосовой почты. В течение нескольких лет существовала возможность взламывать мобильные ответы с помощью «спуфинговых сервисов» и подслушивать сообщения примерно 1,3 миллиона мобильных абонентов в Норвегии. Ранее за нарушение закона об электронных коммуникациях по тем же обстоятельствам Национальное управление связи приняло решение о пошлине в размере 1,5 млн норвежских крон, что эквивалентно 134 000 евро. Чтобы предотвратить наказание компании дважды за одно и то же нарушение, надзорный орган объявил выговор.
Биометрия — Неизвестная организация — 725 000 евро
Организация требовала, чтобы ее сотрудники сканировали свои отпечатки пальцев для регистрации посещаемости. Однако, как указано в решении нидерландского надзорного органа по защите данных, организация не может полагаться на исключения из обработки этой особой категории персональных данных, а компания не могла предоставить никаких доказательств того, что сотрудники дали свое согласие на эту обработку данных.
Ограничение доступа — Sapienza Università di Roma — 30 000 евро
Университет уведомил итальянский надзорный орган о том, что предоставил идентификационные данные двух человек, которые сообщили о возможном незаконном поведении в университете. Нарушение было связано с отсутствием адекватных технических мер контроля доступа в системе управления, которая не ограничивала доступ к таким данным только уполномоченному персоналу. Университет был оштрафован на 30 000 евро.
Проектируемая приватность — unicredit BANK SA — 130 000 евро
Штраф в 130 000 евро был вынесен за нарушение при проектировании приватности (Privacy by Design), что привело к раскрытию идентификаторов в режиме онлайн и транзакций 337 042 субъектов данных. Систему онлайн-банкинга спроектировали так, что получателю платежа без нужды показывались адрес и паспортные данные плательщика. Румынский надзорный орган подчеркивает, что при разработке и проектировании приложений, услуг и продуктов, которые основаны на обработке персональных данных, производители должны быть поощрять право на защиту персональных данных. Видеопояснение: https://www.youtube.com/watc? v=RDTd2rW-dEg
Информационная безопасность — 1&1 Telecom GmbH — 9 550 000 евро
В случае 1 & 1 Telecom GmbH немецкому надзорному органу стало известно, что звонившие в службу поддержки клиентов компании могут получить обширную информацию о других личных данных клиента, просто указав имя и дату рождения клиента. Надзорный орган расценил это как нарушение статьи 32 GDPR, согласно которой компания обязана принимать соответствующие технические и организационные меры для систематической защиты обработки персональных данных. Компания пошла на сотрудничество с органом и пересмотрела процедуру аутентификации, которая была значительно улучшена с точки зрения технологий и защиты данных, однако несмотря на эти меры, было решено наложить штраф.
Обязательства по прозрачности и отсутствие прав обработки данных — Google Inc — 50,000,000
Французский надзорный орган обнаружил два типа нарушений GDPR: нарушение обязательств по прозрачности (информация, предоставленная Google, не является легкодоступной для пользователей, некоторая информация не всегда ясна и полна) и неверное правовое основание для обработки персонализации рекламы. Компания Google заявляет, что она получает согласие пользователя на обработку данных в целях персонализации рекламы. Однако, согласие пользователей недостаточно информировано и не является ни «конкретным», ни «однозначным».
Топ-3 самых больших штрафов по GDPR
- Amazon — 746 000 000 евро
Управление по защите данных Люксембурга (CNPD) оштрафовало Amazon на рекордные 746 миллионов евро в результате 19 страничной жалобы от французской группы по защите приватности «La Quadrature du Net» в 2018 году. В жалобе от имени более чем 10 000 потребителей указано, что Amazon манипулирует клиентами в коммерческих целях, выбирая, какую рекламу и информацию они получают.
Представители Amazon заявили: «Обеспечение безопасности информации наших клиентов и их доверия являются главными приоритетами. Нарушения безопасности не было, и никакие данные клиентов не передавались третьим лицам. Эти факты неоспоримы. Мы категорически не согласны с решением CNPD и намерены подать апелляцию».
- British Airways — 204 600 000 евро
Штраф относится к инциденту, о котором British Airways уведомил надзорный орган в сентябре 2018 года. Этот инцидент частично связан с перенаправлением трафика пользователей с сайта British Airways на мошеннический сайт, через который злоумышленники собирали данные о клиентах. Персональные данные приблизительно 500 000 клиентов были скомпрометированы в этом инциденте. Расследование надзорного органа показало, что плохая система безопасности в компании скомпрометировала различную информацию, включая данные для входа в систему, платежную карту и данные о бронировании поездки, а также информацию об имени и адресе. British Airways сотрудничала с расследованием и усовершенствовала свои меры безопасности.
Комиссар по информации Элизабет Денхэм: «Персональные данные людей на то и персональные. Когда организация не может защитить ее от потери, повреждения или кражи, это больше, чем просто неудобство. Вот почему закон говорит однозначно — когда вам доверяют персональные данные, вы должны заботиться о них. Те же, кто не будет этого делать, будут подвергаться проверке со стороны моего офиса на предмет принятия соответствующих мер по защите основных прав на приватность».
- Marriott International, Inc — 110 390 200 евро
Штраф относится к инциденту, о котором Marriott уведомил надзорный орган в ноябре 2018 года. В результате этого инцидента были раскрыты различные персональные данные, содержащиеся примерно в 339 миллионах гостевых записей во всем мире, из которых около 30 миллионов относятся к жителям 31 страны в Европейской экономической зоне (ЕЭЗ), из которых семь миллионов связаны с жителями Великобритании.
Комиссар по информации Элизабет Денхэм: «GDPR ясно дает понять, что организации должны нести ответственность за персональные данные, которые они хранят. Она может включать проведение надлежащей юридической экспертизы при корпоративном приобретении и внедрении надлежащих мер по обеспечению подотчетности для контроля не только за тем, какие персональные данные были получены, но и за тем, как они защищены».
Не повторяйте ошибок и цените приватность своих клиентов и партнёров 💜
Есть вопрос по защите персональных данных? Пишите в комментариях или на [email protected].