Американская ФАС начинает расследование по случаю «слива» персональных данных американцев против CEO Drizly

WP обращает внимание на участившуюся практику применения персональных постановлений американской ФАС в делах с утечкой данных и злоупотреблениях с персональными данными клиентов. От главы ФАС, известного антимонопольного юриста из Йеля - Lina Khan, сразу ждали активных действий для обуздания технологических компаний. Однако, как отмечает Lina и даже ее предшественник, ФАС мало что может сделать, так как в США отсутствует Федеральный закон о защите персональных данных, который позволял бы ФАС назначать штрафы. Любые постановления ФАС не включают в себя денежный штраф за их невыполнение.

Необычное решение американской ФАС начать расследование в отношении физического лица - главы компании по доставке алкоголя Drizly - James Cory Rellas, свидетельствует о новом подходе службы к делам по злоупотреблению в отношении безопасности персональных данных.

ФАС намеревается привлечь к ответственности CEO Drizly за нарушение безопасности обращения с персональными данными после заявления сервиса доставки алкоголя, что из-за сбоев в системе безопасности были раскрыты персональные данные 2,5 млн клиентов.

Предполагаемое постановление ФАС будет включать в себя требование от Drizly CEO James Cory Rellas внедрить во все его будущие виды бизнеса, которыми он будет управлять и собирать персональные данные более чем о 25 000 клиентов, системы безопасности данных. Постановление также будет распространено на текущую компанию, являющуюся дочкой Uber. Согласно предписаниям американской ФАС Rellas и Drizly будут обязаны уничтожить персональные данные клиентов, не являющиеся необходимыми для бизнеса компании, внедрить систему контроля за новыми данными клиентов и провести обучение работников основам кибербезопасности.

Кейс с James Cory Rellas дает понять, что ФАС под руководством Lina Khan может использовать широкий набор мер для борьбы с злоупотреблениями в области безопасности персональных данных. От Lina Khan ждут более жесткого контроля над технологической индустрией. Дело Rellas подтверждает тренд, что Демократы требуют усилить персональную ответственность за утечку персональных данных. Ранее Демократы критиковали ФАС за соглашение с Facebook в скандале с Cambridge Analytica, так как служба не объявила виновником скандала главу Facebook - Mark Zuckerberg.

Совместное заявление Lina Khan и специального уполномоченного Alvaro M. Bedoya: «Сегодняшнее постановление дает явный сигнал: защита персональных данных американцев является обязанностью, а не доброй волей компании. Она должна стать приоритетом для главы любой компании. И такое требование становится все более важным по мере роста компании».

Члены ФАС проголосовали за постановление большинством голосов. Christine Wilson, представитель республиканцев, не согласилась назвать James Cory Rellas ответственным по делу. Она заявила, что такое решение ФАС «заменит собой самостоятельную расстановку приоритетов компанией и систему принятия решений».

Lina Khan пришла в ФАС, испытывая давление от Демократов, чтобы заставить технологические компании обеспечить безопасность персональных данных американцев. Но ее полномочий недостаточно, так как в стране отсутствует Федеральный Закон о защите персональных данных, который позволял бы штрафовать компании за его нарушение. Постановление в отношении Drizly и Rellas не включает в себя штраф, если требования постановления не будут выполнены.

ФАС искала способы использовать такие постановления в отношении нарушителей защиты персональных данных, чтобы привлечь компании к ответственности. Такие постановления имеют свои ограничения и судя по тому, что утечки персональных данных повторяются, такие меры ФАС не эффективны и не воспринимаются компаниями серьезно. Текущий и бывший руководители ФАС считают, что служба не обладает достаточной технической и кадровой экспертизой, чтобы эффективно контролировать выполнение компаниями постановлений

ФАС ищет способы сделать свои решения обязательными для нарушителей и заставить компании применять более серьезные меры по защите персональных данных. Сотрудники Drizly будут обязаны использовать мультифакторную аутентификацию для получения доступа к данным клиентов, а также внедрят новые методы контроля доступа к этим данным.

Drizly обвиняют в хранении ключевых паролей и логинов для входа в среду разработки на сервисе GitHub. При этом ФАС уже выносила аналогичное постановление против «мамы» сервиса – Uber - за такую же практику. ФАС также утверждает, что в Drizly нет ответственного за обеспечение безопасности данных.

Есть несколько примеров, когда ФАС применяла персональные меры за нарушение безопасности онлайн данных. В 2019 году ФАС инициировала расследование в отношении оператора онлайн программ лояльности ClixSense и заключила соглашение с оператором об обязательных мерах по защите данных в будущих проектах. В том же году ФАС вынесла постановление в отношении игрового вэб сайта, которое обвинила в нарушении закона о защите детей до 13ти лет в интернете.

Чаще ФАС выносила решения в отношении руководителей или компаний, подозреваемых в мошеннических действиях. В прошлом году ФАС вынесла постановление в отношении бывшего главы MoviePass, подозреваемого в мошеннических способах продажи подписки на кинотеатр.

Ссылка на статью: https://www.washingtonpost.com/technology/2022/10/24/ftc-drizly-privacy-violations/