Новости

GDPR-штрафы 2020: статистика и кейсы

Автор: Наталия Комаровская 
С тех пор как Общий регламент по защите данных GDPR вступил в силу в 2018 году, различные компании были оштрафованы на более чем 220 млн евро (некоторые — даже по несколько раз). В общей неразберихе коронакризиса о требованиях регламента многие подзабыли, но контролирующие органы не дремлют. Рассказываем о самых громких GDPR штрафах за 2020 год.

Для начала немного статистики

Тройка компаний-лидеров по величине штрафов:

  1. Google (Франция) — 50 млн евро. Основная претензия предъявлялась к тому, что Google не прозрачен в раскрытии информации об использовании данных и не указывает, как он собирает и использует данные для таргетированной рекламы.
  2. H&M (Германия) — 35 млн евро. Фэшн-ритейлер оштрафован за несанкционированный сбор, хранение и обработку личной информации о сотрудниках: отпусках, болезнях, семейном положении и так далее. В результате ошибки база данных стала доступна сотрудникам и информация быстро попала в прессу, нанеся гиганту помимо космического штрафа также немалый репутационный урон.
  3. TIM (Италия) — 27 млн евро. Список нарушений итальянского мобильного оператора, затронувший более 5 млн клиентов, потянул бы на отдельную статью, в двух словах — это несанкционированное использование личных данных в маркетинговых целях (агрессивный маркетинг).

Италия вообще рекордсмен в плане сумм GDPR штрафов — за все время итальянская Garante взыскала штрафов почти на 70 миллионов евро, оставив позади Германию, Францию и Великобританию. Нидерланды в этом рейтинга занимают почетное 8 место с 3,5 млн евро.

Наибольшее количество штрафов взыскала Испания — 158 кейсов за 2020 год (в Нидерландах — всего 8 кейсов).

Наиболее частые причины GDPR штрафов:

  1. Несанкционированное использование персональных данных третьими лицами
  2. Сбор данных без информирования и получения согласия (как в случае с H&M)
  3. Ошибки, в результате которых доступ к персональных данным есть у третьих лиц (например, когда электронное письмо, содержащее персональные данные, отправлено по ошибке неправильному адресату)
  4. Отказ от сотрудничества или недостаточное сотрудничество с регулятором (несвоевременное предоставление информации регулятору, игнорирование обращений и так далее)

А как насчет Нидерландов?

Отмечается, что в 2019 году большинство сообщений о нарушениях регламента приходилось на Великобританию, Германию и Нидерланды. Тогда Нидерланды лидировали по количеству уведомлений о нарушениях на душу населения.

Как изменилась ситуация в 2020 году с учетом пандемии коронавируса, нам еще предстоит узнать. Однако на сайте Управления по защите персональных данных (АР) есть информация о GDPR штрафах 2020 года.

  1. Бюро Кредитной Регистрации (BKR) было оштрафовано на 830 000 евро, так как не предоставляло клиентам бесплатный доступ к их данным об их кредитных регистрациях в цифровом виде или по почте. Клиенты организации могли получить эти данные бесплатно лишь раз в год по почте, в остальное время за эту услугу они должны были платить, что противоречит требованиям AVG. В 2018 году за подобное нарушение на 48 000 евро оштрафовали банк TGB.
  2. Компанию, название которой умалчивается, АР оштрафовало на сумму 725 000 евро за незаконное использование сканеров отпечатков пальцев сотрудников для учета рабочего времени и посещаемости. Компания не смогла предоставить доказательств того, что сотрудники дали свое согласие на такую обработку данных.
  3. Королевскую теннисную ассоциацию АР оштрафовало на 525 000 евро за продажу спонсорам личных данных членов ассоциации. Спонсоры использовали эти данные в маркетинговых целях, связываясь с членами ассоциации по почте и телефону. Ассоциация не скрывала, что продает данные членов третьим лицам, однако субъекты данных не давали на это согласия и подали жалобу, позже к ним присоединились те, кто стал целью маркетинговых кампаний спонсоров.

Интереснейший случай нарушения Регламента по безопасности данных муниципальной службой здравоохранения (GGD) был выявлен буквально недавно — в конце января 2021 года. Выяснилось, что данные большого числа местных жителей (точное количество неизвестно), которые проходили тесты на коронавирус, были украдены и проданы третьим лицам. Речь идет о таких данных, как имена, адреса, номера телефонов, BSN-номера и результаты тестов. Арестовано пятеро подозреваемых в незаконной продаже данных, более 30 сотрудников службы здравоохранения было уволено за нарушения конфиденциальности данных при поиске, АР проводит расследование, службе здравоохранения грозит штраф и, возможно, судебные иски от пострадавших.

Медицинская информация относится к особо конфиденциальным данным, поэтому случившееся грозит немалым скандалом и проблемами — время пандемии открывает новые возможности для проверки безопасности персональных данных на прочность.

За нарушение регламента по защите данных компаниям в первую очередь грозят штрафы — до 20 млн евро. Существует две категории нарушений и соответствующие штрафы.

  1. Компании, обрабатывающие персональные данные, имеют определенные обязательства в соответствии с GDPR. Если компания не выполняет (одно из) этих обязательств, AP может наложить штраф до 10 миллионов евро или штраф в размере 2% от мирового годового оборота.
  2. Если компания нарушает принципы и основы GDPR, или права на конфиденциальность тех, чьи данные она обрабатывает? Тогда AP может наложить штраф до 20 миллионов евро или штраф в размере 4% от мирового годового оборота.

Помимо штрафов могут применяться и другие санкции:

  • Вынесение предупреждений и выговоров;
  • Введение временного или постоянного запрета на обработку данных;
  • Заказ исправления, ограничения или удаления данных;
  • Приостановка передачи данных в третьи страны.

Как видите, штрафы за несоблюдение регламента по защите данных могут больно ударить по бюджету компании, и помимо финансовых потерь компания может понести также репутационный урон. Цифровая грамотность европейского населения растет, все больше граждан знают свои права в плане безопасности данных и требуют от компаний их соблюдения. 

Если вы имеете дело с клиентами или сотрудниками, которые являются гражданами Евросоюза, мы настоятельно рекомендуем убедиться, что ваша компания обрабатывает персональные данные в соответствии с требованиями европейского регламента. Свяжитесь с нами, чтобы получить персональную консультацию по вопросам GDPR.

    Запишитесь на первичную консультацию





    Picture of Наталия Комаровская

    Наталия Комаровская


    Защита данных

    Статьи по теме


    confidencialnie_dannie
    Бизнес-стратегии  ·  Новости
    Закон о защите персональных данных (AVG)
    Новости
    3 дополнения к требованиям по обработке персональных данных во время пандемии
    Новости
    4 рекомендации по защите данных при работе дома