Согласно 33 статье GDPR, организации, работающие с персональными данными граждан ЕС, должны сообщать регулятору о любых утечках в течение 72 часов. В зависимости от нанесенного ущерба можно получить штраф до 20 миллионов евро или в размере 4% годового оборота компании. Первые штрафы выписали уже через несколько месяцев после начала действия GDPR. Однако они были далеки от максимальных. Более половины организаций не успели выполнить все требования GDPR к дедлайну. Поэтому регуляторы действовали «мягко» и рассматривали штрафы как крайнюю меру. Но все же были компании, к которым эту меру применили.
Штрафы пока относительно небольшие
С тех пор как GDPR вступил в силу, в Европе произошло почти 60 тыс. утечек персональных данных, а штрафы получила 91 организация. Примером может быть одна португальская больница. Уязвимость в системе хранения медицинских записей позволяла создавать фальшивые профили сотрудников. В результате данные пациентов оказались доступны третьим лицам. Общее число аккаунтов в системе подбиралось к тысяче, в то время как в медицинском центре работало всего 300 докторов. Больнице пришлось выплатить 400 тысяч евро штрафа за нарушение регламента. Еще одно предписание получил немецкий сайт для знакомств Knuddels. В сеть попала база данных с паролями и логинами 330 тысяч пользователей платформы. Усугубил ситуацию тот факт, что эта информация хранилась в виде незашифрованного текста. Размер штрафа составил 20 тысяч евро. В октябре прошлого года штраф за нелегальный сбор ПД получил австрийский букмекер. Видеокамера у его заведения снимала не только вход в помещение, но и часть тротуара. При этом на улице не было объявлений, предупреждающих о видеосъемке. Комиссия по защите данных посчитала это нарушением требований GDPR и обязала выплатить 4800 евро в качестве штрафа. Еще одно постановление выписали польскому подразделению маркетинговой компании Bisnode. Организация собирала информацию о местных бизнесменах из публичных источников, но не уведомляла их об этом лично. Регулятор вынес штраф в размере 220 тысяч евро и потребовал разослать всем, кто попал в базу, уведомления. Такая рассылка обойдется Bisnode минимум в 8 млн евро.
Но люди подают больше жалоб
За прошедший год европейские регуляторы получили более 200 тысяч жалоб, касающихся обработки персональных данных. С тех пор как GDPR вступил в силу, количество обращений выросло на 36%. В связи с этим количество штрафов за несоблюдение GDPR, скорее всего, будет только увеличиваться.
А кому-то совсем не везет с суммами штрафов
Например, канадской консалтинговой фирме Aggregate IQ. Британский регулятор назначил ей штраф в размере 20 млн евро за незаконный сбор данных пользователей социальных сетей. Но самый большой штраф, который выписывали регуляторы, получила Google в начале 2019 года — он составил 50 миллионов евро. Причина — путанные формулировки, касающиеся обработки персональных данных, при создании аккаунта с Android-устройств. Сейчас в Евросоюзе рассматривают и несколько других крупных дел. Первое из таких разбирательств связано с Facebook. Социальную сеть обвиняют в десяти нарушениях по GDPR. Наиболее известное из них — прошлогодняя утечка токенов для авторизации, от которой пострадали пять миллионов европейцев. Второе дело открыто против British Airways. Авиакомпания обнаружила уязвимость в системе онлайн-оплаты билетов, которая позволила хакерам получить доступ к информации о платежных картах 400 тысяч клиентов. Крупный штраф за нарушение GDPR может получить и Microsoft. ИТ-гигант без предупреждения собирал данные пользователей приложений Office (например, заголовки электронных писем) и отправлял их на американские серверы. Дело корпорации сейчас рассматривает регуляторный орган в Нидерландах.
Выводы
Стоит готовиться к тому, что в 2019 году GDPR покажет свою силу. Громких дел о нарушениях регламента станет больше. Компании должны будут начать внимательнее относиться к хранению персональных данных пользователей. Материалы по теме в нашем блоге:
Эффект GDPR: как новый регламент повлиял на IT-экосистему
Регулирование работы с персональными данными в России и Европе
Защита персональных данных: европейский подход
Что относится к персональным данным с точки зрения российского регулятора
