До і після GDPR: 15 штрафів за порушення законів про конфіденційність

3 березня
Саша Аксьонова, Chief compliance analyst
До і після GDPR: 15 штрафів за порушення законів про конфіденційність
У 2018 році було ухвалено General Data Protection Regulation — регламент, за допомогою якого країни Євросоюзу і Великобританія підсилюють та уніфікують захист персональних даних. Нововведення наробило багато галасу — фактично GDPR став першим законом про конфіденційність, що передбачає величезні штрафи: до 20 000 000 євро або до 4 % загального обороту за попередній фінансовий рік, дивлячись на те, що більше.

Але, звісно, штрафи за порушення конфіденційності компанії отримували і до GDPR, і поза зоною його дії. Для DataArt Privacy Weeks наша колега, Chief compliance analyst Саша Аксьонова, зібрала 15 цікавих кейсів і штрафів: великих і маленьких, для великих компаній, малого бізнесу і навіть приватних осіб.

YAHOO! ТА НАЙБІЛЬШИЙ ВИТІК ДАНИХ

Найбільший витік даних коштував Yahoo! майже п'ять мільярдів доларів. Атак було декілька: у 2013 і 2014 роках було зламано три мільярди облікових записів, але компанія приховувала цю інформацію до 2016-го. Проти Yahoo! подали понад 20 судових позовів у США, а у 2019 році було досягнуто мирової угоди на 117,5 мільйонів доларів. Приховування інформації коштувало компанії 35 мільйонів, і понад 300 мільйонів вона пообіцяла витратити на посилення кібербезпеки з 2019-го по 2022-й.

Крім штрафів, Yahoo! втратила величезні гроші під час продажу: Verizon Communication планувала купити компанію за 4,8 мільярди доларів, але після розкриття інформації про порушення ціна впала у 13,5 разів і склала лише 350 мільйонів. Водночас стурбованість з приводу декількох витоків даних висловили уряди декількох європейських країн, а ICO (британський наглядовий орган з питань конфіденційності) оштрафував філію компанії на 250 тисяч фунтів.

FACEBOOK, CAMBRIDGE ANALYTICA ТА НАЙБІЛЬШИЙ ШТРАФ — 5 МІЛЬЯРДІВ ДОЛАРІВ

П'яти мільярдів сягнув штраф, виплачений Facebook Федеральній торговій комісії США — найбільший штраф у історії за порушення закону про конфіденційність. У 2018 році стало відомо, що британська аналітична компанія Cambridge Analytica через свій додаток у соцмережі отримала доступ до особистих даних 87 мільйонів користувачів по всьому світу та використовувала їх для налаштування політичної реклами, зокрема, під час президентської кампанії у США у 2016-му та референдуму про вихід Великобританії з Євросоюзу.

У 2020-му Facebook заплатив штраф і пообіцяв переглянути ставлення до збереження конфіденційності користувачів, зокрема створити незалежну комісію, яка уважно вивчить питання захисту персональних даних.

100 МІЛЬЙОНІВ ЄВРО ЗА COOKIES ТА ІНШІ ШТРАФИ ​​GOOGLE

У 2020 році Французька національна комісія з інформаційних технологій і прав людини (CNIL) оштрафувала Google на 100 мільйонів євро за встановлення cookies. Онлайн-розслідування показало, що коли користувач відвідував google.fr, файли cookie автоматично зберігалися на його комп'ютері без згоди з його боку, що є порушенням GDPR. CNIL наказала компанії протягом трьох місяців змінити порядок інформаційних повідомлень про cookies, після чого з неї буде додатково стягуватися 100 тисяч євро за кожен день затримки. У Google з цими штрафами не згодні та мають намір їх оскаржити.

Другий найбільший штраф за GDPR теж належить Google у Франції — 50 мільйонів євро у 2019 році. Компанія недостатньо прозоро інформувала користувачів про обробку їхніх персональних даних, до того ж ця інформація була важкодоступною — розкиданою в декількох документах, доступ до яких можна було отримати, перейшовши за низкою посилань. Текст угоди про обробку персональних даних також був визнаний недостатньо інформативним і однозначним.

Ще один штраф — 170 мільйонів доларів — Google отримав у США за порушення Закону про захист конфіденційності дітей в інтернеті (COPPA). Компанія відстежувала історію переглядів дитячих каналів на YouTube та використовувала цю інформацію для налаштування реклами.

ТОП-ШТРАФИ ​​ЗА GDPR

Наразі за сумами штрафів за порушення конфіденційності, отриманих у Європі, перше місце посідає Google, але є й інші компанії, яким довелося заплатити по декілька десятків мільйонів євро.

У 2020 році комісар відомства із захисту даних і свободи інформації Гамбурга (HmbBfDI) оштрафував H&M на 35,3 мільйонів євро за незаконну обробку особистих даних декількох сотень співробітників. Компанія проводила опитування і пошук по неформальних чатах, збираючи делікатні персональні дані — медичні діагнози, релігійні переконання, інформацію про членів сім'ї тощо — для оцінки співробітників і ухвалення рішень. Про це стало відомо через технічний збій — зібрані дані протягом декількох годин були доступні всім співробітникам. H&M прийняла повну відповідальність та згодна виплатити штраф і компенсацію співробітникам.

Також минулого року італійське агентство DPA Garante оштрафувало оператора зв'язку TIM на 27,8 мільйонів євро за агресивну маркетингову стратегію, від якої постраждали декілька мільйонів людей. Компанія надсилала повідомлення, на які клієнти не підписувались, надавала непрозору інформацію про обробку персональних даних, зберігала їх довше, ніж необхідно, та ігнорувала відмови від отримання рекламних повідомлень.

У 2019-му Управління комісара Великобританії з питань інформації (ICO) оштрафувало British Airways на 183 мільйони фунтів за обробку персональних даних без належних заходів безпеки, яка призвела до витоку. Зловмисники отримали доступ до особистої інформації близько 500 тисяч клієнтів авіакомпанії, зокрема номерів і кодів банківських карт. Однак штраф, оголошений найбільшим за GDPR у Великобританії, у підсумку було знижено до 20 мільйонів фунтів, оскільки авіаперевізники занадто серйозно постраждали від пандемії Covid-19.

У 2018 року такої самої помилки припустилась мережа Mariott International — було вкрадено персональні дані 339 мільйонів клієнтів. У 2019-му ICO висловило намір оштрафувати компанію на суму понад 99 мільйонів фунтів, а у 2020-му знизило штраф до 18,4 мільйонів, беручи до уваги ряд пом'якшуючих факторів і вплив пандемії на готельну галузь загалом.

РОЗМІР НЕ МАЄ ЗНАЧЕННЯ

Логічно, що найбільші штрафи отримують компанії, які збирають та обробляють великі обсяги персональних даних. Але відповідні органи звертають увагу не лише на них.

Французьке бюро перекладів UnionTrad отримало штраф у розмірі 20 тисяч євро за спостереження за співробітниками через камери на робочих місцях. Компанія не інформувала жодного з 9 співробітників про запис і наявності камер належним чином.

У 2019 польський орган із захисту даних (DPA) наклав на одну з регіональних футбольних федерацій штраф у розмірі 13 тисяч євро за публікацію особистих ідентифікаційних номерів і домашніх адрес 585 суддів. DPA оштрафував федерацію, незважаючи на те що про порушення вона повідомила сама.

У 2020 році особистий штраф у розмірі 600 євро за порушення закону про конфіденційність отримав австрійський лікар. Протягом декількох місяців він без згоди пацієнтів публікував витримки з їхніх листів, висновки та інші медичні записи на своїй сторінці у Facebook. Опубліковані дані містять великий обсяг делікатних особистих даних: імена пацієнтів і лікарів, результати аналізів, діагнози, рецепти, дані про госпіталізацію, номери соціального страхування.

СОЦІАЛЬНІ МЕРЕЖІ, ЗАСТОСУНКИ ТА НАЙМЕНШИЙ ШТРАФ FACEBOOK

У 2019 році у США за незаконний збір особистої інформації у дітей на 5,7 мільйони доларів оштрафували TikTok. Відповідно до федерального закону, соціальна мережа повинна отримувати на це схвалення батьків для користувачів віком до 13 років.

У 2021 році норвезьке агентство із захисту даних DPA повідомило застосунок для знайомств Grindr про проект рішення, що накладає штраф у розмірі 100 мільйонів норвезьких крон (близько 10 мільйонів євро). Застосунок звинувачують у розголошенні персональних даних користувачів без їхньої усвідомленої, конкретної та добровільної згоди третім сторонам, зокрема рекламним компаніям. Grindr заперечує штраф та наполягає на цілковитій прозорості своєї користувацької угоди.

Найнижчий штраф за порушення закону про конфіденційність — 3000 рублів (близько 40 доларів) — Facebook отримав у Росії в 2018 році. За два роки компанія заплатила владі ще 4 мільйони (близько 53 тисяч доларів) за відмову від дотримання законодавства про локалізацію даних — зберігання даних місцевих користувачів на російських серверах.