Европейский общий регламент по защите данных (GDPR) содержит требования объемом в сотни страниц и считается одним из самых жестких законов о конфиденциальности и безопасности во всем мире. Вступающий в силу с 25 мая 2018 года регламент налагает обязательства на организации в любой точке мира до тех пор, пока они работают с людьми, находящимися в ЕС или собирают данные о них.
Масштаб и сложность GDPR превратили его в пугающую перспективу для отделов комплаенса, хотя доступность инновационных программных решений помогла облегчить это бремя.
Тем не менее, нарушения серьезны, и финансовые штрафы могут достигать сотен миллионов евро. В этой статье мы рассмотрим самые крупные штрафы от GDPR за прошлый год.
1. Мета* – 405 миллионов евро (Ирландия)
Ирландская комиссия по защите данных наложила самый высокий штраф по GDPR в 2022 году на принадлежащую Meta* платформу социальной сети Instagram. Сумма в 405 миллионов евро также является вторым по величине штрафом по GDPR после штрафа Amazon в размере 746 миллионов евро в 2021 году.
Причиной штрафа послужило то, что Instagram нарушает конфиденциальность детей путем публикации адресов электронной почты и телефонных номеров. Платформа позволяла детям в возрасте от 13 до 17 лет использовать бизнес-аккаунты, где можно было получить доступ как к адресам электронной почты, так и к номерам телефонов. Кроме того, учетные записи по умолчанию не были настроены как приватные, и в некоторых случаях их могла просматривать общественность.
2. Мета* – 265 миллионов евро (Ирландия)
Ирландская комиссия по защите данных также наложила на Meta второй по величине штраф в 2022 году, когда компания была оштрафована на 265 миллионов евро. Расследование было начато в 2021 году, когда стало известно, что данные о более чем 533 миллионах пользователей были выложены в Интернет. Они содержали имена, идентификаторы Facebook, адреса электронной почты и номера телефонов людей из более чем 100 различных стран. Компания заявила, что полностью сотрудничала со следствием и внесла изменения в свои системы, чтобы предотвратить несанкционированный сбор данных в будущем.
3. Clearview AI Inc. – 20 миллионов евро (Италия)
Американская компания по распознаванию лиц Clearview AI была оштрафована итальянским регулятором конфиденциальности на 20 миллионов евро (Garante per la Protezione dei Dati Personali). Компания собирает селфи в Интернете и добавляет их в свою базу данных, насчитывающую около 10 миллиардов лиц. Это делается для создания сервисов идентификации, которые компания продаёт в правоохранительные органы. Наряду со штрафом итальянские власти обязали компанию удалить все имеющиеся у нее данные об итальянцах и запретили ей обрабатывать больше их лицевых биометрических данных.
4. Clearview AI Inc. – 20 миллионов евро (Греция)
В июле 2022 года Греческое управление по защите данных (HDPA) также оштрафовало Clearview AI на 20 миллионов евро за нарушение нескольких положений GDPR. Гражданская некоммерческая организация Homo Digitalis подала жалобу от имени субъекта данных, в которой утверждалось, что Clearview AI не обеспечила соблюдение ее права на доступ к обрабатываемым персональным данным. Это самый крупный штраф, наложенный HDPA за всю историю своей деятельности. Как и в Италии, Clearview AI также было приказано удалить все данные о субъектах в Греции, и ему было запрещено обрабатывать дополнительные биометрические данные лица.
5. Clearview AI Inc. – 20 миллионов евро (Франция)
Clearview AI пополнила свой список серьезных нарушений GDPR в 2022 году штрафом в размере 20 миллионов евро во Франции. Спустя год после того, как компания не отреагировала на приказ CNIL (французского органа по защите данных) прекратить незаконную обработку информации французских граждан и удалить все существующие данные, на нее был наложен штраф. До сих пор Clearview реагировала на все эти штрафы одинаково – отказ сотрудничать с регулирующими органами за пределами США. До сих пор компания отрицала все обвинения и утверждала, что иностранные регулирующие органы не обладают юрисдикцией в отношении ее бизнеса.
6. Мета* – 17 миллионов евро (Ирландия)
После расследования 12 уведомлений о нарушении данных, полученных за шестимесячный период в 2018 году, Ирландская комиссия по защите данных оштрафовала Meta на 17 миллионов евро за нарушение статей 5(2) и 24(1) GDPR. Было установлено, что у компании не было надлежащих технических и организационных мер, позволяющих ей легко продемонстрировать меры безопасности, которые она применяла на практике для защиты данных пользователей ЕС в контексте нарушений. Это решение стало первым случаем, когда статья 60 GDPR, требующая от всех европейских надзорных органов выступать в качестве лиц, совместно принимающих решения, была использована для разрешения дела о защите данных.
7. Google – 10 миллионов евро (Испания)
Испанское агентство по защите данных AEDP наложило на Google самый высокий на сегодняшний день штраф за незаконное раскрытие персональных данных независимому стороннему исследовательскому проекту. Штраф в размере 10 миллионов евро был наложен после того, как было установлено, что поисковый гигант передавал личные данные граждан ЕС, которые просили удалить их данные, проекту Lumen. AEDP установила, что форма удаления контента, которую Google предоставляла субъектам данных для осуществления их права быть забытыми, вводила в заблуждение. Таким образом, пользователям, запрашивающим удаление, не был предоставлен выбор в пользу передачи их информации проекту Lumen, а Google лишил их “права быть забытыми” в соответствии со статьей 17 GDPR.
* Meta и входящие в нее Facebook и Instagram признаны экстремистскими организациями, деятельность которых запрещена в РФ.
