Новости
В 2018 году был принят General Data Protection Regulation — регламент, с помощью которого страны Евросоюза и Великобритания усиливают и унифицируют защиту персональных данных. Нововведение наделало много шума — фактически GDPR стал первым законом о конфиденциальности, предусматривающим огромные штрафы: до 20 000 000 евро или до 4 % общего оборота за предыдущий финансовый год, в зависимости от того, какая сумма выше.
Но, конечно, штрафы за нарушение конфиденциальности компании получали и до GDPR, и вне зоны его действия. Для DataArt Privacy Weeks наша коллега, Chief compliance analyst Саша Аксенова, собрала несколько интересных кейсов и штрафов: больших и маленьких, для крупных компаний, малого бизнеса и даже частных лиц.
YAHOO! И КРУПНЕЙШАЯ УТЕЧКА ДАННЫХ
Крупнейшая утечка данных стоила Yahoo! почти пяти миллиардов долларов. Атак было несколько: в 2013 и 2014 годах было взломано три миллиарда учетных записей, но компания скрывала эту информацию до 2016-го. Против Yahoo! подали более 20 судебных исков в США, и в 2019 году было достигнуто мировое соглашение на 117,5 миллионов долларов. Сокрытие информации обошлось в 35 миллионов, и более 300 миллионов компания пообещала потратить на усиление кибербезопасности с 2019-го по 2022-й.
Помимо штрафов, Yahoo! потеряла огромные деньги во время продажи: Verizon Communication планировала купить компанию за 4,8 миллиарда долларов, но после раскрытия информации о нарушении цена упала в 13,5 раз и составила всего 350 миллионов. В то же время обеспокоенность по поводу нескольких утечек данных выразили власти ряда европейских стран, а ICO (британский надзорный орган по вопросам конфиденциальности) оштрафовал филиал компании на 250 тысяч фунтов.
FACEBOOK, CAMBRIDGE ANALYTICA И КРУПНЕЙШИЙ ШТРАФ — 5 МИЛЛИАРДОВ ДОЛЛАРОВ
Пяти миллиардов достиг штраф, выплаченный Facebook Федеральной торговой комиссии США — крупнейший штраф в истории за нарушение закона о конфиденциальности. В 2018 году стало известно, что британская аналитическая компания Cambridge Analytica через свое приложение в соцсети получила доступ к личным данным 87 миллионов пользователей по всему миру и использовала их для настройки политической рекламы, в частности, во время президентской кампании в США в 2016-м и референдума о выходе Великобритании из Евросоюза.
В 2020-м Facebook заплатил штраф в 5 миллиардов долларов и пообещал пересмотреть отношение к сохранению конфиденциальности пользователей, в том числе, создать независимую комиссию, которая внимательно изучит вопрос защиты персональных данных.
100 МИЛЛИОНОВ ЕВРО ЗА COOKIES И ДРУГИЕ ШТРАФЫ GOOGLE
В 2020 году Французская национальная комиссия по информационным технологиям и правам человека (CNIL) оштрафовала Google на 100 миллионов евро за установку cookies. Онлайн-расследование показало, что когда пользователь посещал google.fr, файлы cookie автоматически сохранялись на его компьютер без согласия с его стороны, что является нарушением GDPR. CNIL предписала компании в течение трех месяцев изменить порядок информационных уведомлений о cookies, после чего с нее будет дополнительно взиматься 100 тысяч евро за каждый день задержки. Google с этими штрафами не согласен и намерен их обжаловать.
Второй крупнейший штраф по GDPR тоже принадлежит Google во Франции — 50 миллионов евро в 2019 году. Компания недостаточно прозрачно информировала пользователей об обработке их персональных данных, к тому же, эта информация была труднодоступной — разбросанной в нескольких документах, доступ к которым можно получить, перейдя по ряду ссылок. Текст соглашения об обработке персональных данных также был признан недостаточно информативным и однозначным.
Еще один штраф — 170 миллионов долларов — Google получил в США за нарушение Закона о защите конфиденциальности детей в интернете (COPPA). Компания отслеживала историю просмотров детских каналов на YouTube и использовала эту информацию для настройки рекламы.
ТОП-ШТРАФЫ ПО GDPR
Пока по суммам штрафов за нарушение конфиденциальности, полученных в Европе, лидирует Google, но есть и другие компании, которым пришлось заплатить по несколько десятков миллионов евро.
В 2020 году комиссар ведомства по защите данных и свободы информации Гамбурга (HmbBfDI) оштрафовал H&M на 35,3 миллионов евро за незаконную обработку личных данных нескольких сотен сотрудников. Компания проводила опросы и поиск по неформальным чатам, собирая деликатные персональные данные — медицинские диагнозы, религиозные убеждения, информацию о членах семьи и т. д. — для оценки сотрудников и принятия решений. Об этом стало известно из-за технического сбоя — собранные данные в течение нескольких часов оказались доступны всем сотрудникам. H&M приняла полную ответственность и согласие выплатить штраф и компенсацию сотрудникам.
Также в прошлом году итальянское агентство DPA Garante оштрафовало оператора связи TIM на 27,8 миллионов евро за агрессивную маркетинговую стратегию, от которой пострадали несколько миллионов человек. Компания отправляла сообщения, на которые клиенты не подписывались, предоставляла непрозрачную информацию об обработке персональных данных, сохраняла их дольше, чем необходимо, и игнорировала отказы от получения рекламных сообщений.
В 2019-м Управление комиссара Великобритании по информации (ICO) оштрафовало British Airways на 183 миллиона фунтов за обработку персональных данных без надлежащих мер безопасности, которая привела к утечке. Злоумышленники получили доступ к личной информации около 500 тысяч клиентов авиакомпании, включая номера и коды банковских карт. Однако штраф, объявленный крупнейшим по GDPR в Великобритании, в итоге был снижен до 20 миллионов фунтов, поскольку авиаперевозчики слишком серьезно пострадали от пандемии COVID-19.
В 2018 году такую же ошибку допустила сеть Mariott International — были украдены персональные данные 339 миллионов клиентов. В 2019-м ICO выразило намерение оштрафовать компанию на сумму более 99 миллионов фунтов, а в 2020-м снизило штраф до 18,4 миллионов, принимая во внимание ряд смягчающих факторов и воздействие пандемии на гостиничную отрасль в целом.
РАЗМЕР НЕ ИМЕЕТ ЗНАЧЕНИЯ
Логично, что самые крупные штрафы получают компании, которые собирают и обрабатывают большие объемы персональных данных. Но соответствующие органы обращают внимание не только на них.
Французское бюро переводов UnionTrad получило штраф в 20 тысяч евро за наблюдение за сотрудниками через камеры на рабочих местах. Компания не информировала ни одного из девятерых сотрудников о записи и наличии камер надлежащим образом.
В 2019 году польский орган по защите данных (DPA) наложил на одну из региональных футбольных федераций штраф в 13 тысяч евро за публикацию личных идентификационных номеров и домашних адресов 585 судей. DPA оштрафовал федерацию, несмотря на то что о нарушении она уведомила сама.
В 2020 году частный штраф в размере 600 евро за нарушение закона о конфиденциальности получил австрийский врач. В течение нескольких месяцев он без согласия пациентов публиковал выдержки из их писем, выводы и другие медицинские записи на своей странице в Facebook. Опубликованные данные включают в себя большой объем деликатных личных данных: имена пациентов и лечащих врачей, результаты анализов, диагнозы, рецепты, данные о госпитализации, номера социального страхования.
СОЦИАЛЬНЫЕ СЕТИ, ПРИЛОЖЕНИЯ И САМЫЙ МАЛЕНЬКИЙ ШТРАФ FACEBOOK
В 2019 году в США за незаконный сбор личной информации у детей на 5,7 миллионов долларов оштрафовали TikTok. Согласно федеральному закону, социальная сеть должна получать на это одобрение родителей для пользователей младше 13 лет.
В 2021 году норвежское агентство по защите данных DPA уведомило приложение для знакомств Grindr о проекте решения, налагающего штраф в 100 миллионов норвежских крон (около 10 миллионов евро). Приложение обвиняют в разглашении персональных данных пользователей без их осознанного, конкретного и добровольного согласия третьим сторонам, включая рекламные компании. Grindr возражает против штрафа и настаивает на полной прозрачности своего пользовательского соглашения.
Самый низкий штраф за нарушение закона о конфиденциальности — 3000 рублей (около 40 долларов) — Facebook получил в России в 2018 году. Через два года компания заплатила властям еще 4 миллиона (около 53 тысяч долларов) за отказ от соблюдения законодательства о локализации данных — хранения данных местных пользователей на российских серверах.