Крупнейшие штрафы за нарушение GDPR в 2019 г.

8 января 2020 г., 13:45

Новое законодательство о защите персональных данных граждан Евросоюза (GDPR) вступило в силу в мае 2018 г. Оно предусматривает крупные штрафы в размере до 4% годового оборота компании или до 20 млн. евро для нарушителей.

И хотя первые штрафы в рамках GDPR были наложены еще в 2018 г., только с 2019 г. размеры подобных санкций превысили 1 млн. евро. Panda Security собрала шесть крупнейших инцидентов на текущий момент.

British Airways
Страна: Великобритания
Штраф: 204 110 000 €
Нарушенная статья GDPR: 32

В июле авиакомпания British Airways была оштрафована на 183 млн. фунтов стерлингов со стороны «Управления комиссара Великобритании по информации (ICO)» за нарушение данных, которое произошло в сентябре 2018 г. Злоумышленникам удалось украсть персональную информацию примерно 500 тыс. клиентов авиакомпании. Эти данные содержали имена, номера банковских карт и их коды CVV, а также адреса электронной почты. Статья 32 закона требует, чтобы компании внедряли технические и организационные меры для обеспечения безопасности информации.

Marriott International
Страна: Великобритания
Штраф: 118 714 808 €
Нарушенная статья GDPR: 32

В конце ноября 2018 г., Marriott International стала главным героем на тот момент второго по величине нарушения данных за всю историю. Были украдены персональные данные 339 млн. клиентов. Хакеры получили доступ к данным отеля с 2014 г.

Согласно результатам расследования, проведенного «Управлением комиссара Великобритании по информации», украденные данные содержали сведения о примерно 30 млн. клиентов из 31 страны Европейской экономической зоны. Считается, что уязвимость в защите стала использоваться с 2014 г., когда был скомпрометирован Starwood Hotel Group, а Marriott купила Starwood в 2016 г. Комиссар по информации Элизабет Денхэм объяснила: «GDPR четко дает понять, что организации должны нести ответственность за хранящиеся у них персональные данные. Это также подразумевает и проведение тщательной юридической экспертизы при совершении корпоративной сделки по приобретению».

Штраф, наложенный на Marriott International, составил 99 200 396 фунтов стерлингов.

Google
Страна: Франция
Штраф: 50 000 000 €
Нарушенные статьи GDPR: 5, 6, 13, 14

Национальная комиссия по информации и свободе CNIL (Commission Nationale de l’Informatique et des Libertés), являющаяся агентством по защите данных во Франции, в январе оштрафовала Google на 50 млн. евро за нарушение установленных в GDPR правил прозрачности и за отсутствие действующей правовой основы для обработки персональных данных в рекламных целях. По мнению CNIL, пользователи Google не получили достаточной информации об использовании их данных. Более того, согласие, получаемое компанией Google, не является ни «конкретным», ни «однозначным».

Österreichische Post
Страна: Австрия
Штраф: 18 000 000 €
Нарушенные статьи GDPR: 5, 6

В октябре австрийская почтовая компания Österreichische Post получила штраф в размере 18 млн. евро за создание профилей около трех миллионов человек, в которых содержалась информация об их адресах, личных предпочтениях и политической принадлежности. Затем эти профили были проданы политическим партиям и другим компаниям. Нарушенные статьи GDPR, указанные выше, связаны с получением правовой основы для обработки данных.

Deutsche Wohnen
Страна: Германия
Штраф: 14 500 000 €
Нарушенные статьи GDPR: 5, 25

30 октября комиссар Берлина по защите данных и свободе информации (Berliner Beauftragte für Datenschutz und Informationsfreiheit) наложил штраф на компанию Deutsche Wohnen, занимающуюся недвижимостью, в размере 14,5 млн. евро в связи с удержанием данных. Немецкая компания хранила персональные данные своих клиентов дольше, чем это было необходимо, не имея для этого достаточных правовых оснований. Это противоречит праву на удаление данных, закрепленному в GDPR.

1&1 Telecom
Страна: Германия
Штраф: 9 550 000 €
Нарушенная статья GDPR: 32

В декабре немецкий федеральный комиссар по защите данных и свободе информации (BfDI) оштрафовал телекоммуникационную компанию 1&1 Telecom на 9,5 млн. евро. Компания не смогла реализовать необходимые технические и организационные меры для защиты персональных данных в своих контакт-центрах: было установлено, что достаточно просто можно было получить информацию о клиентах, указав их ФИО и дату рождения. По данным BfDI, такого уровня аутентификации было недостаточно для надлежащей защиты клиентских данных.

Как избежать штрафа за нарушение GDPR

Чтобы гарантировать соответствие требованиям GDPR, любая компания, которая хранит и обрабатывает персональные данные, должна обеспечить наличие достаточных для этого правовых оснований, а также сообщать клиентам о целях обработки полученных от них персональных данных. Другой важный аспект для соблюдения соответствия требованиям GDPR – это всегда точно знать, где находятся персональные данные и кто имеет к ним доступ.

Крупнейшие штрафы за нарушение GDPR в 2019 г.