Нарушение требований GDPR: причины, последствия и примеры

23.06.2023

Общий регламент защиты данных (GDPR) был принят Европейским Советом и Европейским Парламентом 27 апреля 2016 года. Это было самым значительным изменением в европейском законодательстве о защите данных с 1998 года.

Следует отметить, что целью GDPR является не наказание бизнеса, а защита персональной информации людей и расширение их прав и полномочий по собственным конфиденциальным данным.

Независимо от того, находится ли ваш бизнес в одной из стран ЕС, или он обслуживает его граждан, вам нужно внедрить изменения. Кроме этого, следует соблюдать требования GDPR, если вы:

хотите улучшить уровень обслуживания клиентов и увеличить доход компании;
еще не имеете компании, которая функционирует, но вы планируете создать стартап;
являетесь разработчиком мобильных приложений или веб-сайтов;
используете целевую рекламу, социальные медиа и другие инструменты онлайн-маркетинга для привлечения новых клиентов.

Что произойдет, если ваша компания не будет придерживаться своих обязательств в соответствии с GDPR? В этой статье мы рассмотрим виды штрафов и нарушений в соответствии с регламентом, а также поговорим о возможных последствиях.

Нарушение требований GDPR

Виды штрафов в соответствии с GDPR

Выполнение своих обязательств по GDPR может показаться сложной задачей, но просто игнорировать регуляторные нормы – это не вариант. Компании, которые их нарушают, могут быть оштрафованы. Общий регламент защиты данных разработан для применения ко всем типам бизнеса и любая организация, независимо от ее размера, несет значительную ответственность. Ниже мы рассмотрим структуру административных штрафов, способ их начисления и виды нарушений, которые могут привести к наказанию.

GDPR имеет два уровня штрафов, определенных в статьях 83 и 84. Первый уровень — это менее серьезные нарушения, наказываемые наложением штрафа в размере до 10 миллионов евро или 2% мирового годового дохода компании за предыдущий финансовый год (в зависимости от того, какая сумма больше). К первому уровню штрафов относятся нарушения статей, которые регулируют:

Контроллеры и обработчики. Организации, собирающие и контролирующие данные (контролеры), а также те, с которыми заключен контракт на обработку данных (обработчики), должны соблюдать правила защиты данных, придерживаться законной основы обработки информации и т.п.
Органы сертификации. Уполномоченные органы по сертификации должны быть беспристрастными и соблюдать законодательство.
Мониторинговые органы. Органы, назначенные соответствующим уровнем, должны демонстрировать беспристрастность и соблюдать установленную процедуру рассмотрения жалоб о нарушении.

Второй уровень штрафов налагается за нарушения, противоречащие самим принципам права на конфиденциальность. Несоблюдение правил может привести к наложению штрафа в размере до 20 миллионов евро, или 4% мирового годового дохода фирмы за предыдущий финансовый год (в зависимости от того, какая сумма больше). К ним относятся любые нарушения статей, которые регулируют:

Основные принципы обработки данных. Обработка данных должна производиться законным, справедливым и прозрачным способом. Организациям разрешается обрабатывать данные, если случай соответствует одному из шести законных оснований. В частности, запрещена обработка определенных типов персональных данных, таких как: расовое происхождение, политические взгляды, религиозные убеждения, членство в профсоюзах, сексуальная ориентация, состояние здоровья, биометрические данные.
Условия соглашения. Если обработка данных оправдана согласием человека, компания должна это подтвердить соответствующими документами.
Права субъектов данных. Люди имеют право знать, какие данные собирает компания и где она их использует. Человек имеет право получить копию собранных данных, внести в них изменения, а в некоторых случаях удалить. Кроме того, человек также имеет право передать свои данные другой организации.
Передача данных международной организации или получателю в третьей стране. Прежде чем компания передаст какие-либо персональные данные третьей стране или международной организации, Европейская комиссия должна решить, что эта страна или организация обеспечивает соответствующий уровень защиты.
Любое нарушение законов государств-членов, принятых в соответствии с Главой 9. Глава 9 предоставляет государствам-членам ЕС возможность принимать дополнительные законы о защите данных, если они соответствуют GDPR. Любое нарушение этих законов также чревато наложением административного штрафа.
Невыполнение распоряжения надзорного органа. Если организация не выполняет распоряжение контролирующих органов GDPR, то ей грозит наложение еще большего штрафа (независимо от того, каким по тяжести было первоначальное нарушение).

Следовательно, штрафы первого уровня будут применены, если компания не предоставит инвентаризацию деятельности по обработке данных, не сотрудничает с надзорным органом или не сообщает личную информацию о деятельности.

Второй уровень применяется, если компания не сможет продемонстрировать соответствие основным принципам, таким как применение справедливых условий получения согласия, не обрабатывает персональные данные для законных целей, не уважает права субъектов данных или передает персональные данные получателю в третьей стране без гарантий.

Критерии начисления штрафов GDPR

Решение о штрафах обычно принимает надзорный орган в каждом конкретном случае, и решение о наложении штрафов должно включать такие факторы, как:

характер, тяжесть и продолжительность нарушения;
нарушение является преднамеренным или из-за халатности;
категории персональных данных, к которым это относится;
количество субъектов данных и влияние на них;
меры, предпринятые для защиты данных;
уровень сотрудничества с контролирующим органом;
соблюдение отраслевых стандартов;
история предварительных нарушений.

Если регуляторы определят, что организация имеет несколько нарушений GDPR, она будет наказана только за самое серьезное из них (при условии, что все нарушения являются частью одной операции обработки).

Примеры нарушения GDPR: репутационный ущерб

Кроме потенциального штрафа, компания может понести серьезный репутационный ущерб. Потребители хотят знать, что они имеют дело с организациями, которые серьезно относятся к защите их данных. Итак, если вы не соблюдаете правила, вы рискуете оттолкнуть потенциальных клиентов от своей компании. Ниже мы рассмотрим несколько примеров нарушений правил GDPR всемирно известными брендами.

Instagram

Второй по величине штраф GDPR был наложен на Instagram уполномоченным органом Ирландии. Так, платформу оштрафовали на 405 миллионов евро за нарушение правил обработки данных детей без правовых оснований. Нарушение состоит в том, что номера телефонов и адреса электронной почты детей от 13 до 17 лет были размещены в открытом доступе.

В ответ Instagram заявил, что не согласен с размером и причиной начисления штрафа.

Google

Испанский орган по защите данных Agencia Española de Protección de Datos (AEPD) оштрафовал Google на 10 миллионов евро. AEPD обнаружила, что Google без разрешения пользователей передавал данные, собранные от граждан ЕС, исследовательскому проекту Lumen, базирующемуся в Соединенных Штатах. Кроме того, форма, которую пользователи должны были заполнить, чтобы удалить свою информацию, была сложной, что нарушало право пользователей на удаление личных данных.

В Google заявили, что компания пересмотрит свою деятельность на соответствие положениям о конфиденциальности.

Uber

Популярную компанию по обслуживанию поездок Uber оштрафовали итальянские органы защиты данных на 4,24 миллиона евро. В 2016 году компания Uber потерпела утечку данных. В открытом доступе оказалась следующая информация: имя, фамилия, номер телефона, электронный адрес, учетные данные для доступа к программе, данные локализации и данные, связанные с другими пользователями, например обмен поездками. В Италии от этого пострадали 52 000 водителей и 243 000 пассажиров.

Итальянское DPA обнаружило, что Uber нарушил GDPR. Политика конфиденциальности, предлагаемая Uber своим пользователям, была несовершенной. Кроме того, Uber обрабатывал данные без согласия пользователей.

В ходе рассмотрения дела в представительстве компании заявили, что Uber всегда предоставлял своим пользователям информацию о том, как выполняется обработка данных, а политика конфиденциальности всегда обновлялась. Однако аргументов Uber было недостаточно для избежания санкций GDPR.

Vodafone España

Испанское агентство по защите данных AEPD оштрафовало Vodafone España за нарушение правил GDPR. AEPD обнаружила, что методы, которые Vodafone использовал для дублирования SIM-карт, нарушали права людей по конфиденциальности путем передачи личных данных третьей стороне. Расследование также выявило, что Vodafone не соблюдал достаточные меры безопасности, что увеличило риск кражи личных данных. Vodafone не согласился и заявил, что его приоритетом является конфиденциальность клиентов.

WhatsApp

Комиссия по защите данных Ирландии (DPC) исследовала процессы обработки данных WhatsApp и выявила многочисленные нарушения, повлекшие штраф в размере 225 миллионов евро. DPC определил, что WhatsApp не смог обеспечить надлежащую прозрачность для пользователей по использованию данных. DPC также обнаружил, что WhatsApp не предоставил пользователям достаточно четкую политику конфиденциальности.

WhatsApp обжаловал решение DPC, утверждая, что пользователям предоставляется полная и чёткая информация об использовании данных. Решение DPC также столкнулось с возражением со стороны других стран ЕС, включая Францию, Германию и Италию.

Согласно правилам, штраф не может уменьшиться, даже если апелляция повлечет за собой какие-либо изменения. Европейский совет по защите данных приказал DPC переоценить штраф и установить еще более высокую сумму штрафа.

Выводы

Следует отметить, что не все нарушения требований GDPR приводят к наложению штрафов. Надзорные органы имеют ряд корректирующих полномочий и санкций для обеспечения соблюдения правил. К ним относятся:

Вынос предупреждений и выговоров.
Наложение временного или постоянного запрета на обработку данных.
Приказ об исправлении, ограничении или удалении данных;
Приостановка передачи данных в третьи страны.

Кроме того, субъекты данных имеют право подать судебный иск против контролера или процессора, если он или она считает, что его или ее права в соответствии с GDPR были нарушены. Несмотря на это, не рекомендуем испытывать судьбу: подготовьте свою компанию к новым реалиям, чтобы избежать значительных последствий в будущем.