Європейський загальний регламент про захист даних (GDPR) містить сотні сторінок вимог і вважається одним із найжорсткіших законів про конфіденційність і безпеку в усьому світі. Він набув чинності 25 травня 2018 року та накладає зобов’язання на організації в будь-якій точці світу, якщо вони збирають дані, пов’язані з жителями ЄС.
Фінансові штрафи за порушення GDPR можуть сягати сотень мільйонів євро. Нещодавно стало відомо, що в 2022 році GDPR штрафи досягли рекордного рівня. Тож у статті ми розглянули, які компанії сплатили найбільше грошей за порушення регламенту про захист даних.
1. Meta – 405 мільйонів євро (Ірландія)
Комісія із захисту даних Ірландії наклала на Instagram, що належить Meta, найвищий штраф GDPR у 2022 році в розмірі 405 мільйонів євро. Це також другий за величиною GDPR штраф за весь час після Amazon, який виплатив 746 мільйонів євро в 2021 році.
Meta була оштрафована за порушення Instagram конфіденційності дітей. Платформа дозволяла дітям віком від 13 до 17 років використовувати бізнес-акаунти, де були доступні як адреси електронної пошти, так і номери телефонів. Крім того, облікові записи не були встановлені як приватні за замовчуванням, і в деяких випадках їх могли переглядати всі користувачі соцмережі.
2. Meta – 265 мільйонів євро (Ірландія)
Знову Meta, і знову Ірландія. Минулого року було розпочато розслідування після того, як дані понад 533 мільйонів користувачів були викладені в інтернет, включаючи імена, ідентифікатори Facebook, адреси електронної пошти та номери телефонів людей у понад 100 різних країнах. Meta заявила, що повністю співпрацювала зі слідством і внесла зміни у свої системи, щоб запобігти несанкціонованому збору даних у майбутньому. Компанія також виплатила 265 мільйонів євро штрафу.
3. Clearview AI – 20 мільйонів євро (Італія)
Американську компанію з розпізнавання облич Clearview AI оштрафував італійський регулятор на 20 мільйонів євро. Компанія збирає селфі в інтернеті та додає їх до своєї бази даних із приблизно 10 мільярдами облич, щоб надавати послуги з ідентифікації в таких секторах, як правоохоронні органи. Разом із штрафом італійська влада зобов’язала компанію видалити будь-які дані про італійців.
4. Clearview AI – 20 мільйонів євро (Греція)
У липні 2022 року Управління із захисту даних Греції також оштрафувало Clearview AI на 20 мільйонів євро за порушення кількох положень GDPR. Громадська некомерційна організація Homo Digitalis подала скаргу від імені суб’єкта даних, де стверджувала, що Clearview AI не задовольнила її право на доступ до оброблених персональних даних. Як і в Італії, Clearview AI також було наказано видалити всі дані про громадян Греції та заборонено в подальшому обробляти будь-які їхні біометричні дані.
5. Clearview AI – 20 мільйонів євро (Франція)
У 2022 році Clearview AI поповнила свій список серйозних порушень GDPR штрафом у 20 мільйонів євро у Франції. Через рік після того, як компанія не відреагувала на наказ CNIL (французького органу із захисту даних) припинити незаконну обробку інформації громадян Франції та видалити будь-які існуючі дані, її було покарано. Поки що Clearview розглядала всі ці покарання однаково – відмова співпрацювати з регуляторами за межами США. Наразі компанія заперечує всі звинувачення та стверджує, що іноземні регулятори не мають юрисдикції над її бізнесом.
6. Meta – 17 мільйонів євро (Ірландія)
Після розслідування 12 повідомлень про порушення даних, отриманих протягом шести місяців у 2018 році, Комісія із захисту даних Ірландії оштрафувала минулого року Meta на 17 мільйонів євро за порушення статей 5(2) і 24(1) GDPR. Компанія не могла продемонструвати заходи безпеки, які вона застосовувала на практиці для захисту даних користувачів ЄС.
7. Google – 10 мільйонів євро (Іспанія)
Іспанське агентство із захисту даних наклало на Google штраф за незаконне розголошення особистих даних третій стороні – незалежному дослідницькому проєкту Lumen Project. Регулятор виявив, що пошуковик передає особисті дані громадян ЄС попри те, що вони вимагали видалення своїх даних. Таким чином Google порушував їхнє “право бути забутим” відповідно до статті 17 GDPR.
8. Clearview AI – 8 мільйонів євро (Велика Британія)
Після серії порушень місцевих законів про конфіденційність Clearview AI був оштрафований Управлінням інформаційного комісара приблизно на 8 мільйонів євро. Компанію також зобов’язали припинити збір та обробку персональних даних жителів Великої Британії, які є загальнодоступними в інтернеті, та видалити всю існуючу інформацію зі своїх систем.
9. Rewe – 8 мільйонів євро (Австрія)
На початку 2022 року австрійський орган із захисту даних наклав на мережу супермаркетів Rewe 8 мільйонів євро штрафу за порушення GDPR. Він стосується програми лояльності клієнтів Jö Bonus Club. Ця ж програма вже була оштрафована на 2 мільйони євро у 2021 році, коли два мільйони клієнтів не були належним чином поінформовані про подальше використання їхніх даних. Rewe оголосила, що оскаржить штраф.
10. Cosmote Mobile Telecommunications – 6 мільйонів євро (Греція)
31 січня 2022 року Управління із захисту даних Греції оштрафувало Cosmote Mobile Telecommunications, найбільшого оператора мобільного зв’язку в Греції, на 6 мільйонів євро за повідомлення про порушення даних. Після того, як у 2020 році зловмисникам вдалося викрасти персональні дані клієнтів Cosmote, регулятор розслідував обставини інциденту, дійшовши висновку, що мобільний оператор не вжив належних заходів для захисту даних, що серйозність порушення не була роз’яснена особам, яких це стосується, і що материнська компанія – Hellenic Telecommunications Organization (OTE Group) – не була включена до розслідування. Через численні порушення GDPR Cosmote було оштрафовано на 6 мільйонів євро, а OTE Group – на 3,2 мільйона євро.
Отже, як бачимо, менш серйозні порушення можуть призвести до штрафу в розмірі до 10 мільйонів євро, або 2% від річного доходу фірми. Більш серйозні порушення можуть призвести до штрафу в розмірі до 20 мільйонів євро, або 4% від річного доходу. Європейські регулятори активно дотримуються закону та накладають штрафи з небаченою раніше швидкістю.
Вас також зацікавить – GDPR: на що звернути увагу українським компаніям при виході на ринок ЄС