Google оштрафовали на 50 миллионов евро за нарушение GDPR
Помимо массовых нарушений данных у всемирно известных компаний и множества продолжающихся скандалов в Facebook, 2018 стал годом, когда защита персональных данных стала одной из главных тем в СМИ во всем мире. И этому серьезно способствовало вступление 25 мая 2018 года в силу нового европейского законодательства по защите персональных данных (GDPR).
Помимо имиджевых рисков, нарушение GDPR также влечет за собой огромные штрафы: до 20 миллионов евро или 4% от валового годового оборота компании. Потребности корпоративной информационной безопасности переходят от реагирования на инциденты к их предотвращению и защите хранящихся персональных данных. После того как данные были извлечены, уже недостаточно просто реагировать: единственный способ предотвратить последствия нарушения GDPR – это соответствовать его требованиям, опережая инциденты с персональными данными (персонально идентифицируемой информацией, PII).
А ближе к концу 2018 года стали появляются первые штрафы. Самым крупным штрафом (до текущего момента) оставался штраф в размере 400 000 евро, наложенный на госпиталь в Португалии. Однако на этой неделе, 21 января 2019 года мы стали свидетелями первого многомиллионного (в евро) штрафа. И более того, он был наложен на одну из самых значимых компаний в мире: Google.
Google и инцидент с принудительным согласием
Французское агентство по защите данных CNIL (Commission Nationale de l’Informatique et des Libertés) оштрафовало Google LLC на 50 миллионов евро за нарушение требований GDPR о прозрачности и отсутствие действующей правовой основы для обработки персональных данных в рекламных целях.
Данный штраф гораздо больше, чем просто «шлепок по рукам». Впрочем, несмотря на крупную сумму, он все же намного меньше, чем он мог бы быть, учитывая, что материнская компания Google – Alphabet – имела в 2017 году доход в размере 97,5 миллиардов евро, а потому максимальный размер штрафа мог бы быть в пределах 3,9 миллиардов евро.
Еще одним важным аспектом данного инцидента является тот факт, что GDPR предусматривает проведение расследования любого инцидента в той стране, где расположен главный офис компании. Хотя европейская штаб-квартира Google находится в Ирландии, CNIL не считает, что она принимает окончательные решения по вопросам обработки персональных данных. Это означает, что жалоба составлена непосредственно против Google LLC в США.
Обе жалобы были связаны с принудительным согласием: в них утверждается, что компания не имеет прочной правовой базы для обработки персональных данных своих пользователей, т.к. она заставляет их согласиться с условиями обработки данных, которые они не понимают.
Согласно CNIL, когда пользователи создают аккаунт Google на мобильном устройстве с Android, они получают много информации, требуемой GDPR (категории персональных данных, цели обработки данных и пр.), но при этом они утверждают, что данная информация “сильно разбросана по разным документам с различными кнопками и ссылками, на которые требуется нажать для доступа к дополнительной информации».
«Соответствующая информация доступна только после выполнения ряда шагов, которых иногда требуется 5 или 6», - говорится в заявлении CNIL. В нем также утверждается, что информация, предлагаемая Google, является очень расплывчатой и носит достаточно общий характер в том месте, где пользователям объясняется, как будут использоваться их данные. Кроме того, есть определенный недостаток информации, связанной с тем, как долго эти данные будут храниться.
Другая проблема – это наличие «флажка» «Я согласен с условиями сервиса Google» вместо набора «флажков» с более детальными опциями.
CNIL приходит к выводу, что Google не имеет фактического действующего разрешения от своих пользователей, т.к. согласие не было «конкретным» и «недвусмысленным», как это предполагается требованиями GDPR.
Как избежать миллионных штрафов
Одним из первых шагов на пути по соблюдению требований GDPR является обеспечение надлежащей защиты персональных данных, которые хранит и обрабатывает ваша компания. Для начала надо четко знать, где хранятся эти персональные данные и кто имеет к ним доступ.
Например, модуль по защите данных Panda Data Control для корпоративного решения Panda Adaptive Defense позволяет решить этот вопрос. Panda Data Control идентифицирует все файлы, которые содержат персональные данные и регистрирует любой доступ к ним, предоставляя администраторам уведомления в реальном времени об их утечках и использовании, а также подозрительном или несанкционированном доступе к ним (трафике).
Panda Data Control помогает вашей компании соответствовать определенным положениям GDPR, включая право на удаление, уведомление надзорного органа о нарушении персональных данных и оценку воздействия защиты данных. В настоящий момент данный модуль уже доступен для пользователей из многих стран Евросоюза, и мы ожидаем его локализации для России и стран бывшего СССР в будущем.
Этот штраф, наложенный на Google, является первым многомиллионным (в евро) штрафом в рамках GDPR, но он не будет последним: мы все еще ожидаем увидеть, что случится в случаях с British Airways и Marriott, а также с многочисленными инцидентами в Facebook.
Если вы не знаете, как защитить персональные данные, украденные из вашей корпоративной сети, и хотите сохранить имидж вашей компании и защитить ее от штрафов с астрономическими значениями, то рекомендуем вам использовать решения, подобные модулю Panda Data Control.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.