Самые крупные многомиллионные штрафы за нарушение GDPR в 2019 году

Новое законодательство о защите персональных данных граждан Евросоюза (GDPR) вступило в силу в мае 2018 года. Оно совершило революцию в защите персональных данных и помогло повысить уровень осведомленности об этой важной теме. Закон устанавливает крупные штрафы в размере до 4% годового оборота компании или до 20 миллионов евро для тех организаций, которые нарушают данные правила.

Хотя мы узнали о ряде штрафов в рамках GDPR еще в 2018 году, но только с 2019 года мы стали свидетелями штрафов в размере свыше 1 миллиона евро. Ниже мы рассмотрим шесть самых крупных штрафов на текущий момент, а также статьи GDPR, которые были нарушены в каждом конкретном случае.

В июле авиакомпания British Airways была оштрафована на 183 миллиона фунтов стерлингов со стороны Управления комиссара Великобритании по информации (ICO) за нарушение данных, которое произошло в сентябре 2018 года. Злоумышленникам удалось украсть персональную информацию примерно 500 000 клиентов авиакомпании. Эти данные содержали имена, номера банковских карт и их коды CVV, а также адреса электронной почты. Статья 32 закона требует, чтобы компании внедряли технические и организационные меры для обеспечения безопасности информации.

В конце ноября 2018 года , Marriott International стала главным героем на тот момент второго по величине нарушения данных за всю историю. Были украдены персональные данные 339 миллионов клиентов. Хакеры получили доступ к данным отеля с 2014 года.

Согласно результатам расследования, проведенного Управлением комиссара Великобритании по информации, украденные данные содержали сведения о примерно 30 миллионах клиентов из 31 страны Европейской экономической зоны. Считается, что уязвимость в защите стала использоваться с 2014 года, когда был скомпрометирован Starwood Hotel Group, а Marriott купила Starwood в 2016 году. Комиссар по информации Элизабет Денхэм объяснила : «GDPR четко дает понять, что организации должны нести ответственность за хранящиеся у них персональные данные. Это также подразумевает и проведение тщательной юридической экспертизы при совершении корпоративной сделки по приобретению».

Штраф, наложенный на Marriott International, составил 99 200 396 фунтов стерлингов.

Национальная комиссия по информации и свободе CNIL (Commission Nationale de l’Informatique et des Libertés), являющаяся агентством по защите данных во Франции, в январе оштрафовала Google LLC на 50 миллионов евро за нарушение установленных в GDPR правил прозрачности и за отсутствие действующей правовой основы для обработки персональных данных в рекламных целях. По мнению CNIL, пользователи Google не получили достаточной информации об использовании их данных. Более того, согласие, получаемое компанией Google, не является ни «конкретным», ни «однозначным».

В октябре австрийская почтовая компания Österreichische Post AG получила штраф в размере 18 миллионов евро за создание профилей около трех миллионов человек, в которых содержалась информация об их адресах, личных предпочтениях и политической принадлежности. Затем эти профили были проданы политическим партиям и другим компаниям. Нарушенные статьи GDPR, указанные выше, связаны с получением правовой основы для обработки данных.

30 октября комиссар Берлина по защите данных и свободе информации (Berliner Beauftragte für Datenschutz und Informationsfreiheit) наложил штраф на компанию Deutsche Wohnen , занимающуюся недвижимостью, в размере 14,5 миллионов евро в связи с удержанием данных. Немецкая компания хранила персональные данные своих клиентов дольше, чем это было необходимо, не имея для этого достаточных правовых оснований. Это противоречит праву на удаление данных, закрепленному в GDPR.

В декабре немецкий федеральный комиссар по защите данных и свободе информации (BfDI) оштрафовал телекоммуникационную компанию 1&1 Telecom на 9,5 миллионов евро. Компания не смогла реализовать необходимые технические и организационные меры для защиты персональных данных в своих колл-центрах: было установлено, что достаточно просто можно было получить информацию о клиентах, указав их ФИО и дату рождения. По данным BfDI, такого уровня аутентификации было недостаточно для надлежащей защиты клиентских данных.

Чтобы гарантировать соответствие требованиям GDPR, любая компания, которая хранит и обрабатывает персональные данные, должна обеспечить наличие достаточных для этого правовых оснований, а также сообщать клиентам о целях обработки полученных от них персональных данных. Другой важный аспект для соблюдения соответствия требованиям GDPR – это всегда точно знать, где находятся персональные данные и кто имеет к ним доступ.

Решение Panda Adaptive Defense имеет дополнительный модуль Panda Data Control, который проводит обнаружение, аудит и мониторинг неструктурированных персональных и конфиденциальных данных на компьютерах: неиспользуемых данных, используемых данных и перемещаемых данных. Более того, этот модуль помогает компаниям соблюдать ряд важных статей GDPR, включая статью 32, за нарушение которой были оштрафованы вышеуказанные компании British Airways, Marriott и 1&1 Telecom.

В результате все более активного использования персональных данных вероятность нарушения статей GDPR по защите персональных данных граждан Евросоюза и наложения штрафа со стороны соответствующей государственной структуры по контролю за защитой данных достаточно высоки – это всего лишь вопрос времени. Сделайте все, чтобы ваша компания, если она хранит и обрабатывает персональные данные граждан Евросоюза, не стала следующей жертвой нарушения данных, а для этого используйте Panda Data Control.

Оригинал статьи: The GDPR in 2019: the year of the million euro fine

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
https://www.cloudav.ru