За нарушение GDPR наказывают активнее — свежие штрафы и влияние регламента за пределами ЕС

    Рассказываем, кого наказали регуляторы, как и на что это может повлиять.


    / фото Marco Verch CC BY

    GDPR вступил в силу более года назад. За это время Еврокомиссия выписала почти сотню штрафов — общая сумма превысила десятки млн евро. О некоторых из них мы рассказывали в прошлый раз.

    Сегодня продолжаем тему — говорим о свежих «письмах счастья», и обсуждаем влияние, которое оказывает Общий регламент по защите данных на регулирование в других странах.

    Новые штрафы


    Интересно, что один из самых свежих выписали компании IDdesign, продающей мебель. Организация нарушила требование пятой статьи GDPR. Там сказано, что хранить персональные данные пользователей можно не дольше, чем того требуют цели обработки. В IDdesign своевременно не удалили данные 385 тыс. клиентов. Эта возможность не была реализована в новой CRM-системе компании. В итоге мебельный магазин получил самый крупный штраф, который выписывал датский регулятор с момента вступления GDPR в силу, — 200 тыс. евро.

    За аналогичное нарушение в Литве наказали платёжный сервис MisterTango. Компания не удалила персональные данные клиентов, когда нужда в их обработке отпала. Плюс сотрудники компании не сообщили регулятору о прошлогоднем инциденте, когда информация о 9 тыс. платежных операциях случайно оказалась в открытом доступе. MisterTango обязали выплатить 61 тыс. евро.

    В Германии штраф получила транспортная компания Kolibri Image. Её обязали выплатить 5 тыс. евро за нарушение, связанное с ошибкой при оформлении документации. Другой штраф в 2 тыс. евро выписали частному лицу. Пользователь отправил электронное письмо большому числу получателей, установив его тип как CC (копия), а не BCC (скрытая копия). В результате адреса почты увидели другие получатели. Эту ситуацию расценили как утечку персональных данных.

    К слову, аналогичное нарушение зафиксировали в Великобритании несколькими годами ранее. Только в этом случае штраф (в размере 180 тыс. фунтов) получила клиника для больных ВИЧ. Тогда штраф был выписан согласно директиве Data Protection Directive, которую заменил GDPR. Есть мнение, что при GDPR организации пришлось бы выписывать чек на гораздо большую сумму.

    Эффективен ли GDPR


    Представители Еврокомиссии считают, что за прошедший год GDPR доказал свою эффективность. По их словам, регламент помог обратить внимание пользователей на проблему безопасности данных. К примеру, количество обращений, регистрируемых британским регулятором, за прошедший год увеличилось почти вдвое — с 21 тыс. до 41 тыс.

    Но в ИТ-индустрии есть мнение, что GDPR всего лишь создал еще один рынок для юридических фирм и консультантов. По словам Бьорна Шторморкена (Bjørn Stormorken), финансового директора шведской социальной платформы Idka AB, главная цель, которую преследуют компании в новых условиях, не безопасность данных. Это — желание удовлетворить требования GDPR с минимальными затратами.

    Некоторые регуляторы не спешат наказывать нарушителей. Порядка десяти стран Евросоюза не выписали ни одного штрафа по GDPR. Среди них числятся: Бельгия, Хорватия, Чехия, Финляндия, Испания и др. Часть государств ограничилась относительно небольшими санкциями. В Латвии максимальное взыскание на сегодняшний день равняется 2 тыс. евро, а в Болгарии — 5 тыс.

    Хотя эксперты говорят, что в будущем можно ожидать резкого увеличения количества штрафов и их размеров. Уже сейчас в Ирландии изучают дела нескольких крупных американских ИТ-компаний. Вероятно, по ним будут вынесены положительные решения.

    Влияние GDPR за пределами ЕС


    По стопам GDPR пошли многие государства, проработав свои законы по защите данных. В прошлом году соответствующий законопроект представили в Индии. Авторы говорят, что документ составлялся с учетом особенностей регулирования ИТ в стране, но был привнесен и зарубежный опыт. Другой пример — CCPA, который одобрили в Калифорнии. Об этих двух законопроектах мы рассказывали в нашем блоге — тут и тут.


    / фото Alexander Gerst CC BY-SA

    Закон, аналогичный GDPR, решил внедрить Китай — его финальную версию представили в начале этого года. Авторы закона сами говорят, что он был создан «по мотивам» GDPR. Его цель — дать жителям Китая больше контроля над их персональными данными.

    Китайские регуляторы уже начали оценивать «масштабы проблемы». С января они проверяют популярные приложения для смартфонов и смотрят, собирают ли те лишнюю информацию о пользователях. Проверки коснулись сервисов доставки еды, такси и навигаторов.

    Некоторые считают, что новый закон позволит привести к общему знаменателю 200 других нормативных актов, касающихся кибербезопасности. Однако профессор Чи Аими (Qi Aimiс) из Чунцинского университета все же отметил, что новый законопроект не должен копировать GDPR, поскольку в Китае гораздо больше интернет-пользователей и одна из самых развитых в мире цифровых экономик.

    Как себя проявит китайский законопроект, и какое влияние он окажет на мировое сообщество — покажет время. Закон, очень похожий на китайский уже подготовили во Вьетнаме. А в Танзании тесно сотрудничают с китайскими законодателями, отвечающими за киберпространство.



    О чем мы пишем в нашем Telegram-канале:


    Другие материалы о регулировании ПД в нашем блоге:



    ИТ-ГРАД
    157,71
    vmware iaas provider
    Поделиться публикацией

    Комментарии 12

      +2
      «Закон против Гугла» говорили они
      «Малый бизнес кошмарить никто не будет» говорили они
        0
        там даже отдельным личностям перепало персонально, вне рамок всякого бизнеса.
          0
          С этой личностью какой-то странный случай описан. Как e-mail может в этом случае быть персональными данными, если не указано чей именно этот адрес? Просто список адресов будет указан в адресатах письма.
          0
          С одной стороны, это может быть немного грустно для бизнеса, плюс возможен некоторый риск потери данных и сервисов для пользователей из-за банкротства компании. Но с другой — приходилось читать слишком много ответов от небольших и средних компаний вида «Мы решили ускорить разработку, безопасность не нужна сейчас» или «У нас нет денег на безопасность, отдайте информацию об уязвимостях бесплатно» (после такого становится понятно, что у них нет ни проверок, ни аудитов). И при этом компании очень хорошо себя рекламируют, а у пользователей нет почти никаких инструментов реального давления на эти компании.
          –2
          По стопам GDPR пошли многие государства, проработав свои законы по защите данных.

          Тема 152-ФЗ не раскрыта. Хотелось бы сравнение с GDPR увидеть.

            +1
            Другой штраф в 2 тыс. евро выписали частному лицу. Пользователь отправил электронное письмо большому числу получателей, установив его тип как CC (копия), а не BCC (скрытая копия). В результате адреса почты увидели другие получатели. Эту ситуацию расценили как утечку персональных данных.

            Инетересный прецендент.
            Кстати, как государство проверяет это? У них тоже есть операторы перс.данных? Или приходят люди в погонах, опечатывают технику и начинают искать перс.данные?

            Вообще да интересно бы посмотреть сравнение со 152-ФЗ. Так то его тут хейтили изо всех сил, а оказывается и в «развитых европейских еще строже». Глядишь и закон о чебурнете окажется не попыткой «устроить гулаги в каждом доме», а всего лишь необходимостью. Особенно на фоне демонстранции дружественными государствами своей киберсилы на примере Ирана.
              0
              По заявлениям от физ. лиц в основном там открывают дела и выносят постановления. А у нас регуляторы обсуждают как раз значительное повышение штрафов по аналогии с GDPR. Думаю, что к осени в этом плане будет какая-то ясность.
              +1

              Интереснее всего, штрафуют ли организации, которые вообще к EU отношения не имеют, но на их сайты заходят пользователи из EU?
              Судя по данной инфе, под колпаком только европейские конторы.

                0
                gdpr-info.eu/art-3-gdpr
                «This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union»

                Похоже, что нет. Не уверен на 100% (просьба меня поправить, если что-то не так), но похоже, что действие GDPR предполагается на всю планету для граждан ЕС. Из своего опыта: при заходе на различные сайты не-ЕС фирм с ЕС адресов у некоторых фирм появляется сообщение а-ля «Нам очень важны ЕС клиенты, но пока наша обработка данных не соответствует GDPR, поэтому к сожалению в данный момент сайт для вас недоступен»
                  0

                  Да, официально все под колпаком. Приходилось по работе добавлять сообщение о куках на японский сайт! Японский, Карл! Там весь контент на мунспике был. Но в логах были IP из EU.
                  Поэтому и интересно, как это работает по факту.

                0
                платёжный сервис MisterTango. Компания не удалила персональные данные клиентов
                С одной стороны иногда требуют отчитаться за перевод 22 летней давности, с другой стороны штрафуют что оставляешь данные о нем. Жесть.
                  0
                  > С одной стороны иногда требуют отчитаться за перевод 22 летней давности, с другой стороны штрафуют что оставляешь данные о нем. Жесть.

                  GDPR не распространяется на данные пользователей которые компания должна хранить согласно другим законам.
                  Т.е. если есть закон по которому может быть надо предоставлять данные 22 летней давности — GDPR не страшен.

                  Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                  Самое читаемое