Три года назад вступил в силу Общий регламент по защите персональных данных Евросоюза (GDPR). Европейские нормы, регулирующие использование, обработку и хранение личной информации, считаются одними из самых эффективных в мире. Отличаются они и строгостью взысканий. Недобросовестным компаниям может грозить штраф до 20 млн евро или 4% от мирового дохода. При этом европейский регламент имеет экстерриториальное действие и может быть применен к любому оператору персональных данных резидентов и граждан ЕС, независимо от их местонахождения.
С 2018 года европейские регуляторы уже взыскали сотни миллионов евро с нарушителей. В их число входят как ретейлеры, скрывающие то, как они используют материалы с камер видеонаблюдения за сотрудниками, так и компании, нарушившие "право на забвение". Согласно ему, пользователь может потребовать удаления своих персональных данных из Сети. Однако дороже всего бизнесу обходятся утечки личной информации европейцев.
Так выглядит топ-5 штрафов за несоблюдение требований GDPR:
- Google (50 млн евро)
Google была одной из первых компаний, получивших крупное взыскание за нарушение GDPR.
Цифровой гигант был оштрафован французским регулятором за то, что его отчеты об обработке данных специально были сделаны труднодоступными и имели нечеткие формулировки.
Также Google была признана виновной в том, что пользователи не получали запросы на согласие по использованию их данных для персонализированной рекламы.
Несмотря на апелляцию, поданную компанией, в июне 2020-го высший суд Франции оставил штраф в силе.
- H&M (35,3 млн евро)
В 2020 году немецкий регулятор оштрафовал одного из крупнейших мировых ретейлеров, компанию H&M, за сбор "досье" с данными сотрудников.
Корпорация без их ведома фиксировала информацию об отпусках и больничных, а также записывала сведения из личных разговоров. Все эти материалы были доступны менеджерам H&M.
Полученная информация использовалась для создания "подробного профиля" работников, который затем мог повлиять на их трудоустройство.
- Tim — Telecom Italia (27,8 млн евро)
В начале 2020 года итальянские органы по защите данных выписали внушительный штраф в размере 27,8 млн евро крупнейшему в стране оператору связи Tim, ранее известному как Telecom Italia.
Компания злоупотребляла "агрессивным маркетингом" и была оштрафована после большого количества жалоб на назойливые рекламные звонки, поступавшие без согласия клиентов. Так, один человек мог получить до 155 вызовов за месяц.
- British Airways (23,1 млн евро)
Авиакомпания British Airways получила свой штраф в 2019 году после того, как пользователи ее сайта стали перенаправляться на мошеннический ресурс. В результате хакеры завладели логинами, адресами, данными кредитных карт, включая CVV-коды, и информацией о бронированиях около 400 000 пассажиров.
Британское Управление уполномоченного по информации (ICO) заявило, что утечка произошла в результате халатности British Airways. Сначала ICO обязал компанию выплатить рекордный штраф в размере 183,4 млн фунтов стерлингов, что составило 211,7 млн евро, но впоследствии штраф сократили до 20 млн, приняв во внимание "экономические последствия Covid-19".
- Marriott International Hotels (21,3 млн евро)
В 2018 году британскую гостиничную сеть Marriott International оштрафовали за раскрытый взлом четырехлетней давности.
Злоумышленникам удалось похитить личные данные более 300 миллионов клиентов сети, включая пароли, данные кредитных карт, номера паспортов и даты рождения.
После расследования ICO пришел к выводу, что Marriott недостаточно защитила свои системы.
Есть чему учиться
По словам Вадима Перевалова, члена Комиссии по правовому обеспечению цифровой экономики Московского отделения Ассоциации юристов России, требования GDPR и требования российского законодательства о персональных данных внешне очень похожи, но практика их применения судами и контролирующими органами радикально отличается.
"Применение GDPR выстроено вокруг нарушения прав физических лиц, в то время как большинство российских штрафов выписывается за нарушение неких формальностей (например, неправильная форма согласия на обработку персональных данных). Европейское законодательство требует открытого и понятного информирования субъектов персональных данных о том, как именно их данные будут обрабатываться, в России же закон обязывает заранее раскрывать очень незначительную информацию о планируемой обработке данных", — говорит эксперт.
В настоящее время правительство России проводит работу по актуализации действующего законодательства, направленную на усиление наказаний за киберпреступления. Так, в декабре 2020 года был принят законопроект, устанавливающий порядок и условия обработки общедоступных персональных данных, а также право субъекта персональных данных требовать их удаления из общедоступных источников.
"Европейское законодательство направлено на борьбу с утечками персональных данных, в России же эта работа пока находится в самом начале. Наконец, европейские граждане имеют реальные механизмы для предъявления многомиллионных требований к компаниям, нарушившим их права. Это очень стимулирует компании соблюдать права граждан. В России, к сожалению, адекватные механизмы защиты есть только у государства", – резюмирует Перевалов.