Max Home IndustryПрошло три года с момента введения в действие европейского закона о конфиденциальности и безопасности данных 25 мая 2018 года GDPR.
GDPR регулирует то, как организации, работающие в ЕС, могут использовать, обрабатывать и хранить личные данные потребителей.
Сначала более мелкие фирмы и стартапы опасались, что у них нет достаточных ресурсов, чтобы полностью соблюдать его правила.
Другие критики полагали, что закон слишком полагается на то, что потребители знают и понимают свои права.
С момента его запуска комиссары по информации по всей Европе наложили штрафы на сотни миллионов евро.
Преступления включали в себя розничные торговцы, искажающие представление о том, как они используют камеры видеонаблюдения для наблюдения за сотрудниками, и компании, не соблюдающие закон о «праве на забвение».
Законодательство заменило старые законы о защите данных, и, хотя он был разработан в Европе, регулирующие органы могут штрафовать организации в любой точке мира, которые нацелены или собирают данные в ЕС.
Существует два уровня штрафов, максимальная сумма которых составляет 20 млн евро (17,29 млн фунтов стерлингов) или 4% от общемирового дохода.
Собранные деньги используются для финансирования государственных услуг. Вот самые крупные штрафы, зафиксированные на данный момент:
1. British Airways (211,7 млн евро)
British Airways была оштрафована в 2019 году после того, как пользователи ее веб-сайта были перенаправлены на мошеннический сайт.
Благодаря утечке данных хакеры смогли собрать личные данные около 500 000 потребителей.
Утечка данных включала данные для входа в систему и бронирования путешествий, имена, адреса и данные кредитной карты.
Управление комиссара по информации (ICO) заявило, что взлом был результатом халатности British Airways.
Алекс Круз, председатель и главный исполнительный директор авиакомпании, сказал, что он был «удивлен и разочарован» первоначальными результатами ICO.
«British Airways быстро отреагировала на преступное деяние по краже данных клиентов. Мы не обнаружили никаких доказательств мошенничества / мошенничества на счетах, связанных с кражей», — сказал он.
«Мы приносим извинения нашим клиентам за неудобства, причиненные этим мероприятием».
2. Marriott International Hotels (110,3 млн евро)
Британская гостиничная сеть Marriott International была оштрафована в 2018 году за взлом, совершенная в 2014 году, но раскрыта была только четыре года спустя.
В результате взлома были обнаружены личные данные около 300 миллионов клиентов, включая информацию о кредитных картах, номера паспортов и даты рождения.
После расследования ICO постановило, что Marriott не сделала достаточно для защиты своих систем.
3. Google (50 млн евро)
Google была одной из первых компаний, на которую был наложен значительный штраф GDPR.
Компания была оштрафована после того, как французский регулирующий орган постановил, что компании не удалось сделать свои отчеты об обработке данных потребителей легкодоступными для пользователей.
Технологический гигант также был признан виновным в том, что не запрашивал согласия своих пользователей на использование их данных для целевых рекламных кампаний.
4. H&M (35,3 млн евро)
H&M была оштрафована немецкими регулирующими органами в 2020 году после того, как выяснилось, что она тайно контролирует сотни своих сотрудников.
Если работники брали отпуск или отпуск по болезни, они должны были по возвращении присутствовать на встрече со старшим персоналом в розничном гиганте.
Эти встречи записывались и делались доступными для менеджеров H&M без ведома персонала.
Данные, собранные в ходе интервью, были использованы для создания «подробного профиля» работников, который затем повлиял на решения, касающиеся их трудоустройства.
5. Amazon (35 млн евро)
Французский регулирующий орган оштрафовал Amazon за нарушение согласия на использование файлов cookie.
Выяснилось, что технический гигант размещал файлы cookie на устройствах пользователей без их разрешения.
Он также не смог предоставить достаточно информации о файлах cookie или о том, как посетители французского веб-сайта могут отказаться от них.
Куда уходят деньги GDPR?
В Великобритании все штрафы, выплачиваемые ICO, выплачиваются в фонд центрального правительства, принадлежащий Казначейству.
Консолидированный фонд — это общий банковский счет правительства в Банке Англии.
Он был основан в 1787 году с целью стать «единым фондом, в который будут поступать все потоки государственных доходов и из которого будут поступать все услуги».
Это означает, что, как и налоговые поступления, штрафы GDPR используются для финансирования государственных услуг.
Большинство других стран ЕС используют аналогичную структуру.
Роб Эллисс из технологической компании Thales говорит, что, несмотря на успехи в наложении значительных штрафов, GDPR столкнется с большими проблемами в мире после коронавируса.
«Когда GDPR был впервые разработан, законодательство не обязательно учитывало внедрение новых технологий и быструю миграцию в облако, вызванную пандемией», — сказал он.
«В эту эпоху удаленной работы предприятиям необходимо было осуществить цифровую трансформацию почти в мгновение ока, просто чтобы свет был включен, без обязательного включения безопасности в разработку новых систем и процессов».