GDPRの導入以降、何が起こりましたか?

公開: 2019-03-21

2018年5月の25に、ほぼ10ヶ月前、欧州の一般的なデータ保護規制が施行されました。 導入によって引き起こされた巨大な誇大宣伝の後、あなたは新しい規制がまったく効果があったかどうか疑問に思うかもしれません。 実際、多くのことが起こり、罰金や警告が課され、多くの訴訟が提起されています。

データ保護の問題が侵害されている場所の概要を説明するために、GDPRに基づいて罰金、注意、係争中の訴訟を収集しました。

GDPRに基づいて課せられる罰金

ケース1:ユーザーデータの盗難–ドイツ

チャットプラットフォーム「Knuddels」がハッキングされ、この情報が暗号化されずに保存されたため、パスワード、仮名、および電子メールアドレスが盗まれました。 暗号化されていないデータの保存は、個人データの保護が不十分です。 これは、デフォルトプライバシーの原則に違反し、GDPRで要求される設計によるプライバシーに違反します

この場合に課せられる罰金は20,000ユーロになります。
出典:ユーザーデータの盗難–ドイツ(ドイツ語)

ケース2:健康データの公開–ドイツ

おそらく意図しない間違いが原因で、個人の健康データにオンラインでアクセスできるようになりました。 (この場合、詳細は明らかにされていません。)この場合も、不十分な保護措置が講じられたため、デフォルトのプライバシーと設計によるプライバシーの原則に違反していました。

ここでの罰金は80,000ユーロに達しました。
出典:健康データの公開–ドイツ語ドイツ語

ケース3:Googleのユーザー承認の欠落/誤った–フランス

これまでで最高の罰金がGoogleに課されました。 この訴訟は、GDPRが発効した日に提起されました。 この場合、罰金は、情報と透明性を提供する義務の違反と、パーソナライズされた広告を使用する法的根拠の欠如に基づいていました。

この場合、課せられる罰金は50,000,000ユーロになります。
Quelle:Googleのユーザー承認の欠如
CNIL(フランスのデータ保護機関)の公式コミュニケーション

GDPRの発効以来、ドイツでは合計41件の罰金が15,000ユーロから100,000ユーロの範囲で課されています。 罰金はいくつかの要因によって正当化されました:

  • 過度のハッカー攻撃が発生した場合に、予約システムからのクレジットカードまたはその他の顧客データが開示された可能性を排除できないホテルによって、不十分な技術的および組織的措置が講じられました。
  • 内部統制メカニズムが不十分なため、インターネット上で健康データ公開している。
  • ヒューマンエラー:病院による間違った患者への健康データの開示、
  • ブレーメン州の消防隊へのすべての発信および着信通話の記録
  • オンラインバンキングを使用する権限のない人への口座明細書の開示
  • 受け入れられない広告メール
  • Webショップへのハッカー攻撃中の顧客データの不正コピー
  • 不正なDashcamの使用
  • 開いている電子メール配布リスト
  • 顧客と従業員の不正なビデオ監視

ヨーロッパでは、GDPRの発効以来、合計91件の罰金が科されています。

GDPRが発効してからの注意と判断

ケース1:暗号化されていないWebサイト

ヴュルツブルクの地方裁判所は、25万ユーロの罰金の脅威の下で、弁護士が暗号化せずに、また十分なデータ保護宣言なしに彼女のWebサイトを使用することを禁じました。
出典:暗号化されていないウェブサイト(ドイツ語)

ケース2:Facebookカスタムオーディエンスの使用

バイエルン州データ保護局は、オンラインショップが「Facebookカスタムオーディエンス」を使用することを禁止しました。 評決は「Verwaltungsgericht」と「Verwaltungsgerichtshof」によって確認されました。 ここに記載されている理由は、訪問者の同意なしに個人データを使用したためです。

出典: Facebookカスタムオーディエンスの使用(ドイツ語)

GDPRによる係争中の訴訟

  • Instagram (ベルギー):理由:情報が不十分で、同意が強制されている、欠落している、または不十分である。
  • WhatsApp (ハンブルク):理由:情報が不十分で、同意が強制されている、欠落している、または不十分である。
  • Facebook (オーストリア):理由:情報が不十分であり、同意が強制されている、欠落している、または不十分である。
  • オーストリア:オーストリア銀行は、顧客の保存された個人データをその顧客のために取得するために30ユーロを請求します。 裁判所は原告に有利な判決を下し、銀行はその判決を高等裁判所である連邦行政裁判所に上訴しました。 ここでの裁判所の決定の理由は、保存された個人データの無料開示の権利を付与することを拒否したことでした。
  • 欧州司法裁判所:米国への転送は米国の法律に従ってNSAによって傍受される可能性があるため、 US-EUプライバシーシールド(Facebookの例)の使用に対する訴訟。
  • 英国とアイルランド: GoogleとIABは、広告のリアルタイムビッダー(RTB)で訴えられました。 原告によると、RTBシステムは、ユーザーの同意なしに、毎日数千億の個人データポイントを他のシステムと共有しています。 「虐待、近親相姦、HIVステータス」などの機密データも共有されます。 原告によると、IABはそのシステムがGDPRに準拠していないことを事前に知っていました。 一方、グーグルは、ユーザーの同意を得るために、広告を表示するウェブサイトに義務を渡そうとします。

出典:
https://noyb.eu/
https://mashable.com/article/gdpr-google-iab-complaint-evidence-update/?europe=true

GDPRが発効して以来、59,000を超えるデータ漏洩ヨーロッパのデータ保護当局に報告さています。 報告されたデータ漏洩の数が最も多い国は、15,400件のデータ漏洩があったオランダ、12,600件のドイツ、10,600件の英国です。 35件の報告があるキプロス、25件のアイスランド、15件のリヒテンシュタインは、データ漏洩が最も少ない国です。

バイエルン州データ保護監督局(BayLDA)は、40のハイリーチ企業のWebサイトをチェックして、ユーザーの同意と文書化に関してGDPRに準拠しているかどうかを確認しました。 40社のWebサイトのいずれも、ユーザーの同意を取得してユーザー情報を修正するプロセスを正しく実装していませんでした。 ここでも、訴訟や注意の脅威があります。

ご覧のとおり、過去10か月間、データ保護の分野で多くのことが起こっています。 新しいデータ保護規則は、ユーザーが個人データを保護するための重要な法的根拠を提供します。 したがって、企業は新しいデータ保護要件準拠するように求められ、十分にアドバイスされています

GDPRと新しい要件は、EU市民にサービスと製品を提供するスイス企業にも適用されることに注意してください。