Что произошло с момента введения GDPR?

С 25 - ^го мая 2018 года, почти десять месяцев назад Европейский Генеральный регламент о защите данных вступил в силу. После огромного ажиотажа, вызванного представлением, вы можете задаться вопросом, возымели ли новые правила какой-либо эффект. На самом деле произошло много всего, наложены штрафы и предупреждения, подано множество судебных исков.

Чтобы дать вам обзор того, где нарушаются вопросы защиты данных, мы собрали штрафы, предупреждения и ожидающие судебные иски на основе GDPR.

Штрафы, налагаемые на основании GDPR

Случай 1: Кража пользовательских данных - Германия

Чат-платформа Knuddels была взломана, а пароли, псевдонимы и адреса электронной почты были украдены, поскольку эта информация хранилась в незашифрованном виде. Незашифрованное хранение данных - недостаточная защита личных данных. Это нарушает принцип конфиденциальности по умолчанию и конфиденциальность в соответствии с требованиями GDPR.

В этом случае наложенный штраф составляет 20 000 евро.
Источник: Кража пользовательских данных - Германия (немецкий)

Случай 2: Публикация данных о состоянии здоровья - Германия

Вероятно, из-за непреднамеренной ошибки личные данные о здоровье стали доступны в Интернете. (Никаких дополнительных подробностей по этому делу не разглашается.) В этом случае также были нарушены принципы конфиденциальности по умолчанию и конфиденциальности по дизайну, поскольку были приняты неадекватные меры защиты.

Штраф здесь составил 80 000 евро.
Источник: Публикация данных о состоянии здоровья - немецкий язык ( Германия).

Случай 3. Отсутствие / ошибочное одобрение пользователя Google - Франция

Самый высокий на сегодняшний день штраф был наложен на Google. Этот иск был подан в день вступления в силу GDPR. В данном случае штраф был основан на нарушении обязанности предоставлять информацию и прозрачность, а также на отсутствии правовой основы для использования персонализированной рекламы.

В этом случае наложенный штраф составляет 50 000 000 евро.
Quelle: отсутствие одобрения пользователей со стороны Google
Официальное сообщение CNIL (Французский орган по защите данных)

Всего с момента вступления в силу GDPR в Германии был наложен 41 штраф на сумму от 15 000 до 100 000 евро . Штрафы были оправданы рядом факторов:

• неадекватные технические и организационные меры были приняты отелем, который не мог исключить возможность раскрытия данных кредитной карты или других данных о клиенте из его системы бронирования в случае вымогательной хакерской атаки,
• публикация данных о состоянии здоровья в Интернете из-за неадекватных механизмов внутреннего контроля,
• человеческая ошибка: раскрытие больницей данных о здоровье не тому пациенту ,
• запись всех исходящих и входящих звонков в пожарную бригаду земли Бремен,
• разглашение выписок со счета неуполномоченным лицам через интернет-банкинг,
• недопустимые рекламные электронные письма ,
• несанкционированное копирование данных клиента во время хакерской атаки на интернет-магазин,
• несанкционированное использование видеорегистратора ,
• открытый список рассылки электронной почты ,
• несанкционированное видеонаблюдение за клиентами и сотрудниками.

В Европе с момента вступления в силу GDPR наложен 91 штраф .

Предостережения и суждения с момента вступления в силу GDPR

Случай 1: Веб-сайт без шифрования

Окружной суд Вюрцбурга запретил адвокату использовать ее веб-сайт без шифрования и без достаточного заявления о защите данных под угрозой штрафа в размере 250 000 евро.
Источник: Веб-сайт без шифрования (немецкий)

Случай 2: Использование настраиваемой аудитории Facebook

Государственное управление по защите данных Баварии запретило интернет-магазину использовать «Facebook Custom Audience». Приговор был подтвержден «Verwaltungsgericht» и «Verwaltungsgerichtshof». Причина, указанная здесь, заключалась в использовании личных данных без согласия посетителей.

Источник: Использование настраиваемой аудитории Facebook (немецкий)

Ожидаемые судебные иски в связи с GDPR

• Instagram (Бельгия): Причина: Недостаточная информация и принудительное, отсутствующее или недостаточное согласие.
• WhatsApp (Гамбург): Причина: Недостаточная информация и принудительное, отсутствующее или недостаточное согласие.
• Facebook (Австрия): Причина: Недостаточная информация и принудительное, отсутствующее или недостаточное согласие.
• Австрия: Австрийский банк взимает 30 евро за получение сохраненных личных данных клиента. Суд вынес решение в пользу истца, после чего банк обжаловал это решение в суде более высокой инстанции - Федеральном административном суде. Причиной решения суда здесь стал отказ в предоставлении права на бесплатное раскрытие сохраненных персональных данных.
• Европейский суд: Действия против использования программы защиты конфиденциальности США-ЕС (например, Facebook), поскольку переводы в США могут быть перехвачены АНБ в соответствии с законодательством США.
• Великобритания и Ирландия: Google и IAB были привлечены к ответственности за назначение ставок в реальном времени (RTB) в рекламе. По словам истца, системы RTB ежедневно передают сотни миллиардов точек персональных данных другим системам без согласия пользователя. Передаются даже конфиденциальные данные, такие как «жестокое обращение, инцест или ВИЧ-статус». По словам истца, IAB заранее знала, что его система не соответствует требованиям GDPR. Google, с другой стороны, пытается передать обязательство веб-сайтам, показывающим рекламу, получить согласие пользователя.

Источники:
https://noyb.eu/
https://mashable.com/article/gdpr-google-iab-complaint-evidence-update/?europe=true

С момента вступления в силу GDPR европейские органы по защите данных сообщили о более чем 59000 утечках данных. Страны с наибольшим количеством зарегистрированных утечек данных - это Нидерланды (15 400 утечек данных), Германия (12 600 утечек) и Великобритания (10 600). Кипр с 35 отчетами, Исландия с 25 и Лихтенштейн с 15 являются странами с наименьшими утечками данных.

Государственное управление по надзору за защитой данных Баварии (BayLDA) проверило 40 веб-сайтов компаний с широким охватом, чтобы проверить, соответствуют ли они GDPR в отношении согласия пользователей и документации . Ни на одном из 40 веб-сайтов компаний не был правильно реализован процесс получения согласия и правильной информации о пользователе. Здесь тоже есть угроза судебных исков и предупреждений.

Как видите, за последние десять месяцев в области защиты данных произошло многое. Новое положение о защите данных предоставляет пользователям важную правовую основу для защиты своих личных данных. Поэтому компаниям рекомендуется соблюдать новые требования по защите данных .

Помните, что GDPR и новые требования также распространяются на швейцарские компании, предоставляющие свои услуги и продукты гражданам ЕС.