Преди и след GDPR: любопитни факти, свързани с нарушаване на правилата за поверителност

9 март
Саша Аксенова, главен експерт по спазването на разпоредбите за поверителност на данни в DataArt
Преди и след GDPR: любопитни факти, свързани с нарушаване на правилата за поверителност
През 2018 г. беше приет Общият регламент за защита на данните (GDPR), чрез който страните от Европейския съюз и Обединеното кралство укрепват и унифицират защитата на личните данни. Нововъведението предизвика доста противоречиви реакции, особено от гледна точка на предвидените в него огромни глоби. Компаниите могат да бъдат санкционирани в размер на 20 000 000 евро или до 4% от общия оборот през предходната финансова година, което от двете е по-високо като сума.

Саша Аксенова, главен експерт по спазването на разпоредбите за поверителност на данни в DataArt, събра някои интересни случая, свързани с глоби на различни компании и разказва какви са мотивите за налагането на санкции:

YAHOO! И НАЙ-ГОЛЯМОТО НАРУШАВАНЕ НА правилата, свързни с достъпа до лични данни

Най-големият пробив на данни струва на Yahoo! почти пет милиарда долара. Компанията стана жертва на няколко атаки: през 2013 и 2014 г. бяха хакнати три милиарда акаунта, но Yahoo! скри тази информация до 2016 г. Срещу компанията бяха заведени над 20 дела в Съединените щати и през 2019 г. е постигнато споразумение за 117,5 милиона долара. За скриване на информация Yahoo! трябваше да плати 35 милиона, както и да поеме ангажимента да инвестира 300 милиона в подобряване на киберсигурността до 2022 година.

В допълнение към глобите, Yahoo! загуби много пари за своята продажба: Verizon Communication планираше да купи компанията за 4,8 милиарда долара, но след разкриването на информация за нарушенията цената падна 13,5 пъти до само 350 милиона. В същото време властите на редица европейски държави изразиха загриженост относно няколко изтичания на данни и ICO (британският надзорен орган за поверителност) глоби клон на компанията с 250 хиляди лири.

FACEBOOK, CAMBRIDGE ANALYTICA И НАЙ-ГОЛЯМАТА ГЛОБА — 5 МИЛИАРДА ДОЛАРА

Пет милиарда e стойността на глобата, платена от Facebook към Федералната търговска комисия на САЩ. Това е и най-голямата глоба в историята за нарушаване на законите за поверителност. През 2018 г. стана известно, че британската аналитична компания Cambridge Analytica, чрез приложението си в социалната мрежа, е получила достъп до личните данни на 87 милиона потребители по целия свят и ги е използвала за създаване на политическа реклама, свързана с Американска президентска кампания и референдума за оттеглянето на Великобритания от Европейския съюз.

През 2020 г. Facebook плати глоба в размер на 5 милиарда долара и обеща да преразгледа отношението си към запазване на поверителността на потребителите, включително да създаде независима комисия, която ще проучи внимателно въпроса за защитата на личните данни.

100 МИЛИОНА ЕВРО ЗА БИСКВИТКИ

През 2020 г. Френската национална комисия по информационни технологии и права на човека (CNIL) глоби Google със 100 милиона евро за инсталиране на бисквитки (cookies). Онлайн разследване установи, че когато потребител посети google.fr, бисквитките автоматично се съхраняват на компютъра му без негово съгласие, което е нарушение на GDPR. CNIL нареди на компанията да промени реда на информационните съобщения за бисквитките в рамките на три месеца, след което да бъде таксувана с допълнителни 100 хиляди евро за всеки ден закъснение. Google не се съгласи с тези глоби и възнамерява да ги обжалва.

Втората по големина GDPR санкция също принадлежи на Google във Франция — 50 милиона евро през 2019 година. Компанията не информира прозрачно потребителите за обработката на техните лични данни; освен това тази информация е трудно достъпна — разпръсната в няколко документа, които могат да бъдат разгледани чрез щракване върху редица връзки. Текстът на споразумението за обработка на лични данни също беше признат за недостатъчно информативен и за двусмислен.

Друга глоба от 170 милиона долара Google получи в САЩ за нарушение на Закона за защита на поверителността на децата онлайн. Компанията проследи историята на сърфиране на детски канали в YouTube и използва тази информация, за да персонализира рекламите.

ТОП ГЛОБИ ЗА GDPR

Докато Google е водеща по размер по отношение на. глобите за нарушаване на поверителността, получени в Европа, има и други компании, които трябваше да платят десетки милиони евро.

През 2020 г. комисарят на Хамбургската служба за защита на данните и свобода на информация (HmbBfDI) глоби H&M с 35,3 милиона евро за незаконната обработка на лични данни на няколкостотин служители. Компанията проведе проучвания и търсения в неформални чат стаи, събирайки чувствителни лични данни — медицински диагнози, религиозни вярвания, информация за членове на семейството и т.н. — с цел оценка на служителите и вземане на решения. Това стана известно поради техническа неизправност — събраните данни бяха достъпни за всички служители в рамките на няколко часа. H&M пое пълната отговорност и даде съгласие да плати глоби и обезщетения на служителите.

През миналата година италианската агенция DPA Garante глоби телекомуникационния оператор TIM с 27,8 милиона евро за агресивна маркетингова стратегия, която засегна няколко милиона души. Компанията е изпращала съобщения, за които клиентите не са се абонирали, предоставяла е непрозрачна информация за обработката на лични данни, съхранявала я е по-дълго от необходимото и е игнорирала отказите за получаване на рекламни съобщения.

Мрежата на Mariott International беше глобена за откраднати лични данни на 339 милиона клиенти. През 2019 г. ICO изрази намерението си да глоби компанията в размер на над 99 милиона паунда, а през 2020 г. намали глобата на 18,4 милиона, като взе предвид редица смекчаващи вината обстоятелства, както и въздействието на пандемията върху хотелиерската индустрия.

РАЗМЕРЪТ НЯМА ЗНАЧЕНИЕ

Логично е, че най-големите глоби получават компании, които събират и обработват големи количества лични данни. Но съответните власти обръщат внимание не само на тях.

UnionTrad, френска агенция за преводи, получи 20 000 евро глоба за наблюдение на служителите чрез камери на работните им места. Компанията не е информирала правилно никой от деветте служители за записите и наличието на камери.

През 2019 г. полският орган за защита на данните (DPA) наложи глоба от 13 000 евро на една от регионалните футболни федерации за публикуване на личните идентификационни номера и домашни адреси на 585 съдии. DPA глоби федерацията, въпреки факта, че самата тя ги е уведомила за нарушението.

През 2020 г. австрийски лекар получи частна глоба от 600 евро за нарушаване на закона за поверителност. В продължение на няколко месеца, без съгласието на пациентите, той публикува откъси от техните писма, заключения и други медицински досиета на страницата си във Facebook. Публикуваните данни включват голямо количество чувствителни лични данни: имена на пациенти и лекуващи лекари, резултати от тестове, диагнози, предписания, данни за хоспитализация, номера на социално осигуряване.

Глобите на Tiktok и grindr

През 2019 г. в САЩ социалната мрежа TikTok бе глобена за незаконно събиране на лична информация от деца, като стойността на глобата е 5,7 милиона долара. Федералният закон изисква достъпът до социалната мрежа да става чрез родителско одобрение за потребители под 13-годишна възраст.

През 2021 г. норвежката агенция за защита на данните DPA уведоми приложението за запознанства Grindr, че стартира процедура по налагане на глоба от 100 милиона норвежки крони (около 10 милиона евро). Приложението е обвинено в разкриване на лични данни на потребителите без тяхното информирано, конкретно и доброволно съгласие пред трети страни, включително рекламни компании. Grindr възразява срещу глобата и настоява за пълна прозрачност на потребителското си споразумение.