За нарушение GDPR наказывают активнее — свежие штрафы и влияние регламента за пределами ЕС

Рассказываем, кого наказали регуляторы, как и на что это может повлиять.
_tibx5axrgds9nayrxgww0mr-o4.jpeg
/ фото Marco Verch CC BY

GDPR вступил в силу более года назад. За это время Еврокомиссия выписала почти сотню штрафов — общая сумма превысила десятки млн евро. О некоторых из них мы рассказывали в прошлый раз.

Сегодня продолжаем тему — говорим о свежих «письмах счастья», и обсуждаем влияние, которое оказывает Общий регламент по защите данных на регулирование в других странах.

Новые штрафы


Интересно, что один из самых свежих выписали компании IDdesign, продающей мебель. Организация нарушила требование пятой статьи GDPR. Там сказано, что хранить персональные данные пользователей можно не дольше, чем того требуют цели обработки. В IDdesign своевременно не удалили данные 385 тыс. клиентов. Эта возможность не была реализована в новой CRM-системе компании. В итоге мебельный магазин получил самый крупный штраф, который выписывал датский регулятор с момента вступления GDPR в силу, — 200 тыс. евро.

За аналогичное нарушение в Литве наказали платёжный сервис MisterTango. Компания не удалила персональные данные клиентов, когда нужда в их обработке отпала. Плюс сотрудники компании не сообщили регулятору о прошлогоднем инциденте, когда информация о 9 тыс. платежных операциях случайно оказалась в открытом доступе. MisterTango обязали выплатить 61 тыс. евро.

В Германии штраф получила транспортная компания Kolibri Image. Её обязали выплатить 5 тыс. евро за нарушение, связанное с ошибкой при оформлении документации. Другой штраф в 2 тыс. евро выписали частному лицу. Пользователь отправил электронное письмо большому числу получателей, установив его тип как CC (копия), а не BCC (скрытая копия). В результате адреса почты увидели другие получатели. Эту ситуацию расценили как утечку персональных данных.

К слову, аналогичное нарушение зафиксировали в Великобритании несколькими годами ранее. Только в этом случае штраф (в размере 180 тыс. фунтов) получила клиника для больных ВИЧ. Тогда штраф был выписан согласно директиве Data Protection Directive, которую заменил GDPR. Есть мнение, что при GDPR организации пришлось бы выписывать чек на гораздо большую сумму.

Эффективен ли GDPR


Представители Еврокомиссии считают, что за прошедший год GDPR доказал свою эффективность. По их словам, регламент помог обратить внимание пользователей на проблему безопасности данных. К примеру, количество обращений, регистрируемых британским регулятором, за прошедший год увеличилось почти вдвое — с 21 тыс. до 41 тыс.

Но в ИТ-индустрии есть мнение, что GDPR всего лишь создал еще один рынок для юридических фирм и консультантов. По словам Бьорна Шторморкена (Bjørn Stormorken), финансового директора шведской социальной платформы Idka AB, главная цель, которую преследуют компании в новых условиях, не безопасность данных. Это — желание удовлетворить требования GDPR с минимальными затратами.

Некоторые регуляторы не спешат наказывать нарушителей. Порядка десяти стран Евросоюза не выписали ни одного штрафа по GDPR. Среди них числятся: Бельгия, Хорватия, Чехия, Финляндия, Испания и др. Часть государств ограничилась относительно небольшими санкциями. В Латвии максимальное взыскание на сегодняшний день равняется 2 тыс. евро, а в Болгарии — 5 тыс.


Хотя эксперты говорят, что в будущем можно ожидать резкого увеличения количества штрафов и их размеров. Уже сейчас в Ирландии изучают дела нескольких крупных американских ИТ-компаний. Вероятно, по ним будут вынесены положительные решения.

Влияние GDPR за пределами ЕС


По стопам GDPR пошли многие государства, проработав свои законы по защите данных. В прошлом году соответствующий законопроект представили в Индии. Авторы говорят, что документ составлялся с учетом особенностей регулирования ИТ в стране, но был привнесен и зарубежный опыт. Другой пример — CCPA, который одобрили в Калифорнии. Об этих двух законопроектах мы рассказывали в нашем блоге — тут и тут.

tg6ekv5b1e7zkaemozthy2ny_vk.jpeg
/ фото Alexander Gerst CC BY-SA

Закон, аналогичный GDPR, решил внедрить Китай — его финальную версию представили в начале этого года. Авторы закона сами говорят, что он был создан «по мотивам» GDPR. Его цель — дать жителям Китая больше контроля над их персональными данными.

Китайские регуляторы уже начали оценивать «масштабы проблемы». С января они проверяют популярные приложения для смартфонов и смотрят, собирают ли те лишнюю информацию о пользователях. Проверки коснулись сервисов доставки еды, такси и навигаторов.


Некоторые считают, что новый закон позволит привести к общему знаменателю 200 других нормативных актов, касающихся кибербезопасности. Однако профессор Чи Аими (Qi Aimiс) из Чунцинского университета все же отметил, что новый законопроект не должен копировать GDPR, поскольку в Китае гораздо больше интернет-пользователей и одна из самых развитых в мире цифровых экономик.

Как себя проявит китайский законопроект, и какое влияние он окажет на мировое сообщество — покажет время. Закон, очень похожий на китайский уже подготовили во Вьетнаме. А в Танзании тесно сотрудничают с китайскими законодателями, отвечающими за киберпространство.


О чем мы пишем в нашем Telegram-канале:
Другие материалы о регулировании ПД в нашем блоге:

© Habrahabr.ru