На десятом месте страховая компания из Франции ACTIVE ASSURANCES, которая заплатила 180 000 евро за то, что большое количество учетных записей клиентов, документов клиентов (включая копии водительских прав, регистрацию транспортного средства, банковские выписки и документы, позволяющие определить, был ли человек объектом отзыва лицензии) и данные были легко доступны в Интернете. Кроме того, у местного регулятора были претензии к управлению паролями (несанкционированный доступ к личным данным был возможен без какой-либо аутентификации).
На девятом месте оказалась компания IDdesign A / S из Дании, оплатившая штраф в размере 200 850 евро. Причиной взыскания стало то, что компания обработала личные данные примерно 385 000 клиентов в течение более длительного периода времени, чем это необходимо для целей, для которых они были обработаны. Кроме того, компания не установила и не задокументировала сроки удаления персональных данных в своей новой системе CRM.
Восьмое место досталось некоей частной польской компании, работающей с данными из общедоступных источников. Штраф в размере 219 538 евро был предъявлен компании за обработку данных из Центрального электронного реестра и информации об экономической деятельности в коммерческих целях. Польское национальное управление по защите персональных данных (UODO) подтвердил несоблюдение информационного обязательства в отношении физических лиц, осуществляющих предпринимательскую деятельность. Компания пыталась исправить ситуации, однако из-за высоких расходов на устранение нарушения, сделала это лишь частично, за что подверглась довольно крупному штрафу.
На седьмом месте оказалась спортивная организация – национальная футбольная лига Испании (LaLiga), которая была наказана штрафом в размере 250 000 евро за то, что выпустила мобильное приложение, которое раз в минуту получало доступ к микрофону смартфонов пользователей, чтобы обнаружить пабы, показывающие футбольные матчи без оплаты. По мнению местного органа по защите персональных данных, LaLiga не проинформировала пользователей приложения об этой практике. Кроме того, приложение нарушала еще ряд требования GDPR.
Шестое место занял госпиталь из Португалии со штрафом в размере 400 000 евро. Такую сумму пришлось заплатить больнице за то, что ее сотрудники (психологи, диетологи и другие специалисты) имели доступ к данным пациентов через поддельные персональные аккаунты внутренней информационной системы. Система управления профилями оказалась несовершенной: в больнице было 985 зарегистрированных профилей врачей, в то время как в штате числилось только 296 специалистов. Кроме того, врачи имели неограниченный доступ ко всем файлам пациентов, независимо от специальности врача.
На пятом месте – девелоперская компания из Франции SERGIC, которая «заработала» штраф в 400 000 евро. Причиной таких незапланированных расходов стали два нарушения: отсутствие основных мер безопасности и хранение данных сверх установленного на то времени. Что касается первого нарушения, то конфиденциальные документы, загруженные клиентами (включая удостоверения личности, медицинские карты, налоговые уведомления, справки, выданные фондом семейных пособий, решения о разводе, выписки со счета), были доступны онлайн без какой-либо процедуры аутентификации. Хотя эта уязвимость была известна компании с марта 2018 года, она не была окончательно устранена до сентября 2018 года. Кроме того, компания хранила документацию, предоставленную кандидатами, дольше, чем это необходимо.
Четвертое место на данный момент еще у одного медицинского учреждения – Haga Hospital из Нидерландов, которое получило штраф в размере 460 000 евро, так как не имеет надлежащей внутренней защиты карт пациентов. Это заключение расследования, проведенного Управлением по защите данных Нидерландов после того, как выяснилось, что десятки сотрудников больницы неоднократно проверяли медицинские записи известного голландца. Чтобы вынудить больницу повысить безопасность записей пациентов, был наложен серьезный штраф. Если же Haga Hospital не улучшит безопасность личных данных пациентов до 2 октября 2019 года, то медучреждение может выплатить еще 300 000 евро (100 000 евро каждые две недели после окончания срока пока полностью не устранит все нарушения).
Третье место досталось компании Google, которая должна заплатить штраф в размере 50 000 000 евро, наложенный Французским агентством по защите данных (CNIL). Штраф был наложен на основании жалоб австрийской организации «None Of Your Business» и французской неправительственной организации «La Quadrature du Net». Жалобы были поданы 25 и 28 мая 2018 года – сразу после вступления в силу GDRP. Жалобы касались создания учетной записи Google во время настройки мобильного телефона с использованием операционной системы Android. CNIL наложил штраф в размере 50 миллионов евро за непрозрачность при информировании пользователя (ст. 5 GDPR), недостаточную информацию (ст. 13/14 GDPR) и отсутствие правовой базы (ст. 6 GDPR). Кроме того, полученные согласия пользователей, по мнению регулятора, не были «конкретными» и «однозначными» (ст. 4 № 11 GDPR).
На втором месте оказалась сеть фешенебельных отелей Marriott International, штраф за нарушение GDPR составил 110 390 200 евро. Данный штраф был выписан за раскрытие различных персональных данных, содержащиеся примерно в 339 млн. гостевых записей во всем мире, из которых около 30 млн. относятся к жителям 31 страны Европейского экономического пространства (ЕЭЗ). Семь миллионов раскрытых записей связаны с жителями Великобритании. Считается, что уязвимость возникла, когда системы группы отелей Starwood были скомпрометированы в 2014 году. Впоследствии Marriott приобрела Starwood в 2016 году, но раскрытие информации о клиентах не было обнаружено до 2018 года. Расследование регулирующего органа Великобритании показало, что Marriott не удалось провести достаточную юридическую проверку перед покупкой Starwood, и компания должна была сделать больше для защиты своих систем. Стоит отметить, что этот штраф не является окончательным, и итоговая сумма будет известна, когда компания и другие заинтересованные надзорные органы других государств-членов сделают свои заявления.
И, наконец, первое место и рекордный штраф в размере 204 600 000 млн евро достаются авиакомпании British Airways. Информационный комиссар (ICO) Великобритании опубликовал уведомление о своем намерении оштрафовать British Airways на 183,39 млн фунтов за нарушения GDPR, которые, вероятно, связаны с 32 статьей регламента. Речь идет о кибер-инциденте, о котором British Airways сообщили в ICO в сентябре 2018 года. Этот инцидент частично связан с переадресацией трафика пользователей с официального сайта British Airways на мошеннический сайт. Через этот фальшивый сайт злоумышленники собирали данные о клиентах. С июня 2018 года личные данные приблизительно 500 000 клиентов были скомпрометированы. Расследование ICO показало, что из-за плохих мер безопасности в компании была скомпрометирована различная личная информация клиентов, включая вход в систему, платежную карту и детали бронирования путешествия, а также информация об имени и адресе. Как и предыдущий, данный штраф не окончательный, итоговая сумма будет установлена после расследований, которые проведут регуляторы остальных стран-участниц GDPR.
Материал создан на основе информации, размещенной на сайте http://www.enforcementtracker.com/, занимающимся мониторингом штрафов, которые органы по защите данных в ЕС наложили в соответствии с Общим регламентом о защите данных (GDPR, DSGVO).