Самые крупные многомиллионные штрафы за нарушение GDPR в 2019 году

Самые крупные многомиллионные штрафы за нарушение GDPR в 2019 году
Новое законодательство о защите персональных данных граждан Евросоюза (GDPR) вступило в силу в мае 2018 года. Оно совершило революцию в защите персональных данных и помогло повысить уровень осведомленности об этой важной теме. Закон устанавливает крупные штрафы в размере до 4% годового оборота компании или до 20 миллионов евро для тех организаций, которые нарушают данные правила.

Хотя мы узнали о ряде штрафов в рамках GDPR еще в 2018 году, но только с 2019 года мы стали свидетелями штрафов в размере свыше 1 миллиона евро. Ниже мы рассмотрим шесть самых крупных штрафов на текущий момент, а также статьи GDPR, которые были нарушены в каждом конкретном случае.

British Airways
  • Страна: Великобритания
  • Штраф: 204 110 000 €
  • Нарушенная статья GDPR: 32
В июле авиакомпания British Airways была оштрафована на 183 миллиона фунтов стерлингов со стороны Управления комиссара Великобритании по информации (ICO) за нарушение данных, которое произошло в сентябре 2018 года. Злоумышленникам удалось украсть персональную информацию примерно 500 000 клиентов авиакомпании. Эти данные содержали имена, номера банковских карт и их коды CVV, а также адреса электронной почты. Статья 32 закона требует, чтобы компании внедряли технические и организационные меры для обеспечения безопасности информации.

Marriott International, Inc.
  • Страна: Великобритания
  • Штраф: 118 714 808 €
  • Нарушенная статья GDPR: 32
В конце ноября 2018 года , Marriott International стала главным героем на тот момент второго по величине нарушения данных за всю историю. Были украдены персональные данные 339 миллионов клиентов. Хакеры получили доступ к данным отеля с 2014 года.

Согласно результатам расследования, проведенного Управлением комиссара Великобритании по информации, украденные данные содержали сведения о примерно 30 миллионах клиентов из 31 страны Европейской экономической зоны. Считается, что уязвимость в защите стала использоваться с 2014 года, когда был скомпрометирован Starwood Hotel Group, а Marriott купила Starwood в 2016 году. Комиссар по информации Элизабет Денхэм объяснила : «GDPR четко дает понять, что организации должны нести ответственность за хранящиеся у них персональные данные. Это также подразумевает и проведение тщательной юридической экспертизы при совершении корпоративной сделки по приобретению».

Штраф, наложенный на Marriott International, составил 99 200 396 фунтов стерлингов.


Google LLC
  • Страна: Франция
  • Штраф: 50 000 000 €
  • Нарушенные статьи GDPR: 5, 6, 13, 14
Национальная комиссия по информации и свободе CNIL (Commission Nationale de l’Informatique et des Libertés), являющаяся агентством по защите данных во Франции, в январе оштрафовала Google LLC на 50 миллионов евро за нарушение установленных в GDPR правил прозрачности и за отсутствие действующей правовой основы для обработки персональных данных в рекламных целях. По мнению CNIL, пользователи Google не получили достаточной информации об использовании их данных. Более того, согласие, получаемое компанией Google, не является ни «конкретным», ни «однозначным».

Österreichische Post AG
  • Страна: Австрия
  • Штраф: 18 000 000 €
  • Нарушенные статьи GDPR: 5, 6
В октябре австрийская почтовая компания Österreichische Post AG получила штраф в размере 18 миллионов евро за создание профилей около трех миллионов человек, в которых содержалась информация об их адресах, личных предпочтениях и политической принадлежности. Затем эти профили были проданы политическим партиям и другим компаниям. Нарушенные статьи GDPR, указанные выше, связаны с получением правовой основы для обработки данных.
Deutsche Wohnen
  • Страна: Германия
  • Штраф: 14 500 000 €
  • Нарушенные статьи GDPR: 5, 25
30 октября комиссар Берлина по защите данных и свободе информации (Berliner Beauftragte für Datenschutz und Informationsfreiheit) наложил штраф на компанию Deutsche Wohnen , занимающуюся недвижимостью, в размере 14,5 миллионов евро в связи с удержанием данных. Немецкая компания хранила персональные данные своих клиентов дольше, чем это было необходимо, не имея для этого достаточных правовых оснований. Это противоречит праву на удаление данных, закрепленному в GDPR.

1&1 Telecom
  • Страна: Германия
  • Штраф: 9 550 000 €
  • Нарушенная статья GDPR: 32
В декабре немецкий федеральный комиссар по защите данных и свободе информации (BfDI) оштрафовал телекоммуникационную компанию 1&1 Telecom на 9,5 миллионов евро. Компания не смогла реализовать необходимые технические и организационные меры для защиты персональных данных в своих колл-центрах: было установлено, что достаточно просто можно было получить информацию о клиентах, указав их ФИО и дату рождения. По данным BfDI, такого уровня аутентификации было недостаточно для надлежащей защиты клиентских данных.

Как избежать штрафа за нарушение GDPR
Чтобы гарантировать соответствие требованиям GDPR, любая компания, которая хранит и обрабатывает персональные данные, должна обеспечить наличие достаточных для этого правовых оснований, а также сообщать клиентам о целях обработки полученных от них персональных данных. Другой важный аспект для соблюдения соответствия требованиям GDPR – это всегда точно знать, где находятся персональные данные и кто имеет к ним доступ.

Решение Panda Adaptive Defense имеет дополнительный модуль Panda Data Control, который проводит обнаружение, аудит и мониторинг неструктурированных персональных и конфиденциальных данных на компьютерах: неиспользуемых данных, используемых данных и перемещаемых данных. Более того, этот модуль помогает компаниям соблюдать ряд важных статей GDPR, включая статью 32, за нарушение которой были оштрафованы вышеуказанные компании British Airways, Marriott и 1&1 Telecom.

В результате все более активного использования персональных данных вероятность нарушения статей GDPR по защите персональных данных граждан Евросоюза и наложения штрафа со стороны соответствующей государственной структуры по контролю за защитой данных достаточно высоки – это всего лишь вопрос времени. Сделайте все, чтобы ваша компания, если она хранит и обрабатывает персональные данные граждан Евросоюза, не стала следующей жертвой нарушения данных, а для этого используйте Panda Data Control.


Оригинал статьи: The GDPR in 2019: the year of the million euro fine

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
https://www.cloudav.ru
Нарушение данных кража данных контроль данных Data Control GDPR персональные данные
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Облачные решения

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.