Блог

Лето 2020 года: крупнейшие штрафы за несоответствие GDPR

В этой статье мы перечислим крупнейшие штрафы за несоответствие GDPR с июня по август 2020 года.
Август, 2020
Франция - SPARTOO - 250 000 евро
CNIL (Французский орган по защите данных) наложил штраф в размере 250 000 евро на SPARTOO.
Интернет-магазин нарушил несколько статей GDPR, в том числе:
а) принцип минимизации данных (путем записи полных звонков представителей службы поддержки клиентов и сбора слишком большого количества информации в нескольких избыточных форматах);
б) обязательство ограничить хранение данных (путем постоянного хранения записей разговоров, хранения данных о потенциальных клиентах в течение 5 лет вместо 2 и сохранения псевдоанонимных и неанонимных адресов электронной почты и паролей более 5 лет);
c) обязательство информировать людей (говоря, что «согласие» было причиной сбора данных, не сообщая сотрудникам, какую информацию они собирали и почему);
г) обязательство защищать данные (не требуя надежных паролей и сохраняя незашифрованные сканы банковских карт).
Июль, 2020
Дания - Arp-Hansen Hotel Group A / S - 147 675 евро (1 100 000 датских крон)
Управление по защите данных Дании оштрафовало Arp-Hansen Hotel Group на 1 100 000 датских крон (примерно 147 675 евро), поскольку Arp-Hansen хранила личные данные более 500 000 человек, тогда как эти профили данных должны были быть удалены, согласно GDPR. Об утечке данных не было известно, но тот простой факт, что компания хранила данные, привел к тому, что DPA рекомендовало наложить существенный штраф.
Бельгия - Google - 600 000 евро
Управление по защите данных Бельгии наложило штраф на Google в размере 600 000 евро, поскольку Google не соблюдает право на забвение - Google отклонил запрос гражданина Бельгии об удалении устаревших и отрицательных данных из результатов поиска. Google утверждал, что контролером данных является Google LLC в США, а не Google Бельгия, и поэтому жалоба была направлена ​​не на то лицо и должна быть отклонена. DPA постановило, что эти две организации действуют как единое целое, и поэтому жалоба является обоснованной.
Италия - Iliad Italia - 800 000 евро
Итальянская Garante (Управление по защите данных) наложила штраф в размере 800000 евро на оператора мобильной связи Iliad за ненадлежащую запись платежной информации и обработку личных данных при активации SIM-карт, а также за нарушение требований по надлежащему хранению, обработке и использованию личных данных, в том числе телефонные телематические данные. Интересным аспектом ошибок, обнаруженных при активации SIM-карты, было то, что Iliad использовал камеры, которые могли захватывать изображения людей, проходящих мимо, а не только изображения человека, совершающего транзакцию.
Италия - Wind Tre - 16 729 600 евро
Итальянская Garante (Агентство по защите данных) наложила штраф в размере более 16,7 млн ​​евро на другого оператора мобильной связи Wind Tre. Нарушения включали использование личных данных без согласия субъекта данных и создание запутанных и обременительных интерфейсов для пользователей для предоставления согласия, в том числе наличие большого количества адресов электронной почты, некоторые из которых не существовали, а некоторые из них могли быть предоставлены только для определенных данных предметы. Wind также использовала агрессивные методы прямого маркетинга, нарушающие GDPR, и на самом деле была предметом сотен жалоб по этому поводу. Кроме того, Wind Tre не имела надлежащих контрактов с партнерами и не проводила надлежащую проверку этих партнеров. (См. Статью о Мерлини ниже для примечательного примера.) DPA заявило, что по крайней мере некоторые нарушения Wind Tre были не просто случайными, а результатом умышленных проступков.
Италия - Merlini - 200 000 евро
Итальянское DPA оштрафовало Merlini на 200 тысяч евро. В качестве субподрядчика Wind Tre Merlini управляла колл-центром, который привлекал новых клиентов для Wind Tre. Было обнаружено, что Merlini не имеет достаточных оснований для обработки персональных данных и достаточных договорных отношений с Wind Tre.
Нидерланды - Регистрация бюро Krediet - 830 000 евро
Голландское управление по защите данных (DPA) наложило штраф в размере 830 000 евро на Голландское бюро кредитной регистрации (BKR) за то, что субъекты данных (то есть люди) чрезмерно усложнили и затруднили доступ к своей информации и ее удаление. БКР потребовал письменный запрос, сопровождаемый копией паспорта человека, разрешенный только один раз в год, и даже в этом случае время ответа будет «в течение 28 дней». Для более быстрого ответа требовалась платная подписка. DPA сочло эти ограничения необоснованными.
Италия - UniCredit - 600 000 евро
Итальянская Garante (Управление по защите данных) оштрафовала банк на 600000 евро за несколько нарушений, имевших место до вступления GDPR в силу. В период с апреля 2016 года по июль 2017 года нарушения затронули более 700 000 клиентов. Банк сообщил о нарушении в Управление в июле 2017 года. Сотрудники коммерческого партнера банка имели доступ к личной и конфиденциальной информации о клиентах банка. Эта информация включала личные и контактные данные, профессию, уровень обучения, идентификационные данные документа, удостоверяющего личность, и информацию, касающуюся работодателя, заработной платы, суммы кредита, статуса платежа, «приблизительного кредитного рейтинга клиента» и кода IBAN.
Интересно, что Garante объяснил причину суммы штрафа следующим образом: «При определении суммы в 600 000 евро Управление приняло во внимание несколько элементов, в том числе тот факт, что нарушения были совершены в отношении значительного числа людей. и что банк, который ранее не подвергался санкциям со стороны Гаранта, после утечки данных принял различные меры и инициативы, направленные на усиление безопасности своих ИТ-систем ».
Июнь, 2020
Германия - AOK Baden-Württemberg - 1 240 000 евро
Управление по защите данных (DPA) земли Баден-Вюртемберг наложило штраф на медицинскую страховую организацию AOK Baden-Württemberg в размере 1 240 000 евро. DPA установило, что AOK разослала маркетинговые сообщения 500 лицам без согласия, а также потому, что AOK приняла недостаточные меры для защиты личных данных.

Made on
Tilda