2018 год прошел под знаком штрафов. Поступили первые квитанции по GDPR, но основные штрафы наложила не Еврокомиссия, а другие регуляторы. Аналитики «СёрчИнформ» подсчитали ущерб от неумелого обращения с данными и с законом. Спойлер: российские компании закон нарушали, но штрафов не получили.
«Великий и могучий» GDPR в 2018 году наделал много шуму. Появились и первые штрафы, и они показали, что регулятор настроен серьезно. Правда пока оглушительных штрафов наложено не было.
Первый штраф в Австрии по GDPR получила организация, установившая камеру видеонаблюдения перед своим учреждением. Проблема по мнению регулятора в том, что в поле зрения камеры попадала и остальная часть тротуара. Широкомасштабный мониторинг общественных мест не разрешен по требованиям GDPR, поэтому Национальный орган по защите данных (DPA) оштрафовал компанию на 4800 евро.
Также прецедентный штраф (20 тыс. евро) получила платформа Knuddels.de. Это первый случай применения регламента GDPR в Германии. Соцсеть стала жертвой хакеров, но претензии регулятора касались небрежного обращения с данными со стороны компании. По заявлению органа по защите данных Баден-Вюртемберга, Knuddels.de не обеспечила сохранность информации – конфиденциальные данные более 300 тыс. пользователей, в том числе пароли, хранились в незашифрованном виде.
Но не GDPR единым запомнился этот год. Сервис заказа такси Uber наказан за историю, которая взяла свое начало в 2016 году. По искам от 50 штатов сервису было присужден штраф в рекордные $ 148 млн! Наказание было и в Европе. Агентство по защите данных Нидерландов оштрафовало Uber на 600 тыс. евро, а Комиссариат по защите информации Великобритании на 385 тыс. фунтов стерлингов. Сумма европейских штрафов составила в итоге 1 млн евро. Наказание наступило не за саму утечку, а за ее сокрытие.
Федеральный суд привлек к ответственности компанию Yahoo! за утечки, которые произошли в 2013 и 2014 годах. Они считаются крупнейшими в истории. В апреле 2018 года компании пришлось заплатить штраф в $ 35 млн, его наложила Комиссия по ценным бумагам и биржам США. Но не за сам факт утечки, а за то, что руководство компании не раскрыло информацию о ней ни своим инвесторам, ни аудиторам. В октябре 2018-го Yahoo! согласилась заплатить $ 50 млн компенсации и предоставить два года бесплатных услуг по мониторингу кредитов 200 миллионам пострадавших.
В сентябре разрешилась ситуация с утечкой данных из американского бюро кредитных историй Equifax. Утечка произошла годом ранее, в 2017 году, от нее пострадало 147 млн человек. Компания получила штраф, причем не от собственной страны, а от Великобритании – в размере 500 тысяч фунтов (44 млн рублей). Это максимально возможное наказание за такое нарушение.
Португальская комиссия по защите данных (CNPD) оштрафовала одну из больниц на 400 тыс. евро. В системе хранения медицинских записей была найдена уязвимость, которая позволяла получить доступ к данным пациентов через фальшивые профили сотрудников. В системе обнаружили 985 зарегистрированных аккаунтов при том, что общее количество врачей по всем направлениям составляет 296 человек.
Неоднозначная, но показательная история в Штатах так же закончилась штрафом. Управление по гражданским правам Департамента здравоохранения и социальных служб оштрафовало отделение Allergy Associates в Хартфорде, Коннектикут на $ 125 тыс. за нарушение правил конфиденциальности HIPAA. Такое решение было принято по иску пациентки, у которой случился конфликт с доктором. Объясняя ситуацию журналистам, врач разгласил подробности здоровья женщины. Непонятно, насколько критична такая утечка, но сам прецедент и, главное, штраф, актуализировал вопрос медицинской тайны для профессионального сообщества.
Частные лица по многим зарубежным законам несут пропорционально не меньшую ответственность, чем организации. В сентябре 2018 года власти Сингапура оштрафовали киберэксперта на 5 тыс. сингапурских долларов ($ 3600) за взлом сети Wi-Fi в местном отеле без разрешения и публикацию в блоге информации, раскрывшей пароли гостиницы. Белый хакер Чжэн взломал сеть того отеля, в котором он остановился во время конференции.
События, развивающиеся вокруг Facebook, также изменили положение компании на мировом рынке. Напомним, в марте компания оказалась в центре скандала из-за того, что Cambridge Analytica, которая работала над президентской избирательной кампанией в США Дональда Трампа, собрала персональные данные 87 миллионов пользователей Facebook без их согласия. На фоне скандала акции Facebook подешевели на 6,8 %, капитализация компании упала ниже 500 млрд $, а основной владелец – Марк Цукерберг – потерял минимум 6 млрд $. Плюс ко всему регулятор Великобритании оштрафовал компанию на 645 тыс. $.
Второй европейский штраф Facebook получил от Итальянского антимонопольного органа (ICA). 7 декабря 2018 года на Facebook были наложены два штрафа на общую сумму 10 млн евро за нарушение кодекса прав потребителей Италии. Facebook вводил потребителей в заблуждение относительно того, как будут использоваться их данные: при регистрации пользователям не сообщается, что их информация будет использоваться в коммерческих целях.
На фоне таких штрафов особенно показательно выглядит ситуация с защитой данных в России. На сайте регулятора нет информации по резонансным случаям, получившим огласку в СМИ: утечке данных сотрудников из Сбербанка, утечке из отделения ФМС в Москве, из «Максим Телеком» (предоставляет Wi-Fi в московском метро), из «Почты России», ФНС и Facebook. Исключение составила ситуация с доступностью данных в московском МФЦ, по которой Роскомнадзор сообщил, что «подтверждений несоблюдения МФЦ требований закона о персональных данных нет, фактов предоставления доступа неограниченному кругу лиц к паспортным данным пользователей услуг МФЦ не установлено».