Регламент GDPR действует более года. Первое время штрафы не выписывали, но сейчас ситуация изменилась: более ста компаний в ЕС уже получили свои «письма счастья» на общую сумму в десятки миллионов евро. Практика вынесения постановлений говорит о том, что европейский бизнес штрафовать будут чаще. А в других странах опыт работы с регламентом, скорее всего, возьмут на вооружение.
Кто получил штрафы
Автор – Екатерина Юдина, контент-инженер. |
Примечательно, что регуляторы обращают внимание даже на, казалось бы, «офлайновый» бизнес. Так, штраф получил мебельный магазин IDdesign. Его руководители вложились в разработку CRM-системы, но не учли требований GDPR. Когда систему внедрили, проверка показала, что персональные данные 400 тыс. клиентов хранились дольше, «чем того требовали цели их обработки». Это нарушение регламента, поэтому магазин получил штраф. Его размер — 200 тыс. евро — определили с учетом числа затронутых физлиц.
В аналогичной ситуации оказался литовский платежный сервис MisterTango. Помимо штрафа за слишком длительное хранение персональных данных клиентов, ему выписали еще одно постановление. Компания не сообщила регулятору об утечке персональных данных, которая произошла годом ранее. Тогда в свободный доступ попала информация о 9 тыс. платежей клиентов сервиса. С учетом этого итоговый размер штрафа для MisterTango составил 61 тыс. евро.
Штрафы выписывают и физлицам. Так, «письмо счастья» пришло в качестве реакции на рассылку сообщений электронной почты от одного адресанта сразу нескольким десяткам получателей. Из-за путаницы в полях CC (копия) и BCC (скрытая копия) письмо увидели те, кому оно не было предназначено. Скорее всего, ситуация послужила поводом для жалобы, а регулятор оценил размер штрафа в 2 тыс. евро.
Аналогичный инцидент произошел в Великобритании еще до ввода GDPR. В этом случае размер штрафа был куда более весомым и составил 180 тыс. фунтов, так как речь шла о клинике, которая разгласила медицинские данные своих клиентов. С другой стороны, штрафы «по GDPR» за подобные нарушения будут крупнее.
Что говорят регуляторы. В Еврокомиссии уверены, что GDPR эффективен. Все больше людей узнают о нем, а значит, начинают лучше разбираться в своих правах и требуют от бизнеса защиты своих персональных данных. На это указывает рост количества заявлений и жалоб, поступающих от физлиц. Например, в Великобритании за этот год их число увеличилось двукратно — с 21 до 41 тыс.
Что говорят в сфере ИТ. Есть мнение, что регламент не привел к существенным улучшениям в сфере обработки персональных данных, а всего лишь расширил рынок для юристов и консультантов. На эту тему высказался финансовый директор шведского соцсервиса Idka AB. Он уверен, что компании стали более озабочены тем, чтобы не попасть под штрафные санкции и не разориться на юристах. Вопрос безопасности персональных данных клиентов их волнует не в первую очередь.
Чего ждать. Пока регуляторы не торопятся ужесточать практику работы с GDPR, но все может измениться. Тогда на заявления граждан будут реагировать охотнее.
Кто перенимает опыт европейцев
В Китае аналог GDPR представили в начале этого года. Его авторы не скрывают, что работали «по мотивам» европейского регламента. А местные регуляторы уже начали проводить проверки, чтобы оценить ситуацию. В первую очередь смотрят на то, как используют персональные данные сервисы доставки еды и такси.
В Индии также разрабатывают подобные законопроекты. Эксперты говорят, что учитывают локальные особенности регулирования сферы ИТ в целом, но и не отрицают заимствования из зарубежной практики. О других зарубежных примерах, вроде американского CCPA (одобрен в Калифорнии), «ИТ-Град» писал в блоге на «Хабре».
Если говорить о России, этим летом в Госдуму внесли законопроект, расширяющий перечень нарушений и увеличивающий принятые в российском законодательстве штрафные санкции в десятки раз. Можно предположить, что инициатива введена под влиянием сумм, фигурирующих в практике работы с GDPR. Так или иначе, за ходом обсуждения этого законопроекта и возможными изменениями точно стоит понаблюдать.
Читайте также в Telegram-канале:
Изучите другие материалы о регулировании ПД в блоге компании «ИТ-Град»: