За порушення GDPR карають активніше – свіжі штрафи і вплив регламенту за межами ЄС

GDPR вступив в силу більше року тому. За цей час Єврокомісія виписала майже сотню штрафів – загальна сума перевищила десятки млн євро.

Цікаво, що один з найсвіжіших штрафів виписали компанії IDdesign, що продає меблі. Організація порушила вимогу п’ятої статті GDPR. Там сказано, що зберігати персональні дані користувачів можна не довше, ніж того вимагають цілі обробки. У IDdesign своєчасно не видалили дані 385 тис. клієнтів. Ця можливість не була реалізована в новій CRM-системі компанії. В результаті меблевий магазин отримав найбільший штраф, який виписував датський регулятор з моменту вступу GDPR в силу, – 200 тис. євро.

За аналогічне порушення в Литві покарали платіжний сервіс MisterTango. Компанія не видалила персональні дані клієнтів, коли потреба в їх обробці відпала. Плюс співробітники компанії не повідомили регулятору про торішній інцидент, коли інформація про 9 тис. платіжних операцій випадково опинилася у відкритому доступі. MisterTango зобов’язали виплатити 61 тис. євро.

У Німеччині штраф отримала транспортна компанія Kolibri Image. Її зобов’язали виплатити 5 тис. євро за порушення, пов’язане з помилкою при оформленні документації. Інший штраф в 2 тис. євро виписали приватній особі. Користувач відправив електронного листа великому числу одержувачів, встановивши його тип як CC (копія), а не BCC (прихована копія). В результаті адреси пошти побачили інші одержувачі. Цю ситуацію розцінили як витік персональних даних.

До слова, аналогічне порушення зафіксували у Великобританії кілька років до того. Тільки в цьому випадку штраф (в розмірі 180 тис. фунтів) отримала клініка для хворих на ВІЛ. Тоді штраф був виписаний згідно з директивою Data Protection Directive, яку замінив GDPR. Є думка, що при GDPR організації довелося б виписувати чек на набагато більшу суму.

Чи ефективний GDPR

Представники Єврокомісії вважають, що за минулий рік GDPR довів свою ефективність. За їх словами, регламент допоміг звернути увагу користувачів на проблему безпеки даних. Наприклад, кількість звернень, що реєструються британським регулятором, за минулий рік збільшилася майже вдвічі – з 21 тис. до 41 тис.

Але в ІТ-індустрії є думка, що GDPR всього лише створив ще один ринок для юридичних фірм та консультантів. За словами Бьорна Шторморкена (Bjørn Stormorken), фінансового директора шведської соціальної платформи Idka AB, головна мета, яку переслідують компанії в нових умовах, не безпека даних. Це – бажання задовольнити вимоги GDPR з мінімальними витратами.

Деякі регулятори не поспішають карати порушників. Близько десяти країн Євросоюзу не виписали жодного штрафу за GDPR. Серед них значаться: Бельгія, Хорватія, Чехія, Фінляндія, Іспанія та ін. Частина держав обмежилася відносно невеликими санкціями. У Латвії максимальне стягнення на сьогоднішній день дорівнює 2 тис. євро, а в Болгарії – 5 тис.

Хоча експерти кажуть, що в майбутньому можна очікувати різкого збільшення кількості штрафів і їх розмірів. Уже зараз в Ірландії вивчають справи кількох великих американських ІТ-компаній. Ймовірно, за ними будуть винесені позитивні рішення.

Вплив GDPR за межами ЄС

Стопами GDPR пішли багато держав, пропрацювавши свої закони щодо захисту даних. У минулому році відповідний законопроект представили в Індії. Автори кажуть, що документ складався з урахуванням особливостей регулювання ІТ в країні, але був привнесений і зарубіжний досвід. Інший приклад – CCPA, який схвалили в Каліфорнії.

Закон, аналогічний GDPR, вирішив впровадити Китай – його фінальну версію представили на початку цього року. Автори закону самі кажуть, що він був створений «за мотивами» GDPR. Його мета – дати жителям Китаю більше контролю над їх персональними даними.

Китайські регулятори вже почали оцінювати «масштаби проблеми». З січня вони перевіряють популярні додатки для смартфонів і дивляться, чи збирають ті зайву інформацію про користувачів. Перевірки торкнулися сервісів доставки їжі, таксі і навігаторів.

Деякі вважають, що новий закон дозволить привести до спільного знаменника 200 інших нормативних актів, що стосуються кібербезпеки. Однак професор Чи Аімі (Qi Aimiс) з Чунцинського університету все ж зазначив, що новий законопроект не повинен копіювати GDPR, оскільки в Китаї набагато більше інтернет-користувачів і одна з найрозвиненіших у світі цифрових економік.

Як себе проявить китайський законопроект, і який вплив він матиме на світове співтовариство – покаже час. Закон, дуже схожий на китайський вже підготували у В’єтнамі. А в Танзанії тісно співпрацюють з китайськими законодавцями, що відповідають за кіберпростір.

Джерело: habr.com