GDRP вступил в силу больше шести месяцев назад, но первые «письма счастья» регуляторы начали выписывать лишь недавно. В материале — о тех компаниях, которые их уже получили.


/ фото Kiefer CC BY-SA

«Мягкий запуск» GDPR


GDPR вступил в силу 25 мая 2018 года. К тому моменту все организации, которые хранят и обрабатывают персональные данные резидентов Евросоюза, должны были обновить пользовательские соглашения и привести все рабочие процессы в соответствие с требованиями регламента. За несоблюдение требований был установлен штраф в размере двадцати миллионов евро или четырех процентов годовой выручки компании-нарушителя.

Но не все компании отнеслись к регламенту с должным вниманием. Согласно исследованию аналитиков из Ponemon Institute, более половины европейских и американских организаций не успели выполнить все требования GDPR к дедлайну. Поэтому многие крупные издания, среди которых был и The Verge, предположили, что европейские регуляторы проведут «мягкий запуск» нового закона. То есть какое-то время не будут штрафовать нарушителей, рассматривая финансовые наказания как крайнюю меру.

В целом так и произошло, не понесли наказание даже такие крупные компании, как Facebook и Google. Жалобы на них подали в первый же день действия регламента. Тогда с иском обратился австралийский юрист и борец за защиту данных Макс Шремс (Max Schrems). Шремс утверждал, что компании принуждают пользователей давать согласие на обработку персональных данных под угрозой ограничения доступа к сервисам. И хотя рассмотрение дел еще ведется, есть вероятность, что в итоге обвинения снимут.

Кто все же получил штрафы


Через несколько месяцев после вступления GDPR в силу, европейские регуляторы ужесточили подход к компаниям. В ноябре регуляторный орган немецкого региона Баден — Вюртемберг (LfDI) назначил штраф чат-приложению для знакомств Knuddels. Этот случай стал первым наказанием по GDPR в Германии.

В сентябре сервис обнаружил «брешь», через которую в сеть утекли логины и пароли 330 тыс. пользователей. При этом оказалось, что все персональные данные хранились в виде незашифрованных текстовых файлов. Немецкий регулятор назначил компании штраф в размере 20 тыс. евро. Сумма получилась относительно небольшой, потому что в Knuddles оперативно сообщили об утечке и согласились внедрить дополнительные меры безопасности.


/ фото Stock Catalog CC BY

Другой штраф по GDPR, о котором стало известно в сентябре, назначила португальская комиссия по защите данных (CNPD). Его получила одна из больниц Португалии. В её системе хранения медицинских записей обнаружилась уязвимость, которая позволяла получить доступ к данным пациентов с помощью фальшивых профилей сотрудников. В системе обнаружили 985 зарегистрированных аккаунтов, хотя в больнице работали всего 296 врачей. Медучреждению пришлось заплатить 400 тысяч евро.

Был назначен и первый максимальный штраф за нарушение требований GDPR. Британский регулятор обязал канадскую консалтинговую компанию AggregateIQ выплатить двадцать миллионов евро за незаконный сбор и обработку данных пользователей социальных сетей для проведения таргетированных агитационных кампаний. Сейчас AggregateIQ пытается оспорить штраф, но, вероятно, компании все же придется расстаться со своими деньгами.

Кто еще может получить штраф


Пока что штрафы, назначаемые за нарушение требований GDPR, остаются довольно небольшими (за исключением ситуации с AggregateIQ), по сравнению с максимальным наказанием за невыполнение требований GDPR. Однако эксперт по защите данных и автор книг по информационной безопасности Гай Банкер (Guy Bunker) считает, что закон «ещё покажет зубы». Утечки данных происходят чуть ли не ежедневно, поэтому Банкер полагает, что в ближайшем будущем штрафы значительно возрастут.

С ним согласен и консультант по информационной безопасности Бенджамин Эллис (Benjamin Ellis). По его словам, пока регуляторы охотно помогали компаниям «латать бреши» в безопасности и практически не применяли штрафные санкции. Но Эллис считает, что в 2019 году к нарушителям регламента будут относиться суровее.

Одной из первых крупных «жертв GDPR» грядущего года может стать Microsoft. ИТ-гиганта обвинили в нарушениях при хранении данных пользователей — IP-адресов и заголовков пересылаемых электронных писем — приложений пакета Office. При этом часть этих данных попадала на серверы, расположенные в США (а не в Европе, как того требует GDPR), а пользователи не были предупреждены о сборе какой-либо телеметрии.

Ещё один большой штраф в ближайшее время грозит Facebook. В сентябре социальная сеть была взломана — злоумышленники похитили персональные данные 50 миллионов пользователей. Сейчас европейские регуляторы ведут расследование и пытаются определить, привела ли к утечке халатность Facebook и насколько граждане ЕС пострадали от кражи данных. Facebook могут обязать выплатить до четырех миллиардов долларов.

Можно предположить, что в следующем году штрафов за нарушения при обработке персональных данных пользователей в Европе будет становиться все больше. «Масла в огонь» подольет ePrivacy Regulation, который должен начать действовать в 2019-м.

Он дополнительно ужесточит правила работы с cookies и добавит головной боли ИТ-компаниям. А штрафы за несоблюдение его требований тоже высоки: от двух до четырех процентов годового дохода компании-виновницы или десять миллионов евро.



P.S. Материалы по теме из Первого блога о корпоративном IaaS:


P.P.S. Наш Telegram-канал про IaaS-технологии:

Комментарии (34)


  1. nagayev
    16.12.2018 22:29

    Вк похоже уже не оштрафуют, они ввели возможность скачать данные.
    Но вот летом kachkaev пробывал скачать данные и ему прислали какой-то архив со стремными текстовыми файлами.


    1. peresada
      17.12.2018 07:50
      +2

      А где-то установлены формат и качество предоставляемых данных?


      1. Tangeman
        17.12.2018 11:55

        В статье 20 GDPR говорится:

        ...in a structured, commonly used and machine-readable format...

        Текстовые файлы, формально, это вполне широко используемый и (иногда) машинно-читаемый формат, но они должны быть структурированы.

        Я не видел как выглядят файлы VK, но если их сложно парсить из-за отсутствия структуры — то машинно-читаемость ставится под сомнение. В случае разногласий у меня есть глубокие сомнения что суд встанет на сторону контроллера (если дойдёт до суда).


        1. peresada
          17.12.2018 12:10

          Слишком размытая формулировка, чтобы этим оперировать. По факту любой текст с элементарным соблюдением машинописи — это структурированный и машинно-читаемый формат. Ну и вряд ли ВК сделал это настолько плохо, насколько подразумевал nagayev


          1. khim
            17.12.2018 16:52

            Разбираться надо будет. Но не надо судей идиотами считать. Когда в своё время SCO в качестве «машинно-читаемого» формата прислала пачку CD со сканами распечаток исходников — суд пригрозил прекратить рассмотрение дела и влепить штраф «за неуважение к суду».


  1. shifttstas
    17.12.2018 00:26

    Когда там уже штраф для ВК будет? Они ж не удаляют данные, а по закону — должны.


  1. mSnus
    17.12.2018 02:37

    Я тут закрывал счёт в Альфа-Банке, зашёл к ним в офис. Попросил специалиста удалить все мои персональные данные и не присылать рекламу никогда больше.

    Ответ: «Нет, если вы были в Альфе, вы навсегда наш клиент. У нас даже возможности нет такой — удалить ваши данные. Звоните на горячую линию, они вам подтвердят. Ни про какие федеральные законы ничего на эту тему не знаем.»

    Москва, конец 2018-го года. Занавес.


    1. besitzeruf
      17.12.2018 03:07

      А причем тут Альфабанк в Москве?


      1. mSnus
        17.12.2018 03:11

        При состоянии дел в России с ФЗ-152 (наш аналог GDPR) на сегодня, в крупной компании в столице.


        1. besitzeruf
          17.12.2018 03:14

          Как думаете, будет ли разница в подаче заявления в суд в Евросоюзе и аналогично в России ( по якобы аналогу?)


          1. mSnus
            17.12.2018 03:17

            Не знаю, надо проверять, если время, опыт и желание есть. Пусть займётся кто-то с релевантным опытом.


            1. ALIron
              17.12.2018 12:17

              publication.pravo.gov.ru/Document/View/0001201810100001
              Есть такой интересный документ.
              Формально мы пока не подписали GDPR, но бодро движемся в эту сторону.


    1. n01d
      17.12.2018 09:20

      С альфой всё грустно, да. Лет 5 назад перестал быть их клиентом, но они продолжали наяривать звонками и рекламой. Сходил в офис, написал заявление, чтобы не хранили мои данные (его даже приняли тогда!). Звонки прекратились и я успокоился…

      Сейчас у нового работодателя зарплатный проект с альфой и пришлось снова стать их клиентом. Получил карту, активировал, зашёл в альфа клик и с ужасом обнаружил все свои данные и платежи 5-тилетней давности.


      1. MasMaX
        17.12.2018 10:36

        У меня с Открытием такой прикол. Звонял уже 4ый месяц, один раз трубку взял, но болтать было некогда, послал лесом. Теперь звонят я трубку не беру, звонит не робот. Насколько их хватит или уже пора бежать просить удалить меня из рассылки? Клиентом Открытия не являюсь уже года 3.


      1. TimsTims
        17.12.2018 11:36
        +1

        Вы немного путаете частную конторку и банки, которые под колпаком ЦБ и кучки законов. Если очень коротко, то банки обязаны все транзакции хранить всё время(иначе как ты сведешь дебет с кредитом, или докажешь что платил за что-то кому-то, если ваши транзакции просто будут удалятьсся). Персональные данные клиентов хранятся минимум от 5 лет. Поэтому претензии не к альфе, а вообще к банковской системе. Точнее даже к законам ЦБ. Если вас смущает такое положение дел, то вам явно не стоит пользоваться банками)


        1. vedenin1980
          17.12.2018 14:01
          +1

          Поэтому претензии не к альфе, а вообще к банковской системе. Точнее даже к законам ЦБ

          В странах ЕС тоже самое, GDPR специально оговаривает такой случай.


          1. khim
            17.12.2018 16:57

            Не совсем тоже самое. Дойч-банк к примеру, не показывает ничего дальше последних 6 месяцев. Хочешь получить сведения об операциях десятилетней давности? Нет проблем — топаешь ножками в банк, заказываешь распечатку, получаешь.

            Мне это кажется наиболее разумным компромиссом между требованиями законов, подобных GDPR, и требований банковской системы.


            1. vedenin1980
              17.12.2018 17:54

              Вопрос о хранении данных, не о показе их клиенту. У меня есть подозрение, что то что показывает Дойч банк только за 6 месяцев связано не с GDPR'ом, а банальными техническими ограничениями (очевидно, намного проще работать с базой за полгода, чем за 10 лет). Тот же скайн тоже, если правильно помню, не хранит глобальную историю чатов более полугода, хотя тут уж никакого GDPR'а нет. Многие российские банки ограничивали историю в онлайн банкинге 3-6 месяцами еще когда о защите персональных данных никто даже не думал.

              Скажем, N26 легко и мгновенно выдает мне все выписки онлайн с момента регистрации почти 2 года назад, что намного удобнее.


              1. khim
                17.12.2018 17:59

                Скажем, N26 легко и мгновенно выдает мне все выписки онлайн с момента регистрации почти 2 года назад, что намного удобнее.
                Удобнее не только вам, но и злоумышеленникам, увы.

                Но это вечный вопрос про сочетание удобства и безопасности…


                1. vedenin1980
                  17.12.2018 18:13

                  Удобнее не только вам, но и злоумышеленникам, увы.

                  А чем поможет злоумышленикам знания о том какие транзакции я переводил 2 года назад? Точнее если они уже проберутся в мой онлайн банкинг, вряд ли для меня что-то сильно поменяется от того что они увидят транзакции за полгода или за два года.

                  При том что далеко не факт, что обычные сотрудники Долче банка не могут увидеть транзакции больше чем за полгода (как-то они же получают выписки за 10 лет?)


        1. mSnus
          17.12.2018 14:06

          Ниже тоже написал — хотелось бы (а вдруг?), чтобы была разница между пассивным хранением «на всякий случай» и активным использованием.


    1. vedenin1980
      17.12.2018 14:00

      Ответ: «Нет, если вы были в Альфе, вы навсегда наш клиент. У нас даже возможности нет такой — удалить ваши данные. Звоните на горячую линию, они вам подтвердят. Ни про какие федеральные законы ничего на эту тему не знаем.»

      Москва, конец 2018-го года. Занавес.

      Вы не поверите, но в Европе скорее всего вы получили бы тот же ответ. Дело в том, что GDPR специально оговаривает, что если по законам страны (налоговым, финансовым и т.п.) требуется хранить данные сколько-то лет, огранизация имеет полное право отказаться их удалять. Так как банковская сфера зарегулирована почти во всех странах, почти в любой стране ЕС банк должен хранить данные о клиентах и транзакциях N лет.


      1. mSnus
        17.12.2018 14:02

        Интересно, а в Европе есть разница между «хранить (для возможных следственных действий)» и «использовать (для рекламных нужд банка и его друзей)»?


        1. Tangeman
          17.12.2018 16:04

          Есть. Хранить можно, использовать (без явного разрешения) нельзя, в т.ч. передавать кому-то (кроме уполномоченных госорганов).


          1. khim
            17.12.2018 16:59

            Ещё самому клиенту можно выдавать — к госорганам для этого не требуется обращаться.


      1. TimsTims
        17.12.2018 14:19
        +1

        о клиентах и транзакциях N лет
        Точнее: о клиентах N лет после закрытия счета(ибо что если счет не закрыт, и на нём уже 10 лет лежат ваши деньги?), а о транзациях — всё время(сводить дебет с кредитом, чтобы понимать, как у компании оказалось на счете 1 млрд, полученный за 10 лет транзакций).


    1. tumikosha
      17.12.2018 18:26

      Они действительно не могут удалить ваши данные.
      Есть такое понятие, как «законный интерес»


  1. susnake
    17.12.2018 10:46

    А куда вообще уходят вот эти штрафы? Вот например ситуация в ФБ. Ну определят что из 50млн пользователей, допустим 100к были из ЕС. Назначат штраф в, условно, 1 миллиард. И куда уйдут эти деньги? Определят кто из какой страны, разобьют штраф в просцентном соотношении и в соответствии с этим штраф уйдет в ту или иную страну или выпалата будет именно пострадавшим-пользователям?


  1. paranoya_prod
    17.12.2018 11:01

    Объясните мне, какая разница для человека-пользователя сети Интернет, в какой стране стоит сервер, который хранит его персональные данные? Для правительств и их структур, я ещё как-то могу представить необходимость хранения на своей территории, но не для конкретного человека.


    1. gurux13
      17.12.2018 11:09

      Сервер, находящийся в стране А, подпадает под её юрисдикцию. В частности, под законы о раскрытии данных и всяких там сотрудничествах с правоохранителями. Если Вы — житель страны Б, вам бы хотелось, чтобы Ваши данные подпадали под юрисдикцию вашей же страны. Ну, по крайней мере, правительству страны Б так хочется.


  1. gurux13
    17.12.2018 11:06

    Интересно было бы послушать про случаи нарушений, выявленных аудитом, а не реальной утечкой данных. Пока выглядит так, что аудит крайне неэффективен, а ведь по gdpr должен быть жестким.
    Например, как Microsoft поймали на хранении данных не там?


  1. amarao
    17.12.2018 12:04

    При том, что не все инициативы ЕС вызывают радость, GDPR — лучшее, что случилось за этот год. Я лично слышал товарища (Кипр), который плакался, что ему придётся стирать архив всех паспортов, которые он насканил за эти годы в рамках оказания услуг. Я ему, конечно, покивал сочувственно, но, какая же всё-таки благодать…


  1. scruff
    17.12.2018 16:13

    Интересно, кто получит по шапке в оштрафованных компаниях в первую очередь? Младший ИТ-персонал, по старинке?


    1. tumikosha
      17.12.2018 18:29

      В законе указано кто.
      В компании должен быть ответственный за контроль над данными. Если его нет, то директор.
      Заставят уплатить при пересечении границы Евросоюза