Головна » Блог » Digital-стратегії » Порушення вимог GDPR: причини, наслідки та приклади

Порушення вимог GDPR: причини, наслідки та приклади

23.06.2023
3059
10хв

 

Загальний регламент захисту даних (GDPR) був прийнятий Європейською Радою та Європейським Парламентом 27 квітня 2016 року. Це була найзначніша зміна в європейському законодавстві про захист даних з 1998 року.

Варто зазначити, що метою GDPR є не покарання бізнесу, а захист персональної інформації людей і розширення їхніх прав та повноважень щодо власних конфіденційних даних. Незалежно від того, чи ваш бізнес розташований в одній з країн ЄС, чи він обслуговує його громадян, вам потрібно впровадити зміни. Окрім цього, слід дотримуватися вимог GDPR, якщо ви:

  • хочете покращити рівень утримання клієнтів і збільшити дохід компанії;
  • ще не маєте  компанії, яка функціонує, але ви плануєте створити стартап;
  • є розробником мобільних застосунків або веб-сайтів;
  • використовуєте цільову рекламу, соціальні медіа та інші інструменти онлайн-маркетингу для залучення нових клієнтів.

Що станеться, якщо ваша компанія не дотримуватиметься своїх зобов’язань відповідно до GDPR? У цій статті ми розглянемо види штрафів та порушень відповідно до регламенту, а також поговоримо про можливі наслідки. 

Порушення вимог GDPR



Види штрафів відповідно до GDPR

Виконання своїх зобов’язань згідно з GDPR може здатися складним завданням, але просто ігнорувати регуляторні норми – це не варіант. Компанії, які їх порушують, можуть бути оштрафовані. Загальний регламент захисту даних розроблено для застосування до всіх типів бізнесу, і будь-яка організація, незалежно від її розміру, несе значну відповідальність. Нижче ми розглянемо структуру адміністративних штрафів, спосіб їх нарахування та види порушень, які можуть призвести до покарання.

GDPR має два рівні штрафів, які визначено в статтях 83 і 84. Перший рівень — це менш серйозні порушення, які караються накладенням штрафу у розмірі до 10 мільйонів євро або 2% світового річного доходу компанії за попередній фінансовий рік (залежно від того, яка сума більша). До першого рівня штрафів належать порушення статей, що регулюють: 

  • Контролери та обробники. Організації, які збирають і контролюють дані (контролери), а також ті, з якими укладено контракт на обробку даних (обробники), повинні дотримуватися правил захисту даних, законної основи щодо обробки інформації тощо. 
  • Органи сертифікації. Уповноважені органи з сертифікації повинні бути неупередженими та дотримуватись законодавства. 
  • Моніторингові органи. Органи, які призначені відповідним рівнем, мають демонструвати неупередженість та дотримуватися встановленої процедури розгляду скарг про порушення.

Другий рівень штрафів накладається за порушення, що суперечать самим принципам права на конфіденційність. Недотримання правил може призвести до накладання штрафу в розмірі до 20 мільйонів євро, або 4% світового річного доходу фірми за попередній фінансовий рік (залежно від того, яка сума є більшою). До них належать будь-які порушення статей, які регулюють:

  • Основні принципи обробки даних. Обробка даних має здійснюватися в законний, справедливий і прозорий спосіб. Організаціям дозволяється обробляти дані, якщо випадок стосується однієї із шести законних підстав. Зокрема заборонена обробка певних типів персональних даних, таких як: расове походження, політичні погляди, релігійні переконання, членство в профспілках, сексуальна орієнтація, стан здоров’я, біометричні дані.
  • Умови згоди. Якщо обробка даних виправдана згодою людини, тоді компанія має це підтвердити відповідними документами.
  • Права суб’єктів даних. Люди мають право знати, які їхні дані збирає компанія та де вона їх використовує. Людина має право отримати копію зібраних даних, внести до них зміни, а в деяких випадках – видалити. Окрім цього, людина також має право передати свої дані іншій організації.
  • Передача даних міжнародній організації або одержувачу в третій країні. Перш ніж компанія передасть будь-які персональні дані третій країні або міжнародній організації, Європейська комісія повинна вирішити, що ця країна або організація забезпечує відповідний рівень захисту.
  • Будь-яке порушення законів держав-членів, прийнятих згідно з Розділом 9. Розділ 9 надає державам-членам ЄС можливість приймати додаткові закони про захист даних, якщо вони відповідають GDPR. Будь-яке порушення цих законів також загрожує накладанням адміністративного штрафу.
  • Невиконання розпорядження наглядового органу. Якщо організація не виконує розпорядження контролюючих органів GDPR, тоді їй загрожує накладання ще більшого штрафу (незалежно від того, яким за тяжкістю було початкове порушення).

Отож, штрафи першого рівня будуть застосовані, якщо компанія не надасть інвентаризацію діяльності з обробки даних, не співпрацює з наглядовим органом або не повідомляє особисту інформацію щодо діяльності. 

Другий рівень застосовується, якщо компанія не зможе продемонструвати відповідність основним принципам, таким як застосування справедливих умов для отримання згоди, не обробляє персональні дані для законних цілей, не поважає права суб’єктів даних або передає персональні дані одержувачу в третій країні без гарантій.

Критерії накладення штрафів GDPR

Рішення про штрафи зазвичай приймає наглядовий орган у кожному конкретному випадку, і рішення про накладення штрафів повинно включати такі фактори, як:

  • характер, тяжкість і тривалість порушення;
  • порушення є навмисним або через недбалість;
  • категорії персональних даних, яких це стосується;
  • кількість суб’єктів даних і вплив на них;
  • заходи, які були вжиті для захисту даних;
  • рівень співпраці з контролюючим органом;
  • дотримання галузевих стандартів;
  • історія попередніх порушень.

Якщо регулятори визначать, що організація має кілька порушень GDPR, вона буде покарана лише за найсерйозніше з них (за умови, що всі порушення є частиною однієї операції обробки).



Приклади порушення GDPR: репутаційна шкода

Окрім потенційного штрафу, компанія може зазнати серйозної репутаційної шкоди. Споживачі хочуть знати, що вони мають справу з організаціями, які серйозно ставляться до захисту їхніх даних. Отож, якщо ви не дотримуєтеся правил, ви ризикуєте відштовхнути потенційних клієнтів від своєї компанії. Нижче ми розглянемо кілька прикладів порушень правил GDPR всесвітньо відомими брендами. 

Meta

Материнська компанія Facebook Meta має найбільший штраф GDPR за всю історію. Так, 22 травня 2023 року наглядовий орган Ірландії наклав на конгломерат соціальних мереж рекордний штраф у розмірі 1,2 мільярда євро за передачу даних, зібраних від користувачів Facebook із ЄС до США, що порушує міжнародні вказівки щодо передачі даних GDPR.

На додаток до величезного штрафу, Meta було сказано припинити міжнародні перекази та виправити усі порушення протягом п’ятьох місяців. У Meta заявили про плани оскаржити це рішення, що, ймовірно, призведе до тривалого судового процесу. 

Instagram 

Другий за величиною штраф GDPR, який коли-небудь накладався, був накладений на Instagram уповноваженим органом Ірландії. Так, платформу оштрафували на 405 мільйонів євро за порушення правил обробки даних дітей без правових підстав. Порушення полягає в тому, що номери телефонів та адреси електронної пошти дітей віком від 13 до 17 років були розміщені у відкритому доступі.

У відповідь Instagram заявив, що не погоджується із розміром та причиною нарахування штрафу. 

Google

Іспанський орган із захисту даних Agencia Española de Protección de Datos (AEPD) оштрафував Google на 10 мільйонів євро. AEPD виявила, що Google без дозволу користувачів передавав дані, зібрані від громадян ЄС, дослідницькому проєкту Lumen, який базується в Сполучених Штатах. Крім того, форма, яку користувачі повинні були заповнити, щоб видалити свою інформацію, була складною, що порушувало право користувачів на видалення особистих даних.

У Google заявили, що компанія перегляне свою діяльність на відповідність положенням про конфіденційність.

Uber 

Популярну компанію з обслуговування поїздок Uber оштрафували італійські органи захисту даних на 4,24 мільйона євро. У 2016 році компанія Uber зазнала витоку даних. У відкритому доступі опинилася така інформація: ім’я, прізвище, номер телефону, електронна адреса, облікові дані для доступу до програми, дані локалізації та дані, пов’язані з іншими користувачами, як-от обмін поїздками. В Італії від цього постраждали 52 000 водіїв і 243 000 пасажирів. 

Італійське DPA виявило, що Uber порушив GDPR. Політика конфіденційності, яку Uber пропонував своїм користувачам, була недосконалою. Крім того, Uber обробляв дані без згоди користувачів. 

Під час розгляду справи у представництві компанії заявили, що Uber завжди надавав своїм користувачам інформацію про те, як виконується обробка даних, а політика конфіденційності завжди оновлювалася. Однак, аргументів Uber було недостатньо, щоб уникнути санкцій GDPR.

Vodafone España

Іспанська агенція із захисту даних AEPD оштрафувала Vodafone España за порушення правил GDPR. AEPD виявила, що методи, які Vodafone використовував для дублювання SIM-карт, порушували права людей щодо конфіденційності шляхом передачі особистих даних третій стороні. Розслідування також виявило, що Vodafone не не дотримувався достатніх заходів безпеки, що збільшило ризик крадіжки особистих даних. Vodafone не погодився і заявив, що його пріоритетом є конфіденційність клієнтів. 

WhatsApp 

Комісія із захисту даних Ірландії (DPC) дослідила процеси обробки даних WhatsApp і виявила численні порушення, що призвело до штрафу в розмірі 225 мільйонів євро. DPC визначив, що WhatsApp не зміг забезпечити належну прозорість для користувачів щодо використання даних. DPC також виявив, що WhatsApp не надав користувачам достатньо чіткої політики конфіденційності.

WhatsApp оскаржив рішення DPC, стверджуючи, що користувачам надається повна і точна  інформація про використання даних. Рішення DPC також натрапило на заперечення з боку інших країн ЄС, включаючи Францію, Німеччину та Італію.

Згідно з правилами, штраф не може зменшитись, навіть якщо апеляція спричинить якісь зміни. Натомість Європейська рада із захисту даних наказала DPC переоцінити штраф і  встановити ще вищу суму штрафу.



Висновки

Варто зазначити, що не всі порушення вимог GDPR призводять до накладання штрафів. Органи нагляду мають низку коригувальних повноважень і санкцій для забезпечення дотримання правил. До них належать:

  • Винесення попереджень і доган.
  • Накладення тимчасової або постійної заборони на обробку даних.
  • Наказ про виправлення, обмеження або видалення даних;.
  • Призупинення передачі даних у треті країни.

Крім того, суб’єкти даних мають право подати судовий позов проти контролера або процесора, якщо він або вона вважає, що його або її права згідно з GDPR були порушені. Незважаючи на це, не радимо випробовувати долю: підготуйте свою компанію до нових реалій, щоб уникнути значних наслідків у майбутньому. 

Хочете працювати з нами й отримувати максимальний результат від інтернет-реклами та просування?

Останні матеріали рубрики

Що таке UGC-контент та як його використовувати для розвитку...

UGC є не лише джерелом автентичного контенту, а й ефективним інструментом оптимізації маркетингових витрат. Його використання сприяє...

ШІ для написання текстів: 16 інструментів для копірайтерів...

У статті розглянемо популярні ШІ для написання текстів з урахуванням конкретних бізнес-потреб. Це допоможе не лише зекономити час на...

Як створити та налаштувати рекламний кабінет Meta: все про...

Результативність кампаній Meta Ads залежить не лише від якості креативів чи налаштувань таргетингу, а й від коректного налаштування...

Топ книг про маркетинг: що читати маркетологам, щоб...

Начитаність та навчене око — необхідні скіли маркетолога. Книги з маркетингу розширюють кругозір, допомагають знаходити цікаві...

Підпишіться на нашу розсилку
Будьте в курсі останніх новин та спецпропозицій
Підписка на розсилку в Telegram
Залишились питання?
Наші експерти готові відповісти на них

 

Зв’яжіться за вказаним нижче телефоном з нашим менеджером або скористайтеся послугою «Зателефонуйте мені». Ми зв’яжемося з вами найближчим часом.

Спокійний за просування своїх проєктів в інтернеті
Кожен в команді— майстер своєї справи
Ціную Webpromo за гнучкість
Виконують всі задачі, досягаючи кращих КРІ
Рекомендую Webpromo як надійних партнерів
Кратно зросли показники приросту органічного трафіку
Серед багатьох ми обрали Webpromo

Ми використовуємо cookie-файли для надання найбільш актуальної інформації.

Продовжуючи використовувати сайт, Ви погоджуєтесь з використанням файлів cookie.

Політика конфіденційності