Утечки персональных данных: громкие кейсы и ответственность

Утечки персональных данных: громкие кейсы и ответственность
Ирландия: Компания Twitter, Inc. была оштрафована за нарушение GDPR на сумму 450 тыс. евро. (около 576 тыс. долл. США). Штраф был назначен за неисполнение требования о фиксации нарушения безопасности персональных данных и о уведомлении в течении 72 часов об утечке персональных данных произошедшей в 2018 г., как объяснил представитель компании нарушение было допущено из-за проволочек с комплектации кадрами на период рождественских и новогодних праздников. Сама утечка стала результатом технического сбоя в работе микроблогов. Так, если пользователь менял привязанный к его учетной записи адрес электронной почты, то его скрытые посты становились видимыми для всех остальных пользователей.

Франция: Летом 2020 г. Государственный совет Франции поддержал надзорный орган в апелляционной инстанции по штрафу в €50 млн. к компании Google за непрозрачные правила обработки персональных данных, не позволяющие пользователю мобильной ОС Android сделать информированное решение, и отсутствие достаточного правового обоснования для сбора ПД с целью формирования персонализированной рекламы.
В декабре 2020 г. надзорный орган Франции, ответственный за защиту ПД, выписал три штрафа за неправомерное использование cookie-файлов в отношении американских компаний: два в отношении Google LLC и Google Ireland Limited, один в отношении Amazon Europe Core Sarl. Все три компании размещали cookie-файлы на компьютере пользователя до получения на то его согласия. Сверх того, Google в соответствующем баннере с настройками cookie-файлов не сообщала пользователям об их автоматической загрузке на устройство пользователя, а при использовании пользователем механизма выраженного согласия (opt-out), на его устройстве все равно оставался одни из файлов. Amazon также не выполнял требования по информированию пользователей — как о целях использования cookie-файлов, так и о возможностях отказа от их использования.

Германия: Во внутренней сети компании розничного продавца одежды H&M оказались в неограниченном доступе персональные данные сотрудников. Помимо самого факта утечки выяснилось, что компания систематически собирала специальные категории персональных данных о своих сотрудниках (в том числе сведения о проведенных отпусках и праздниках, больничных, симптомах болезней и диагнозах, религиозных предпочтениях) для создания досье (профайлинга) и оценки с помощью него производительности труда. На компанию наложили штраф в размере €35,3 млн. 
Notebooksbilliger.de, компания розничной торговли электроники, была оштрафована регулятором Нижней Саксонии за использование неограниченного по времени и кругу лиц видеонаблюдения в торговых и складских помещениях, из-за чего нарушались как права работников, так и клиентов. Компания получила штраф в €10,4 млн.

США: 6 февраля 2021 г. федеральный судья Калифорнии вынес решение в пользу истцов-пользователей штата Иллинойс к компании Facebook, Inc. Социальная сеть использовала функции распознавания и отметки лиц на фотографиях без получения на то согласия пользователей. По настоящему решению компания обязана выплатить 650 млн. долларов США. Выплаты получат 1,6 миллиона пользователей социальной сети из штата Иллинойс. Общая сумма выплат и сумма которую получит каждый из истцов считается для американской судебной практики по таким делам достаточно крупной (340$ каждому пострадавшему), хотя и не является неподъемной для компании Facebook, в особенности по сравнению с выплатой в $5 млрд. по соглашению с ФТК США. Окружной судья поставил акцент на том, что пострадавшие не понесли материального ущерба, но эти деньги компания заплатит из собственного кармана за нарушения конфиденциальности пользователя. Тем не менее по словам прокурора штата, это победа знаменует, что закон по защите приватности биометрических данных штата Иллинойс, нарушения которого и стали причиной судебного процесса против компании, останется надолго.

Судя по документам, поданным 25 февраля 2021 г. в окружной суд штата Иллинойс ByteDance, владелец сервиса видеохостинга TikTok, согласился выплатить $92 млн. долларов США в рамках мирового соглашения по коллективному иску пользователей сервиса. Это уже не первый штраф за нарушение приватности в приложении TikTok, так в 2019 г. когда сервис принадлежал компании Musical.ly, ФТК налагала штраф в размере $5,7 млн. за неисполнение требований COPPA (федеральный закон о защите приватности малолетних в Интернете) получения согласия от родителей (законных представителей) детей чьи персональные данные обрабатывались в приложении TikTok. Аналогичное нарушение было установлено в 2019 г. у компаний Google и ее дочернего предприятия YouTube, LLC. В результате они обе получили штрафы на сумму $170 млн. долларов США ($136 млн. и $34 млн. по обвинениям ФТК США и генерального прокурора штата Нью-Йорк соответственно) за сбор персональных данных детей без согласия их родителей, что составляет пока самую крупную санкцию за нарушение федерального закона COPPA.

24 июля 2019 г. ФТК США объявил об утверждении судом соглашения с компанией Facebook, по которому она обязана выплатить $5 млрд. в Казначейство США за нарушение предписания ФТК от 2012 г. Как установила ФТК, компания неоднократно вводила пользователей в заблуждение касательно применяемой политики конфиденциальности компании, использованию персональных данных пользователей, и передавала информацию о пользователях третьим лицам, которую они хотели оставить приватной. Помимо этого, компании Facebook предписали поменять корпоративную структуру и проводить регулярную проверку деятельности компании по защите персональных данных силами внешнего аудитора.

Италия: 15 января 2020 г. итальянский надзорный орган наложил штраф на две итальянские телекоммуникационные компании. В первом случае под прицел надзорных органов попала практика телекоммуникационной компании TIM, осуществлявшей обзвон как людей не дававших согласие на получение маркетинговых звонков, так и людей, отозвавших свое согласие на их получение. У другой итальянской телекоммуникационной компании Windrte, помимо схожих нарушений, было выявлено, что в своем фирменном приложении компания запрашивала согласие субъектов ПД на обработку персональных данных и ограничивало их право на отзыв его согласия. Обеим компаниям выписали штрафы в размере 27,8 млн. евро и 18,6 млн. евро соответственно.

Норвегия: Национальный регулятор оштрафовал на €10 млн. владельцев приложения для знакомств Grindr за несоблюдение требований по согласию субъектов ПД. Так, например в соглашении не было положений, уведомляющих пользователя о фактически существующей передаче ПД третьим лицам. Кроме того, регулятор обратил внимание на недопустимый подход «все или ничего» к соглашению с пользователями, ставящий их перед выбором: либо соглашаться на условия предлагаемые в документе об обработке ПД, либо вовсе отказаться от использования приложения.

Великобритания: 16 октября 2020 British Airways получила штраф в £20 млн. за невыполнение обязательств по обеспечению безопасности ПД. В 2018 г. в результате взлома были скомпрометированы данные около 429 тыс. клиентов и сотрудников авиаперевозчика, в частности информация для авторизации, платежей, их имена и адреса, данные кредитных карт и CVV коды. Изначально в 2019 г., британский регулятор намеревался выписать штраф на сумму £183 млн. фунтов ($238 млн.), компания обжаловала решение и в октябре 2020 г. когда на мировом рынке авиаперевозчиков сохранялась тяжелая ситуация, сумма штрафа была уменьшена до £20 млн. фунтов стерлинга (около $26 млн.). По мнению британского регулятора, компания могла бы использовать такие экономически и технически доступные меры, как многофакторную аутентификацию, тестирование угроз и симуляцию кибер-атак, ограничение программной среды. Вдобавок, против авиаперевозчика был подан коллективный иск со стороны около 4500 пострадавших субъектов персональных данных, который был урегулирован в досудебном порядке. Детали досудебного соглашения не разглашаются.

Схожая ситуация была и вокруг утечки персональных данных из системы бронирования компании Marriott. В 2016 г. Marriott приобрел компанию Starwood Hotels and Resorts Worldwide, у которой, как стало известно в 2018 г., из-за кибератаки 2014 г. были скомпрометированы данные 338 млн. человек. Изначальная сумма штрафа к взысканию, озвученная британским регулятором £100 млн. фунтов была снижена до £18 млн.: регулятор принял во внимание тяжелую ситуацию в гостиничной и туристической отраслях, а также оперативные действия Marriott, направленные на смягчение ущерба, понесенного клиентами, и повышение уровня безопасности персональных данных.

Китай: последние месяцы 2021 г. власти КНР оказывают значительное давление на китайские компании IT-сектора. Среди громких имён известных гражданам России в расследованиях, проверках и предписаниях китайских регуляторов фигурирует недавно вышедшая на российский рынок компания DiDi, агрегатор услуг каршеринга и такси. Управление Китая по киберпространству (Cyberspace Administration of China) обнаружило, что компания незаконно собирает персональные данные своих пользователей и предписало привести деятельность в соответствие с существующим регулированием, а также удалить фирменное приложение из китайских магазинов приложений. Претензии со стороны регулятора создали негативный информационный фон после выхода компании через процедуру IPO на американский фондовый рынок, что оказало ценовое давление на акции компании, а удаление  приложений из магазинов по сути приостановило приток новых пользователей.


Подпишитесь на нашу рассылку

Это рассылка о самых актуальных новостях и тенденциях цифрового права. Раз в две недели мы отправляем дайджест самых важных событий нашей сферы с аналитикой наших экспертов