Утечка данных: штрафы за нарушения GDPR

Штрафы за нарушения GDPR, связанные с утечкой данных, регуляторы Европы назначают уже более пяти лет. За связанные с утечкой данных инциденты в прошлом году вынесено треть всех штрафов за нарушения общего регламента по защите данных в Евросоюзе. По результатам исследования экспертно-аналитического центра InfoWatch получены данные по отраслям и приведены примеры штрафов за утечку данных.

Экспертно-аналитический центр группы компаний InfoWatch (ЭАЦ) провел исследование штрафных мер и других санкций, которые органы по защите данных стран Европейского Союза накладывают в соответствии с Общим регламентом ЕС по защите данных (General Data Protection Regulation, GDPR).  Отметим, что аналитики ЭАЦ не претендуют на полноту исследования, тем более, вероятно, достоянием общественности становится не вся информация о вынесенных наказаниях за нарушения GDPR. Обращаем внимание, что ЭАЦ не исследовал санкции, наложенные в соответствии с национальными и местными законами, напрямую не связанными с защитой данных, например, с законами о конкуренции, а также в соответствии со старыми европейскими законами о безопасности информации, принятыми до вступления в силу GDPR в 2018 году.

В ходе исследования найдена информация о 526 штрафах, назначенных уполномоченными органами в 2023 году за различные нарушения GDPR. Эти нарушения касаются правил сбора, обработки, хранения, передачи информации. В частности, регуляторы штрафуют компании и госорганы за невыполнение запросов субъектов персональных данных на удаление информации, за рекламные рассылки с использованием информации о людях, за отсутствие информирования людей об установке видеонаблюдения, за отказ в предоставлении сведений по запросу уполномоченных органов, отсутствие реализации принципа минимизации данных  и т.д. При этом широкий спектр штрафов за нарушения GDPR связан с утечками данных и нарушением конфиденциальности.

По данным ЭАЦ, в 2023 году 168 всех штрафов за нарушения GDPR были связаны с утечками данных и нарушением конфиденциальности граждан. Это 31,9% всех штрафов, назначенных регуляторами в течение года по всем статьям GDPR.

Напомним, что, согласно положениям GDPR, сумма штрафа за различные нарушения может составлять до 4% оборота организации. Общая сумма штрафов за нарушения пунктов GDPR, связанных с утечками информации и нарушением конфиденциальности, в 2023 году составила 368,56 млн евро. Правда, львиную долю этой суммы составляет штраф компании Tik Tok Limited, вынесенный комиссией по защите данных в Ирландии (в этой стране работает европейское представительство Tik Tok).

Информационный регулятор Ирландии (DPC) оштрафовал Tik Tok на 345 млн евро за недостаточную защиту информации несовершеннолетних пользователей. В ходе расследования установлено, что все аккаунты несовершеннолетних были в открытом доступе, из-за чего любое лицо могло получать информацию о ребенке. Кроме того, функция родительского контроля, с помощью которой родители могли связывать свои учетные записи с профилем ребенка, позволяла осуществлять те же действия посторонним лицам, что ставило под угрозу конфиденциальность и безопасность несовершеннолетнего.

Средняя сумма штрафов за нарушения GDPR, связанные с утечками данных и нарушением конфиденциальности, составила 2,19 млн евро. Без учета гигантского штрафа, назначенного компании Tik Tok, средняя сумма составила примерно 111 тыс. евро.

Второй по размеру штраф был назначен компании Endesa, поставщику электроэнергии в Испании.

Испанский уполномоченный орган по защите данных (AEPD) оштрафовал компанию Endesa Energia на 6,1 млн евро после получения уведомления о нарушении безопасности. Endesa призналась, что был зарегистрирован несанкционированный доступ к определенным информационным системам. Утечка информации могла затронуть тысячи клиентов компании. Кроме того, компания обнаружила, что неизвестные продают в Сети учетные данные для доступа к ее платформам.

Третий по величине штраф в 2023 году также был выписан в Испании.

Caixabank выплатит 5 млн евро за то, что клиент получил файл с информацией о переводе от третьего лица. Документ содержал персональные данные третьей стороны, такие как имя и банковские реквизиты субъекта данных. В ходе расследования инцидента испанская комиссия по защите данных выяснила, что банк не принял необходимых организационно-технических мер для защиты персональных данных и предотвращения подобных инцидентов.

Отметим, что в Испании зафиксировано наибольшее количество штрафов за утечки в ЕС — всего 50 штрафов, что составляет 29,8% от общего количества. На втором месте Италия с долей 23,2%, на третьем — Румыния с долей 17,2%. Всего за 2023 год штрафы за утечки данных и нарушения, связанные с конфиденциальностью, зарегистрированы в 20 странах, включая 17 государств Европейского Союза, а также Исландию и Норвегию, которые не входят в ЕС, но на их территории действуют правила GDPR, и Великобританию, которая вышла из ЕС.

Четвертое место по размеру штрафа заняла страховая компания Trygg-Hansa из Швеции.

Шведское управление по защите конфиденциальности (IMY) на 3 млн евро оштрафовало компанию Trygg-Hansa за размещение в открытом доступе персональных данных сотен тысяч клиентов. В ходе расследования IMY выяснила, что доступ к внутренней базе компании был доступен без аутентификации, документы застрахованных лиц можно было просматривать по ссылке, изменив в URL-адресе идентификационный номер клиента.

На пятом месте по размеру штрафа находится коллекторское агентство B2 Kapital из Хорватии.

Уполномоченный орган по защите данных в Хорватии (SA) на 2,265 млн евро оштрафовало агентство по взысканию долгов B2 Kapital. Выяснилось, что из-за пренебрежения мерами безопасности в агентстве было нарушена конфиденциальность данных клиентов. Утекли имена, фамилии, даты рождения и персональные данные по меньшей мере 132 тыс. человек. Установлено, что инцидент продолжался с 2019 года.

В ходе исследования установлено, что размер пяти штрафов (3%) в 2023 году составил свыше 1 млн евро в каждом случае. Еще 14 штрафов (8,3%) назначены на сумму от 100 тыс. до 1 млн евро. Количество штрафов на сумму от 10 тыс. до 100 тыс. евро составило 75 (44,7%). Штрафов в размере менее 10 тыс. евро каждый назначено 72 (42,8%). Размер двух штрафов (1,2%) не установлен.

Приведем четыре отрасли, в которых зарегистрировано наибольшее количество штрафов за утечки данных по GDPR: Здравоохранение (15,5%), Телекоммуникации (14,9%), Государственные организации (13,7%), Финансы и страхование (13,1%).

В заключение напомним статистику по штрафам за утечки данных, приведенную Роскомнадзором — отечественным регулятором, в задачи которого входит защита персональных данных. За 2023 год суды по представлению Роскомнадзора рассмотрели 87 протоколов по фактам утечек персональных данных и назначили штрафы на общую сумму 4,6 млн рублей. За 2022 год было рассмотрено 66 протоколов, а сумма штрафов составила 2,4 млн рублей. Увеличение количества штрафов и их общей суммы является следствием роста количества утечек данных и повышения общественного внимания к этой теме. 

Не первый в год в России обсуждается вопрос ужесточения ответственности за утечки информации. Один из вариантов — введение оборотных штрафов провинившимся организациям, как и в GDPR. Так, в конце 2023 года в Государственную Думу внесен законопроект о введении штрафов такого типа за утечки персональных данных. Предложено устанавливать наказание в размере от 0,1% до 3% от оборота компании. Проект проходит доработку. В частности, в нем необходимо учесть смягчающие обстоятельства перед вынесением решения.