GDPR: 15 kar za naruszenie przepisów dotyczących prywatności

12 marca
Sasha Aksenova, Chief Compliance Analyst
GDPR: 15 kar za naruszenie przepisów dotyczących prywatności
Kiedy uchwalono GDPR, było sporo zamieszania, głównie dlatego, że była to tak naprawdę pierwsza ustawa o prywatności z ogromnymi ustalonymi karami (grzywny do 20 000 000 EUR lub w przypadku przedsiębiorcy do 4% całkowitego globalnego rocznego obrótu z poprzedniego roku budżetowego, w zależności od tego, który z nich jest wyższy), ale grzywny za naruszenie prywatności przed zdarzały się jeszcze przed GDPR. Zebraliśmy kilka spraw dotyczących z naruszeń prawa prywatności i związanyme z nimi kary: duże i małe, dla dużych firm i małych firm, a nawet dla osób fizycznych.

Największe naruszenie danych w rekordach

Największym wyciekiem danych w rejestrach był wyciek w Yahoo!. W rzeczywistości doszło do kilku naruszeń: w 2013 i 2014 r. włamano się na 3 miliardy kont, ale firma ujawniła naruszenia dopiero w 2016 r., pierwsza ujawniona informacja to „zhakowano ponad 500 milionów kont”. Opóźnienie ujawnienia kosztowało Yahoo! 35 mln dol., dodatkowo przeciwko spółce w Stanach Zjednoczonych wniesiono ponad 20 pozwów, a w 2019 r. doszło do ugody na 117,5 mln dol. Oddzielnie firma obiecała wydać ponad 300 milionów dolarów na cyberbezpieczeństwo w latach 2019-2022.

Oprócz kar, Yahoo! stracił pieniądze na procesie przejęcia: Verizon Communication planowała kupić firmę za 4,8 miliarda dolarów, ale po ujawnieniu naruszenia cena zamknięcia wyniosła 350 milionów dolarów. Władze europejskie (Irlandia, Wielka Brytania, Niemcy) również wyraziły obawy w związku z kilkoma naruszeniami danych. Nie znaleźliśmy żadnych informacji na temat kar w Irlandii lub Niemczech, ale ICO (brytyjski urząd ds. prywatności) ukarał oddział Yahoo! w Wielkiej Brytanii karą w wysokości 250 tysięcy funtów.

Facebook, Cambridge Analytica i największa kara dla Facebooka

Facebook zapłacił 5 miliardów grzywny amerykańskiej Federalnej Komisji Handlu - jest to największa grzywna w historii za naruszenie przepisów dotyczących prywatności. W 2018 roku ujawniono, że brytyjska firma analityczna Cambridge Analytica wykorzystała swoją aplikację w sieci społecznościowej, aby uzyskać dostęp do danych osobowych 87 milionów użytkowników na całym świecie, których użyła do skonfigurowania reklamy politycznej, szczególnie podczas kampanii prezydenckiej w USA w 2016 roku i referendum w sprawie członkostwa Wielkiej Brytanii w Unii Europejskiej.

W 2020 roku Facebook zapłacił karę i obiecał zrewidować swoje podejście do prywatności użytkowników, w tym utworzyć niezależną komisję, która dokładnie przeanalizuje kwestię ochrony danych osobowych.

100 milionów euro na pliki cookie

W 2020 roku francuski organ ochrony danych stwierdził, że google.fr umieścił na swoich komputerach kilka reklamowych plików cookie bez zgody użytkowników. Firma otrzymała również 3 miesiące na wprowadzenie zmian w oświadczeniu o plikach cookie i informacjach, które Google przekazuje użytkownikom, w przeciwnym razie zmuszona uiszczać dodatkową dzienną opłatę w wysokości 100 tys. euro. Google nie zgadza się z tymi karami i zamierza złożyć odwołanie.

Google otrzymał drugą co do wielkości karę za naruszenie RODO we Francji - 50 mln euro w 2019 r. za niejasności, które pojawiały się podczas informowania użytkowników o przetwarzaniu ich danych osobowych. Ponadto informacje te były trudno dostępne - rozproszone w kilku dokumentach, do których można uzyskać dostęp, klikając kilka linków. Uznano również, że tekst umowy o przetwarzaniu danych osobowych jest niejednoznaczny i niewystarczająco informacyjny.

Kolejną karą Google było naruszenie ustawy o ochronie prywatności dzieci w Internecie (COPPA) w 2019 r. Firma śledziła historię oglądania kanałów dziecięcych w YouTube i wykorzystywała te informacje do sprzedawania czasu reklamowego i wyświetlania reklam. Kara wyniosła 170 milionów dolarów.

Najwyższe kary GDPR

Jak dotąd Google jest liderem pod względem liczby grzywien otrzymanych za naruszenie prywatności w Europie, ale są inne firmy, które musiały zapłacić dziesiątki milionów euro.

W 2020 roku hamburski komisarz ds. Ochrony danych i wolności informacji (HmbBfDI) nałożył na H&M karę w wysokości 35,3 mln euro za nielegalne przetwarzanie danych osobowych kilkuset pracowników. Firma przeprowadziła ankiety i wyszukiwała za pomocą nieformalnych czatów wrażliwe dane osobowe - diagnozy medyczne, przekonania religijne, informacje o członkach rodziny itp. - w celu oceny pracowników i podejmowania decyzji. Praktyka została ujawniona dzięki usterce technicznej - zebrane dane były dostępne dla wszystkich pracowników przez kilka godzin. H&M przyjął pełną odpowiedzialność i zgodził się zapłacić grzywnę i odszkodowanie pracownikom.

Również w zeszłym roku włoska agencja DPA Garante nałożyła grzywnę na operatora telekomunikacyjnego TIM w wysokości 27,8 mln euro za agresywną strategię marketingową, która dotknęła kilka miliony ludzi. Firma wysyłała e-maile, na które klienci się nie zapisywali, podawała nieprzejrzyste informacje o przetwarzaniu danych osobowych, przechowywała dane dłużej niż było to konieczne oraz ignorowała odmowy otrzymywania wiadomości reklamowych.

W 2019 roku brytyjskie biuro komisarza ds. Informacji (ICO) nałożyło na British Airways karę w wysokości 183 milionów funtów za przetwarzanie danych osobowych bez odpowiednich środków bezpieczeństwa, które spowodowały naruszenia danych. Hakerzy uzyskali dostęp do danych osobowych około 500 tysięcy klientów linii lotniczych, w tym numerów kart bankowych i kodów. Jednak grzywna, ogłoszona jako największa kara RODO w Wielkiej Brytanii, została ostatecznie zmniejszona do 20 milionów funtów, ponieważ linie lotnicze zostały zbyt mocno dotknięte pandemią COVID-19.

W 2018 roku sieć Marriott International popełniła ten sam błąd i skradziono dane osobowe 339 milionów klientów. W 2019 roku ICO wyraziło zamiar nałożenia na firmę kary w wysokości około 99 milionów funtów. W 2020 r. Grzywna została obniżona do 18,4 mln GBP ze względu na szereg czynników łagodzących oraz wpływ pandemii na branżę hotelarską.

Rozmiar nie ma znaczenia

Moglibyśmy pomyśleć, że firmy, które zbierają i przetwarzają duże ilości danych osobowych, są najbardziej narażone, ale to nieprawda. W 2019 roku francuski organ ochrony danych nałożył na firmę tłumaczeniową grzywnę za używanie kamer w miejscu pracy. Firma nie poinformowała w odpowiedni sposób swoich 9 pracowników o nagrywaniu i obecności kamer. Kara wyniosła 20 tys. euro.

Kolejna „niewielka” kara została nałożona na federację sportową przez polski organ ochrony danych. Wydano 13 tysięcy euro za opublikowanie osobistych numerów identyfikacyjnych i adresów domowych 585 recenzentów. DPA zdecydował się ukarać federację, mimo że naruszenie zostało zgłoszone przez samą federację (2019).

Kara dla osoby prywatnej w wysokości 600 euro za naruszenie zasad ochrony danych - taki przypadek wystąpił zeszłym roku w Austrii: przez kilka miesięcy lekarz publikował na swojej stronie na Facebooku (oficjalne źródło nie ujawnia nazwiska) fragmentów listów pacjentów, diagnoz i innych dokumentów medycznych oraz protokołów. Opublikowane dane obejmowały szczegółowe informacje, takie jak nazwiska pacjentów, dane dotyczące wyników, diagnozy medyczne, dane dotyczące leków, dane dotyczące przyjęć i wypisów ze szpitali, numery ubezpieczenia społecznego pacjentów oraz nazwiska lekarzy prowadzących. Rzecz w tym, że odbyło się to bez zbierania zgód, a inne podstawy prawne nie mają zastosowania do tego typu przetwarzania danych.

Media społecznościowe, aplikacje i najmniejsza grzywna na Facebooku

W 2019 roku TikTok również został ukarany grzywną za naruszenie COPPA: 5,7 miliona dolarów było za nielegalne zbieranie danych osobowych od dzieci. Zgodnie z prawem federalnym sieć społecznościowa jest zobowiązana do uzyskania zgody rodziców w przypadku użytkowników poniżej 13 roku życia.

Wiadomości z 2021 roku mówią, że norweski organ ochrony danych powiadomił Grindr LLC, aplikację randkową, o projekcie decyzji o nałożeniu grzywny na 100 milionów koron norweskich (11,7 miliona dolarów). Norwegia nie jest członkiem UE, ale istnieje regulacja prywatności podobna do GDPR UE. W skardze zarzuca się, że Grindr nie uzyskał zgody użytkowników przed udostępnieniem ich danych osobowych stronom trzecim, w szczególności firmom reklamowym, ale firma sprzeciwia się temu oskarżeniu, twierdząc, że przepływ zgód jest przejrzysty.

Pierwsza w Rosji i najmniejsza kara za prywatność na Facebooku w wysokości 3 tysięcy rubli (około 40 dolarów) została wydana w 2018 roku. Drugi przypadł w zeszłym roku: Facebook zapłacił rosyjskim władzom 4 miliony rubli (około 53 tysiące dolarów) za odmowę przestrzegania rosyjskich przepisów dotyczących lokalizacji danych (wymogów przechowywania danych rosyjskich użytkowników na serwerach w Rosji).