В период с 28 января 2020 до начала 2021 года европейские регуляторы рынка данных наложили на нарушителей регламента GDPR штрафы на общую сумму 158.5 миллиона евро, что на 39% больше, чем за предыдущие 20 месяцев, прошедшие с дня введения более жёсткого закона о защите данных.
Согласно отчёту, подготовленному международной юридической фирмой DLA Piper, за тот же период количество уведомлений о нарушениях подскочило на 19% – до отметки в 121 165. Это уже второй год подряд, когда количество уведомлений о нарушениях в сфере работы с данными выражается двузначным числом, и данный факт означает, что в ежедневно Европе в среднем готовится 331 уведомлений о таких нарушениях.
Указанные цифры отражают жёсткость мер, принимаемых в отношении бизнеса, а также являются свидетельством того, что регуляторные органы начинают показывать зубы и накладывают более высокие штрафы на нарушителей.
GDPR, или Общий регламент по защите персональных данных, дублирует большую часть норм существующего закона о защите персональных данных, но при этом значительно увеличивает максимальные суммы штрафов, которые могут накладываться на нарушителей. За наиболее серьёзные правонарушения компании, нарушающие нормы GDPR, могут быть оштрафованы на сумму до 20 миллионов евро или 4% от годового мирового оборота — в зависимости от того, какая суммы в итоге больше.
Расследования нарушений регламента GDPR также являются долгими и хлопотными делами, а это означает, что рост количества наложенных штрафов вызван тем, что было найдено время для завершения гораздо большего количества расследований.
Несмотря на общее увеличение количества наложенных на нарушителей GDPR штрафов, в конечном итоге количество уплаченных штрафов было значительно меньшим из-за апелляций, поданных компаниями.
Управление Комиссара по информационной политике Великобритании (ICO) в 2020 году завершило два громких дела об утечке данных. Размер штрафа, наложенного на компанию British Airways из-за нарушений, допущенных в 2018 году и связанных с раскрытием личных и финансовых данных 400 000 клиентов, был уменьшен с 183 миллионов до 20 миллионов фунтов стерлингов.
Аналогичным образом ICO уменьшило сумму штрафа, наложенного на компанию Marriott International за неспособность защитить сотни миллионов записей о гостях, проживавших в отелях, с 99,2 миллионов фунтов стерлингов до 18.4 миллиона фунтов стерлингов.
Общая сумма штрафов, наложенных на нарушителей регламента GDPR с момента вступления в силу 2 мая 2018 года, достигла отметки в 272.5 миллиона евро (245.3 миллиона фунтов стерлингов). В целом с момента введения регламента GDPR в регуляторные органы было направлено более 281 000 уведомлений о нарушениях, связанных с обработкой личных данных.
Самой высокой суммой штрафа, наложенного на нарушителя GDPR, на сегодняшний день остаётся штраф в размере 50 миллионов евро, наложенный французским регулятором данных на компанию Google в 2019 году за предполагаемое отсутствие информированного добровольного согласия и нарушения прозрачности.
В целом же наибольшее количество уведомлений об утечке данных с 25 мая 2018 года было зарегистрировано в Германии — 77 747 случаев.
В Дании было подано наибольшее количество уведомлений об утечке данных на душу населения – 155.6. Нидерланды заняли второе место по этому показателю со 150 заявлениями на душу населения, а Ирландия заняла третье место – здесь число уведомлений на душу населения составило 127.8.
«Ежегодный рост размеров штрафов и количества уведомлений о нарушениях выражается двузначными цифрами, и европейские регуляторные органы продемонстрировали свою готовность использовать предоставленные им полномочия, — заявил председатель британской группы по вопросам защиты данных и безопасности DLA Piper Росс Маккин. — Они также утвердили несколько чрезвычайно строгих интерпретаций GDPR, что может создать дополнительные благоприятные условия для ведения в предстоящие годы ожесточённых юридических баталий. Тем не менее, мы также видели, как регуляторные органы в минувшем году проявляли некоторую снисходительность к нарушителям, что было связано с продолжающейся пандемией, в свете чего из-за финансовых трудностей были снижены размеры несколько крупных штрафов. В наступающем году мы ожидаем первых правоприменительных мер, связанных с прописанными в GDPR ограничениями на передачу персональных данных в США и другие «третьи страны», поскольку последствия решения Верховного суда Европы по делу Schrems II продолжают ощущаться».
