Транснациональным IT-компаниям в 2018 году выписано штрафов на $246,8 млн за утечку данных – исследование
Аналитики «СёрчИнформ» подсчитали штрафы, наложенные в 2018 году государствами на транснациональные IT-компании за утечки персональных данных – больше всех досталось Uber (148 миллионов долларов), Yahoo, Equifax (бюро кредитных историй), Facebook.
Как отмечают авторы исследования, штрафы были наложены, в частности, по вступившему в силу в мае европейскому регламенту защиты персональных данных GDPR, но основные штрафы наложила не Еврокомиссия, а другие регуляторы. Российские компании закон нарушали, но штрафов не получили, отмечается в отчёте.
Первый штраф в Австрии по GDPR получила организация, установившая камеру видеонаблюдения перед своим учреждением. Проблема, по мнению регулятора, в том, что в поле зрения камеры попадала и остальная часть тротуара. Широкомасштабный мониторинг общественных мест не разрешен по требованиям GDPR, поэтому Национальный орган по защите данных (DPA) оштрафовал компанию на 4800 евро.
Также прецедентный штраф (20 тысяч евро) получила Knuddels.de (сервис для переписки с целью флирта). Это первый случай применения регламента GDPR в Германии. Соцсеть стала жертвой хакеров, но претензии регулятора касались небрежного обращения с данными со стороны компании. По заявлению органа по защите данных Баден-Вюртемберга, Knuddels.de не обеспечила сохранность информации – конфиденциальные данные более 300 тысяч пользователей, в том числе пароли, хранились в незашифрованном виде.
Сервис заказа такси Uber наказан за историю, которая началась в 2016 году. По искам от 50 штатов сервису был присужден штраф в рекордные 148 миллионов долларов. Наказание было и в Европе. Агентство по защите данных Нидерландов оштрафовало Uber на 600 тысяч евро, а Комиссариат по защите информации Великобритании — на 385 тысяч фунтов стерлингов. Сумма европейских штрафов составила в итоге 1 миллион евро. Наказание наступило не за саму утечку, а за ее сокрытие.
Федеральный суд привлек к ответственности компанию Yahoo за утечки, которые произошли в 2013 и 2014 годах. Они считаются крупнейшими в истории. В апреле 2018 года компании пришлось заплатить штраф в 35 миллионов долларов, его наложила Комиссия по ценным бумагам и биржам США. Но не за сам факт утечки, а за то, что руководство компании не раскрыло информацию о ней ни своим инвесторам, ни аудиторам. В октябре 2018-го Yahoo согласилась заплатить 50 миллионов долларов компенсации и предоставить два года бесплатных услуг по мониторингу кредитов 200 миллионам пострадавших.
В сентябре разрешилась ситуация с утечкой данных из американского бюро кредитных историй Equifax. Утечка произошла годом ранее, в 2017 году, от нее пострадало 147 миллионов человек. Компания получила штраф, причем не от собственной страны, а от Великобритании – в размере 500 тысяч фунтов (примерно 44 миллиона рублей). Это максимально возможное наказание за такое нарушение.
Португальская комиссия по защите данных (CNPD) оштрафовала одну из больниц на 400 тысяч евро. В системе хранения медицинских записей была найдена уязвимость, которая позволяла получить доступ к данным пациентов через фальшивые профили сотрудников. В системе обнаружили 985 зарегистрированных аккаунтов при том, что общее количество врачей по всем направлениям составляет 296 человек.
Управление по гражданским правам департамента здравоохранения и социальных служб оштрафовало отделение Allergy Associates в Хартфорде, Коннектикут на 125 тысяч долларов за нарушение правил конфиденциальности HIPAA. Такое решение было принято по иску пациентки, у которой случился конфликт с доктором. Объясняя ситуацию журналистам, врач разгласил подробности здоровья женщины. Сам прецедент и, главное, штраф, актуализировал вопрос медицинской тайны для профессионального сообщества, пишут авторы исследования.
Частные лица по многим зарубежным законам несут не меньшую ответственность, чем организации. В сентябре 2018 года власти Сингапура оштрафовали киберэксперта на 5 тысяч сингапурских долларов (3,6 тысячи долларов США) за взлом сети Wi-Fi в местном отеле без разрешения и публикацию в блоге информации, раскрывшей пароли гостиницы. «Белый хакер» Чжэн взломал сеть того отеля, в котором он остановился во время конференции.
Facebook в марте оказалась в центре скандала из-за того, что Cambridge Analytica, которая работала над президентской избирательной кампанией в США Дональда Трампа, собрала персональные данные 87 миллионов пользователей Facebook без их согласия. На фоне скандала акции Facebook подешевели на 6,8 %, капитализация компании упала ниже 500 миллиардов долларов, а основной владелец – Марк Цукерберг – потерял минимум 6 миллиардов. Плюс ко всему регулятор Великобритании оштрафовал компанию на 645 тысяч долларов.
Второй европейский штраф Facebook получила от Итальянского антимонопольного органа (ICA). 7 декабря 2018 года на Facebook были наложены два штрафа на общую сумму 10 миллионов евро за нарушение кодекса прав потребителей Италии. Facebook вводила потребителей в заблуждение относительно того, как будут использоваться их данные: при регистрации пользователям не сообщается, что их информация будет использоваться в коммерческих целях.
Что касается России, как отмечается в исследовании, — на сайте регулятора нет информации по резонансным случаям, получившим огласку в СМИ: утечке данных сотрудников из Сбербанка, утечке из отделения ФМС в Москве, из «МаксимаТелеком» (предоставляет Wi-Fi в московском метро), из «Почты России», ФНС и Facebook. Исключение составила ситуация с доступностью данных в московском МФЦ, по которой Роскомнадзор сообщил, что «подтверждений несоблюдения МФЦ требований закона о персональных данных нет, фактов предоставления доступа неограниченному кругу лиц к паспортным данным пользователей услуг МФЦ не установлено».