Конфиденциальность данных: цена ошибки

Опубликовано: 2022-10-12

Когда в мае 2018 года вступил в силу Европейский Общий регламент по защите данных (GDPR), он заложил основу для нового поколения законов о конфиденциальности данных, которые обеспечивают более надежную защиту потребителей. Основные принципы, такие как недвусмысленное согласие, минимизация данных, ограничение цели и право на возражение, фактически закрепили в законе установленные передовые методы работы с данными.

С тех пор во всем мире было принято законодательство о конфиденциальности в стиле GDPR. Калифорнийский закон CCPA запустил процесс в США, за которым последовали многие другие штаты (Колорадо, Коннектикут, Юта и Вирджиния) или в процессе их принятия (Мичиган, Нью-Джерси, Огайо и Пенсильвания). Во всем мире мы также видели введение LGPD в Бразилии и PIPL в Китае, и это лишь два примера.

Проблема, с которой в настоящее время сталкиваются контролеры и обработчики данных, — это двусмысленность. То есть, что на самом деле означают ключевые положения этих новых законодательных актов? Часто их необходимо проверять в судах, чтобы прояснить их истинное намерение и создать юридический прецедент. Это сейчас происходит в Европе, и практикующие специалисты в других странах могут извлечь уроки из этих случаев и применить полученные данные до того, как они столкнутся с ними в своих странах.

Европа борется с конфиденциальностью данных

Европейские регуляторы определенно оскали зубы в 2022 году.

Clearview AI, компания по распознаванию лиц, была оштрафована итальянским агентством по защите данных на 20 млн евро и еще на 9 млн евро Управлением комиссара по информации Великобритании (ICO) за незаконную обработку биометрических и геолокационных персональных данных.

Ирландский регулирующий орган наложил на Meta (Facebook) 17 миллионов евро за отсутствие соответствующих технических и организационных мер.

В Испании Google был оштрафован на 10 миллионов евро за принуждение пользователей к передаче запросов на удаление контента третьей стороне.

Совсем недавно, в результате неспособности защитить конфиденциальность детей при использовании платформы, TikTok может быть оштрафован на 27 миллионов фунтов стерлингов в связи с потенциальным нарушением законов Великобритании о защите данных.

Общей темой, проходящей через эти дела, являются основные принципы «законности, справедливости и прозрачности», что означает, что предприятия должны четко понимать, как будут обрабатываться их личные данные, и что для этого была создана соответствующая правовая основа.

В Соединенном Королевстве правоприменительные меры в 2022 году в основном были сосредоточены на несанкционированной отправке маркетинговых сообщений. Новые законы о конфиденциальности данных, такие как GDPR, требуют правового основания — обычно согласия или законного интереса — для обработки персональных данных, включая маркетинговую деятельность.

Недавние случаи* показывают, что это требование до сих пор не совсем понятно (или умышленно игнорируется!):

  • Finance Giant Ltd ( 60 000 фунтов стерлингов ): спровоцировала отправку в общей сложности 505 759 незапрашиваемых сообщений прямого маркетинга.
  • Bizfella Limited ( 30 000 фунтов стерлингов ): спровоцировала отправку 224 550 нежелательных SMS-сообщений прямого маркетинга.
  • H&L Business Consulting Limited ( 80 000 фунтов стерлингов ): спровоцировала отправку 451 705 нежелательных SMS-сообщений в целях прямого маркетинга.

*Читатели могут получить полные тексты всех судебных решений на веб-сайте ICO, а также могут подписаться на получение информационного бюллетеня ICO «Принудительные действия».

Потребители хотят знать, как используются их данные

Важная тема, проходящая через все эти (и другие) случаи, заключается в том, что они изначально были выявлены в результате жалоб потребителей. Теперь потребители лучше понимают свои права на конфиденциальность данных и готовы воспользоваться этими правами, если они считают, что их личные данные используются не по назначению.

При работе с потребительскими данными важно помнить:

  • Действительное согласие требует, чтобы людям был предоставлен реальный выбор и контроль.
  • Лица должны быть четко проинформированы о том, что они будут получать маркетинговые сообщения.
  • Согласие должно быть отделено от других политик конфиденциальности и/или условий отправителей.
  • Косвенное согласие может быть действительным только в том случае, если оно достаточно ясно и конкретно.
  • Должны быть простые средства, с помощью которых люди могут отказаться от использования своих контактных данных.

Некоторые компании попали в другие ловушки конфиденциальности

После перехода на новую систему CRM компания Reed Online непреднамеренно запланировала рассылку маркетинговых электронных писем клиентам, подписка на которые ранее была отменена/подавлена.

Tuckers Solicitors подверглась атаке программы-вымогателя, что привело к утечке личных данных. ICO постановил, что неспособность компании реализовать соответствующие технические и организационные меры сделала их уязвимыми для атак.

Кабинет министров Великобритании раскрыл почтовые адреса получателей новогодних наград 2020 года в Интернете, что не позволило предотвратить несанкционированное раскрытие информации о людях.

Многие инциденты с конфиденциальностью данных не попадают в заголовки

В то время как громкие нарушения попадают в заголовки, многие инциденты являются гораздо более приземленными.

ICO публикует ежеквартальный отчет о безопасности данных с самыми последними «некибернетическими» (т.е. самостоятельными) проблемами, включая:

  • Данные отправлены по электронной почте не тому получателю ( 22 процента )
  • Несанкционированный доступ ( 14 процентов )
  • Данные отправлены или отправлены по факсу не тому получателю ( 13 процентов )
  • Потеря/кража документов или данных, оставленных в небезопасном месте ( 8 процентов )
  • Отсутствие редактирования ( 6 процентов )

Эти тенденции в значительной степени указывают на человеческие ошибки и/или неадекватное обучение и представляют собой убедительный аргумент в пользу внедрения методов «конфиденциальности по замыслу», когда надежные процессы сводят к минимуму возможности несоблюдения требований.

Мы до сих пор не видим штрафов в размере «четырех процентов от мирового дохода», которые теоретически могут быть наложены, хотя это не значит, что этого не произойдет. Штраф British Airways (BA), как и предполагалось, был близок к тому, чтобы быть уменьшенным из-за ряда смягчающих факторов, включая влияние кризиса Covid-19 на финансы BA. Хотя ни один бизнес не хочет иметь дело с нарушением конфиденциальности, существуют смягчающие факторы, которые будут учитываться, если это произойдет, в том числе:

  • Было ли это нарушение в первый раз
  • Серьезность нарушения
  • Было ли это намеренно или случайно
  • Заблаговременное уведомление надзорного органа
  • Действия, предпринятые для уменьшения воздействия на субъекты данных

Регуляторные органы, как правило, будут более снисходительны к предприятиям, которые открыто сообщают о том, что пошло не так, сотрудничают в содействии расследованию и быстро принимают меры, чтобы предотвратить повторение инцидента.

Это только начало…

На эту тему можно еще многое сказать. Хотите узнать больше о законодательстве о конфиденциальности данных во всем мире? Ознакомьтесь с нашим Руководством по глобальным законам о конфиденциальности и их соблюдению .

Скачать руководство