#Дайджест_місяця
🔆 ДАЙДЖЕСТ ЖОВТНЯ
Наприкінці кожного місяця ми завжди розповідаємо вам, чим ми займалися.
Цей місяц – не виняток, але сьогодні дуже особливий день для Privacy HUB.
Нашій організації виповнюється 3 роки! 🥳
Протягом цього часу ми разом із вами робили та продовжуємо робити досить серйозний вклад у формування культури приватності в нашій славній Україні.
Продовжуємо разом лупати сю скалу, адже права людини завжди на часі!
А тепер розкажемо, що ми робили у жовтні!
1️⃣ Освітній табір “Академія приватності”
Найбільший проєкт Privacy HUB за 3 роки існування. Півроку розробки і планувань, близько 300 реєстрацій зі всієї України. 30 викладачів із 25 українських закладів вищої освіти, 6 напрямків, 10+ доповідачів, повна зміна формату заходу менш ніж за добу до початку Академії через обстріли Києва і більш ніж 30 годин активної праці. Це було круто!
Результатом Академії стали 6 навчальних силабусів, які ми скоро презентуємо для широкої публіки.
Наступного року чекаємо курс із захисту персональних даних у навчальних програмах ЗВО.
Дякуємо за підтримку Міжнародному Фонду “Відродження” та Програмі Розвитку ООН в Україні, а також Міністерству освіти і науки України!
2️⃣ Участь Privacy HUB у заході “Eastern Europe and Central Asia Regional Workshop on Data Protection and The Impact of Technologies and AI on Human Rights”, проведеному під егідою ПРООН
Ми долучилися до обговорення теми “Institutional response and mechanisms for protection of Human Rights, privacy and data protection in implementation of digital transformation strategies”. У ході обговорення ми вкотре підіймали тезу про те, що приватність є дуже людяною сферою, і це не лише про закон, але й про мораль та етику.
Наш доповідач зазначив важливість прозорої комунікації щодо обробки персональних даних у контексті цифрової трансформації. Дякуємо ПРООН за запрошення!
🏆 РЕЙТИНГ ДОПИСІВ ЖОВТНЯ
#Новини_тижня
📍НОВИНИ ТИЖНЯ [26.09 — 02.10]
📍НОВИНИ ТИЖНЯ [03.10 — 09.10]
📍НОВИНИ ТИЖНЯ [10.10 — 16.10]
📍НОВИНИ ТИЖНЯ [17.10 — 23.10]
#Санкції
📍ШТРАФ ЗА ВІГІЛАНТИЗМ
📍ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
📍“З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
#Академія_приватності
📍“АКАДЕМІЯ ПРИВАТНОСТІ” СТАРТУВАЛА!
#Інформаційна_безпека
📍ISO 27001: BEST OF THE BEST
Дякуємо, що ви з нами! 💙💛
Приймаємо ваші привітання у коментарях!
А якщо бажаєте поєднати приємне з корисним, то у нас залишилося менше 40 екземплярів нашої книги “GDPR: Посібник із виживання”. За подробицями пишіть @Daquezee
🇺🇦 Все буде Україна! Разом працюємо на перемогу!
🔆 ДАЙДЖЕСТ ЖОВТНЯ
Наприкінці кожного місяця ми завжди розповідаємо вам, чим ми займалися.
Цей місяц – не виняток, але сьогодні дуже особливий день для Privacy HUB.
Нашій організації виповнюється 3 роки! 🥳
Протягом цього часу ми разом із вами робили та продовжуємо робити досить серйозний вклад у формування культури приватності в нашій славній Україні.
Продовжуємо разом лупати сю скалу, адже права людини завжди на часі!
А тепер розкажемо, що ми робили у жовтні!
1️⃣ Освітній табір “Академія приватності”
Найбільший проєкт Privacy HUB за 3 роки існування. Півроку розробки і планувань, близько 300 реєстрацій зі всієї України. 30 викладачів із 25 українських закладів вищої освіти, 6 напрямків, 10+ доповідачів, повна зміна формату заходу менш ніж за добу до початку Академії через обстріли Києва і більш ніж 30 годин активної праці. Це було круто!
Результатом Академії стали 6 навчальних силабусів, які ми скоро презентуємо для широкої публіки.
Наступного року чекаємо курс із захисту персональних даних у навчальних програмах ЗВО.
Дякуємо за підтримку Міжнародному Фонду “Відродження” та Програмі Розвитку ООН в Україні, а також Міністерству освіти і науки України!
2️⃣ Участь Privacy HUB у заході “Eastern Europe and Central Asia Regional Workshop on Data Protection and The Impact of Technologies and AI on Human Rights”, проведеному під егідою ПРООН
Ми долучилися до обговорення теми “Institutional response and mechanisms for protection of Human Rights, privacy and data protection in implementation of digital transformation strategies”. У ході обговорення ми вкотре підіймали тезу про те, що приватність є дуже людяною сферою, і це не лише про закон, але й про мораль та етику.
Наш доповідач зазначив важливість прозорої комунікації щодо обробки персональних даних у контексті цифрової трансформації. Дякуємо ПРООН за запрошення!
🏆 РЕЙТИНГ ДОПИСІВ ЖОВТНЯ
#Новини_тижня
📍НОВИНИ ТИЖНЯ [26.09 — 02.10]
📍НОВИНИ ТИЖНЯ [03.10 — 09.10]
📍НОВИНИ ТИЖНЯ [10.10 — 16.10]
📍НОВИНИ ТИЖНЯ [17.10 — 23.10]
#Санкції
📍ШТРАФ ЗА ВІГІЛАНТИЗМ
📍ШТРАФ ЗА ПОВІДОМЛЕННЯ ПРО DATA BREACH
📍“З ТУРБОТОЮ ПРО КЛІЄНТІВ” АБО ЯКИМ НЕ ПОВИНЕН БУТИ МАРКЕТИНГ
#Академія_приватності
📍“АКАДЕМІЯ ПРИВАТНОСТІ” СТАРТУВАЛА!
#Інформаційна_безпека
📍ISO 27001: BEST OF THE BEST
Дякуємо, що ви з нами! 💙💛
Приймаємо ваші привітання у коментарях!
А якщо бажаєте поєднати приємне з корисним, то у нас залишилося менше 40 екземплярів нашої книги “GDPR: Посібник із виживання”. За подробицями пишіть @Daquezee
🇺🇦 Все буде Україна! Разом працюємо на перемогу!
#Санкції
💶 РІШУЧІСТЬ СУБ’ЄКТА ДАНИХ = ШТРАФ
Чи приходили вам листи з розсилкою, де в копії дуже багато людей або ви не один адресат? Скоріш за все так. Насамперед, це не дуже приємно. Однак, це ще й незаконно
❓Що відбулося?
Ще в уже такому далекому 2021 році компанія EL RACO DEL PIS INVERSIONES S.L. робила розсилку і використала в одному з листів відкритий список адресатів (так-так, навіть не приховану копію). Один з отримувачів побачив цей довгий рядок електронних адрес і одразу подав скаргу регулятору за несанкціоноване розкриття його пошти третім особам.
❓Що зробив регулятор?
Регулятор зобов’язаний розглядати всі скарги та звернення суб’єктів даних. Відповідно, було розпочато провадження та 25 жовтня вже цього року прийнято рішення. Розмова вийшла коротка: на поширення електронної адреси законної підстави в компанії не було.
Звертаємо увагу, що навіть одна людина може принести зміни та штрафи в вашу компанію. Навіть за одну помилку.
❓Що було порушено?
🔹 Принцип цілісності та конфіденційності обробки даних (ст. 5(1)f) GDPR);
🔹 Обов’язок щодо забезпечення безпеки персональних даних (ст. 32 GDPR).
❓Який штраф?
Штраф склав 9000 євро. При цьому регулятор чітко розділив цю суму:
🔹 6000 євро за порушення принципу обробки даних;
🔹 3000 євро за незабезпечення безпеки даних.
🏆 ВИСНОВОК
Будьте уважні та перевіряйте кого і як ви додаєте до адресатів або в копію, коли відправляєте email. Навіть один рішучий суб’єкт даних може кардинально змінити ваш підхід до захисту персональних даних, і не факт, що це буде приємно. Тому будьте проактивні і…
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Рішення національного регулятора Іспанії (іспанською)
💶 РІШУЧІСТЬ СУБ’ЄКТА ДАНИХ = ШТРАФ
Чи приходили вам листи з розсилкою, де в копії дуже багато людей або ви не один адресат? Скоріш за все так. Насамперед, це не дуже приємно. Однак, це ще й незаконно
❓Що відбулося?
Ще в уже такому далекому 2021 році компанія EL RACO DEL PIS INVERSIONES S.L. робила розсилку і використала в одному з листів відкритий список адресатів (так-так, навіть не приховану копію). Один з отримувачів побачив цей довгий рядок електронних адрес і одразу подав скаргу регулятору за несанкціоноване розкриття його пошти третім особам.
❓Що зробив регулятор?
Регулятор зобов’язаний розглядати всі скарги та звернення суб’єктів даних. Відповідно, було розпочато провадження та 25 жовтня вже цього року прийнято рішення. Розмова вийшла коротка: на поширення електронної адреси законної підстави в компанії не було.
Звертаємо увагу, що навіть одна людина може принести зміни та штрафи в вашу компанію. Навіть за одну помилку.
❓Що було порушено?
🔹 Принцип цілісності та конфіденційності обробки даних (ст. 5(1)f) GDPR);
🔹 Обов’язок щодо забезпечення безпеки персональних даних (ст. 32 GDPR).
❓Який штраф?
Штраф склав 9000 євро. При цьому регулятор чітко розділив цю суму:
🔹 6000 євро за порушення принципу обробки даних;
🔹 3000 євро за незабезпечення безпеки даних.
🏆 ВИСНОВОК
Будьте уважні та перевіряйте кого і як ви додаєте до адресатів або в копію, коли відправляєте email. Навіть один рішучий суб’єкт даних може кардинально змінити ваш підхід до захисту персональних даних, і не факт, що це буде приємно. Тому будьте проактивні і…
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Рішення національного регулятора Іспанії (іспанською)
#Санкції
💶 GDPR НА ВАРТІ РЕПУТАЦІЇ
Коли законотворці розробляли концепцію Загального Регламенту, то однією із першочергових задекларованих цілей було змусити великі компанії більш бережно ставитися до захисту персональних даних.
Дехто вважає, що ця мета не була досягнута, але штрафи і зміна практик обробки персональних даних кажуть про інше. Але сьогодні не про це.
Сьогодні ми розглянемо справу, коли положення Регламенту було використано для захисту честі і гідності.
❓Що трапилось?
ОСОБА 1 звернулась до іспанського регулятора зі скаргою на ОСОБУ 2 через те, що остання опублікувала у себе в блозі інформацію про заявника.
Перед тим, як піти по допомогу до держави, заявник звертався безпосередньо до блогера із проханням видалити “невдалі” дописи, які, крім персональних даних заявника, його імені та фотографій, містили ще й недостовірні факти і відвертий наклеп.
Але блогерство – це теж свого роду мистецтво, і автор блогу вирішив проігнорувати прохання заявника, адже блогер – митець, і він так бачить.
"На жаль" для блогера і "на щастя" для заявника, регулятор бачив цю ситуацію під іншим кутом і виписав митцю штраф у 10.000 євро за порушення норм обробки персональних даних.
❓Що було порушено?
Блогер не мав правової підстави для обробки персональних даних, а також проігнорував законну вимогу суб'єкта персональних даних.
🏆 ВИСНОВКИ
У певних випадках блог може підпасти під “household exemption”, і тоді нема сенсу морочити голову положеннями GDPR, але про етику все ж варто не забувати.
Автор блогу проігнорував прохання видалити інформацію і не зміг довести, що його матеріал був правдивий, за що отримав досить серйозний штраф.
Тому пам'ятайте про етику, не ігноруйте запити суб'єктів і майте змогу довести, що опублікована вами інформація є достовірною.
🇺🇦 Все буде Україна!
________________
ℹ️ Джерела:
🔹Рішення АЕРD (іспанська мова)
💶 GDPR НА ВАРТІ РЕПУТАЦІЇ
Коли законотворці розробляли концепцію Загального Регламенту, то однією із першочергових задекларованих цілей було змусити великі компанії більш бережно ставитися до захисту персональних даних.
Дехто вважає, що ця мета не була досягнута, але штрафи і зміна практик обробки персональних даних кажуть про інше. Але сьогодні не про це.
Сьогодні ми розглянемо справу, коли положення Регламенту було використано для захисту честі і гідності.
❓Що трапилось?
ОСОБА 1 звернулась до іспанського регулятора зі скаргою на ОСОБУ 2 через те, що остання опублікувала у себе в блозі інформацію про заявника.
Перед тим, як піти по допомогу до держави, заявник звертався безпосередньо до блогера із проханням видалити “невдалі” дописи, які, крім персональних даних заявника, його імені та фотографій, містили ще й недостовірні факти і відвертий наклеп.
Але блогерство – це теж свого роду мистецтво, і автор блогу вирішив проігнорувати прохання заявника, адже блогер – митець, і він так бачить.
"На жаль" для блогера і "на щастя" для заявника, регулятор бачив цю ситуацію під іншим кутом і виписав митцю штраф у 10.000 євро за порушення норм обробки персональних даних.
❓Що було порушено?
Блогер не мав правової підстави для обробки персональних даних, а також проігнорував законну вимогу суб'єкта персональних даних.
🏆 ВИСНОВКИ
У певних випадках блог може підпасти під “household exemption”, і тоді нема сенсу морочити голову положеннями GDPR, але про етику все ж варто не забувати.
Автор блогу проігнорував прохання видалити інформацію і не зміг довести, що його матеріал був правдивий, за що отримав досить серйозний штраф.
Тому пам'ятайте про етику, не ігноруйте запити суб'єктів і майте змогу довести, що опублікована вами інформація є достовірною.
🇺🇦 Все буде Україна!
________________
ℹ️ Джерела:
🔹Рішення АЕРD (іспанська мова)
#Санкції
💶 ВІДПОВІДАТИ НА ЗАПИТИ ЧИ НЕ ВІДПОВІДАТИ? – ПИТАННЯ ЗАЙВЕ
Гамлетівське питання втрачає актуальність, адже GDPR захищає права суб'єктів даних та прямо передбачає обов'язки організацій, що обробляють дані. Якщо ж компанія вирішує не відповідати на запити суб'єктів даних, то відповідати все одно доведеться… перед регулятором.
Так Офіс Омбудсмена з питань захисту даних (фінський регулятор) наклав штраф у розмірі 750 000 євро на колекторську компанію Alektum Oy.
❓Що сталося?
Фінський регулятор розпочав розслідування після отримання трьох скарг від фізичних осіб на те, що компанія не відповідає на запити про доступ до даних. Одному зі скаржників пощастило отримати відповідь, але запитувану копію своїх персональних даних він так і не побачив.
Щодо іншого випадку компанія пояснила відсутність відповіді тим, що вони більше не обробляють персональні дані цього суб'єкта. Хоча навіть в такому випадку компанія була зобов'язана відповісти на запит і заявити про відсутність обробки.
Далі фантазія компанії, напевно, закінчилася, бо більше пояснень вони не надали. Тому регулятор справедливо вирішив, що компанія погано була ознайомлена з вимогами законодавства. А незнання законів, як ми знаємо, не звільняє від відповідальності.
❓Що погіршило ситуацію?
Під час розслідування регулятор використовував різні засоби для консультацій з Alektum Oy. Але компанія неохоче пояснювала свої дії та не співпрацювала, чим порушила зобов’язання співпрацювати з регулятором і надавати інформацію на його запити.
Регулятор взяв до уваги й те, що справа стосувалася правового захисту фізичних осіб. Так, наприклад, боржник має право знати про загрозу судового позову про стягнення і т.п.
🏆 ВИСНОВКИ
Важливо, щоб компанії серйозно ставилися до запитів суб'єктів даних і обробляли їх швидко та професійно відповідно до вимог GDPR.
Також не варто забувати про те, що при прийнятті рішення щодо штрафу та його розміру враховується рівень співпраці з регулятором з метою усунення порушення та пом'якшення можливих негативних наслідків.
Щиросердне зізнання, прозорість, співпраця та робота над помилками зекономлять нервові клітини та гроші, а ще врятують репутацію в очах регулятора.
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Прес-реліз від регулятора (фінською)
🔹Рішення регулятора (фінською)
💶 ВІДПОВІДАТИ НА ЗАПИТИ ЧИ НЕ ВІДПОВІДАТИ? – ПИТАННЯ ЗАЙВЕ
Гамлетівське питання втрачає актуальність, адже GDPR захищає права суб'єктів даних та прямо передбачає обов'язки організацій, що обробляють дані. Якщо ж компанія вирішує не відповідати на запити суб'єктів даних, то відповідати все одно доведеться… перед регулятором.
Так Офіс Омбудсмена з питань захисту даних (фінський регулятор) наклав штраф у розмірі 750 000 євро на колекторську компанію Alektum Oy.
❓Що сталося?
Фінський регулятор розпочав розслідування після отримання трьох скарг від фізичних осіб на те, що компанія не відповідає на запити про доступ до даних. Одному зі скаржників пощастило отримати відповідь, але запитувану копію своїх персональних даних він так і не побачив.
Щодо іншого випадку компанія пояснила відсутність відповіді тим, що вони більше не обробляють персональні дані цього суб'єкта. Хоча навіть в такому випадку компанія була зобов'язана відповісти на запит і заявити про відсутність обробки.
Далі фантазія компанії, напевно, закінчилася, бо більше пояснень вони не надали. Тому регулятор справедливо вирішив, що компанія погано була ознайомлена з вимогами законодавства. А незнання законів, як ми знаємо, не звільняє від відповідальності.
❓Що погіршило ситуацію?
Під час розслідування регулятор використовував різні засоби для консультацій з Alektum Oy. Але компанія неохоче пояснювала свої дії та не співпрацювала, чим порушила зобов’язання співпрацювати з регулятором і надавати інформацію на його запити.
Регулятор взяв до уваги й те, що справа стосувалася правового захисту фізичних осіб. Так, наприклад, боржник має право знати про загрозу судового позову про стягнення і т.п.
🏆 ВИСНОВКИ
Важливо, щоб компанії серйозно ставилися до запитів суб'єктів даних і обробляли їх швидко та професійно відповідно до вимог GDPR.
Також не варто забувати про те, що при прийнятті рішення щодо штрафу та його розміру враховується рівень співпраці з регулятором з метою усунення порушення та пом'якшення можливих негативних наслідків.
Щиросердне зізнання, прозорість, співпраця та робота над помилками зекономлять нервові клітини та гроші, а ще врятують репутацію в очах регулятора.
🇺🇦 Все буде Україна!
ℹ️ Джерела:
🔹Прес-реліз від регулятора (фінською)
🔹Рішення регулятора (фінською)
#Санкції
💶 ТОП 3 ШТРАФИ ЗА ПОРУШЕННЯ GDPR
або Розумний вчиться на чужих помилках
14 квітня 2016 року був прийнятий GDPR. Щоб відзначити цей день, ми вирішили поговорити про те, що найбільше мотивує компанії дотримуватися правил, встановлених Регламентом.Повага до прав людини та захисту персональних даних Штрафи!
Довідка:
GDPR дозволяє накладати штрафи в розмірі до 4% від глобального обороту компанії або €20 млн, залежно від того, яка сума є більшою. Штрафи повинні бути ефективними, пропорційними та стримуючими, щоб запобігти майбутнім порушенням. Також рекомендується враховувати такі обставини, як тяжкість, тривалість, вплив, наміри та співпраця.
Найпоширеніші порушення:
▪️Недотримання загальних принципів обробки даних
▪️Недостатня правова підстава для обробки даних
▪️Недостатні технічні та організаційні заходи для забезпечення інформаційної безпеки
▪️Недостатнє виконання інформаційних зобов'язань
▪️Недостатнє забезпечення прав суб'єкта даних
Перейдемо до наших рекордсменів, а також, на що варто звернути увагу, аби не бути серед них
🥉 Meta Platforms Ireland Limited – €390 млн
Рішення ірландського регулятора від 04.01.2023
За що? Недотримання загальних принципів обробки даних
Поки всі готувалися до набрання чинності GDPR у 2018 році, Meta вирішила “обійти гору” та перемогти хитрістю – компанія просто змінила Умови надання послуг. Правова підстава для більшості операцій перетворилась із “згоди” на “контракт”, включаючи надання персоналізованих послуг і поведінкової реклами. До того ж, інформація про правові підстави не була чітко викладена для користувачів. Скарги були подані від різних суб'єктів даних та об'єднані в один кейс.
На диво, регулятор спершу погодився з такою правовою підставою, що викликало заперечення у 10 із 47 зацікавлених наглядових органів (CSA). Крапку поставив EDPB, встановивши, що "контракт" не підходить у випадку поведінкової реклами. А штраф після усіх консультацій тільки збільшився: €210 млн (Facebook) + €180 млн (Instagram)
📌 На що звернути увагу? Прозорість інформації, принцип справедливості, законні підстави для обробки.
🥈 Meta Platforms, Inc. – €405 млн
Рішення ірландського регулятора від 05.09.2022
За що? Недотримання загальних принципів обробки даних
Розслідування стосувалося обробки персональних даних дітей-користувачів соціальної мережі Instagram. Зокрема, у розслідуванні розглядалися питання публічного розкриття емейлів та/або номерів телефонів дітей за допомогою функції бізнес-акаунта в Instagram, а також налаштування на публічність за замовчуванням для особистих акаунтів дітей в Instagram. До речі, тут теж не обійшлося без заперечень від CSA, тому знадобилося обов'язкове до виконання рішення EDPB.
📌 На що звернути увагу? Спеціальні засоби захисту при обробці даних дітей; надання інформації дітям у прозорій та зрозумілій формі; правові підстави обробки даних.
🥇 Amazon Europe Core S.à.r.l. – €746 млн
Рішення люксембурзького регулятора від 16.07.2021
За що? Недотримання загальних принципів обробки даних
Рекорд найбільшого штрафу в історії GDPR поки належить Amazon. Інтенсивна стратегія digital-маркетингу не довела до добра: "поведінковому аналізу та таргетованій рекламі" Amazon бракувало "вільної згоди". І якщо штраф здається вам величезним, подумайте, що за даними він становить лише 0,1% від світового обороту Amazon.
Скарга була подана французькою групою із захисту прав на приватність La Quadrature du Net ще у 2018. Але від французького регулятора була передана до Люксембургу через розташування там штаб-квартири Amazon.
Деталі досі оповиті таємницею, адже люксембурзьке законодавство зобов'язує регулятора зберігати професійну таємницю до остаточного рішення. Апеляція Amazon буде розглянута в люксембурзькому суді аж в січні 2024.
📌 На що звернути увагу? Правові підстави обробки, правила згоди.
🏆 ВИСНОВКИ
Звісно, турнірна таблиця неодноразово ще зміниться. Регулятори налаштовані серйозно, і вже зараз розслідується багато справ. Однак перш ніж запасатися попкорном, перевірте, чи відповідає ваша компанія вимогам GDPR.
🇺🇦 Все буде Україна!
💶 ТОП 3 ШТРАФИ ЗА ПОРУШЕННЯ GDPR
або Розумний вчиться на чужих помилках
14 квітня 2016 року був прийнятий GDPR. Щоб відзначити цей день, ми вирішили поговорити про те, що найбільше мотивує компанії дотримуватися правил, встановлених Регламентом.
Довідка:
GDPR дозволяє накладати штрафи в розмірі до 4% від глобального обороту компанії або €20 млн, залежно від того, яка сума є більшою. Штрафи повинні бути ефективними, пропорційними та стримуючими, щоб запобігти майбутнім порушенням. Також рекомендується враховувати такі обставини, як тяжкість, тривалість, вплив, наміри та співпраця.
Найпоширеніші порушення:
▪️Недотримання загальних принципів обробки даних
▪️Недостатня правова підстава для обробки даних
▪️Недостатні технічні та організаційні заходи для забезпечення інформаційної безпеки
▪️Недостатнє виконання інформаційних зобов'язань
▪️Недостатнє забезпечення прав суб'єкта даних
Перейдемо до наших рекордсменів, а також, на що варто звернути увагу, аби не бути серед них
🥉 Meta Platforms Ireland Limited – €390 млн
Рішення ірландського регулятора від 04.01.2023
За що? Недотримання загальних принципів обробки даних
Поки всі готувалися до набрання чинності GDPR у 2018 році, Meta вирішила “обійти гору” та перемогти хитрістю – компанія просто змінила Умови надання послуг. Правова підстава для більшості операцій перетворилась із “згоди” на “контракт”, включаючи надання персоналізованих послуг і поведінкової реклами. До того ж, інформація про правові підстави не була чітко викладена для користувачів. Скарги були подані від різних суб'єктів даних та об'єднані в один кейс.
На диво, регулятор спершу погодився з такою правовою підставою, що викликало заперечення у 10 із 47 зацікавлених наглядових органів (CSA). Крапку поставив EDPB, встановивши, що "контракт" не підходить у випадку поведінкової реклами. А штраф після усіх консультацій тільки збільшився: €210 млн (Facebook) + €180 млн (Instagram)
📌 На що звернути увагу? Прозорість інформації, принцип справедливості, законні підстави для обробки.
🥈 Meta Platforms, Inc. – €405 млн
Рішення ірландського регулятора від 05.09.2022
За що? Недотримання загальних принципів обробки даних
Розслідування стосувалося обробки персональних даних дітей-користувачів соціальної мережі Instagram. Зокрема, у розслідуванні розглядалися питання публічного розкриття емейлів та/або номерів телефонів дітей за допомогою функції бізнес-акаунта в Instagram, а також налаштування на публічність за замовчуванням для особистих акаунтів дітей в Instagram. До речі, тут теж не обійшлося без заперечень від CSA, тому знадобилося обов'язкове до виконання рішення EDPB.
📌 На що звернути увагу? Спеціальні засоби захисту при обробці даних дітей; надання інформації дітям у прозорій та зрозумілій формі; правові підстави обробки даних.
🥇 Amazon Europe Core S.à.r.l. – €746 млн
Рішення люксембурзького регулятора від 16.07.2021
За що? Недотримання загальних принципів обробки даних
Рекорд найбільшого штрафу в історії GDPR поки належить Amazon. Інтенсивна стратегія digital-маркетингу не довела до добра: "поведінковому аналізу та таргетованій рекламі" Amazon бракувало "вільної згоди". І якщо штраф здається вам величезним, подумайте, що за даними він становить лише 0,1% від світового обороту Amazon.
Скарга була подана французькою групою із захисту прав на приватність La Quadrature du Net ще у 2018. Але від французького регулятора була передана до Люксембургу через розташування там штаб-квартири Amazon.
Деталі досі оповиті таємницею, адже люксембурзьке законодавство зобов'язує регулятора зберігати професійну таємницю до остаточного рішення. Апеляція Amazon буде розглянута в люксембурзькому суді аж в січні 2024.
📌 На що звернути увагу? Правові підстави обробки, правила згоди.
🏆 ВИСНОВКИ
Звісно, турнірна таблиця неодноразово ще зміниться. Регулятори налаштовані серйозно, і вже зараз розслідується багато справ. Однак перш ніж запасатися попкорном, перевірте, чи відповідає ваша компанія вимогам GDPR.
🇺🇦 Все буде Україна!