Сотни тысяч евро выплачивают компании, которые нарушили европейский закон о защите пользовательской информации. Юристы по защите персональных данных разбирают кейсы предприятий, которым конфиденциальность клиентов стоила дорого
Что такое GDPR и кого это касается
GDPR (General Data Protection Regulation) — акт Европейского союза (ЕС), имеющий экстерриториальное действие. Это значит, что его можно применять вне зависимости от того, есть в стране национальные законы о защите персональной информации или нет. Например, в России штрафы за неправильную работу с персональными данными могут доходить до 300 тыс. руб. Но GDPR опаснее отечественного законодательства. Если российская компания нарушит регламент, то ее могут оштрафовать на сумму до €20 млн или на 4% от общего мирового оборота за предшествующий финансовый год.
В Европейском союзе уже насчитывается больше десяти дел по GDPR. Штрафы накладываются как на крупные компании (Google, Facebook (организация признана экстремистской и запрещена на территории РФ), Uber), так и на небольшие (медицинский центр в Португалии). Надзорный орган каждой страны фокусируется на предприятиях разных размеров: в Германии регуляторы, как правило, делают упор на малый и средний бизнес, а во Франции и Великобритании — на крупный. У регуляторов нет цели обанкротить компанию, но согласно GDPR штраф должен быть существенным, чтобы организация поняла серьезность своего нарушения. Описанные ниже кейсы помогают понять, какие реальные риски несет бизнес, если не соответствует требованиям GDPR, а также как можно эти риски снизить.
Google LLC: непрозрачная обработка информации
