Штрафи GDPR досягли рекордного рівня
GDPR
Гетті
Минулого року європейські регулятори даних виписали рекордні 2,92 мільярда євро штрафів, що на 168% більше, ніж у 2021 році, причому Meta постраждала найбільше.
Відповідно до останнього GDPR та опитування щодо витоків даних, проведеного міжнародною юридичною фірмою DLA Piper, середня кількість повідомлень про витоки даних на день дещо знизилася з 328 до 300 повідомлень на день.
На думку фірми, це може свідчити про те, що організації можуть обережніше повідомляти про порушення, побоюючись розслідувань, штрафів і позовів про компенсацію.
Найбільший штраф у розмірі 405 мільйонів євро (429 мільйонів доларів) був накладений Уповноваженим із захисту даних Ірландії (DPC) на компанію Meta Platforms Ireland Limited у зв’язку з Instagram за різні передбачувані порушення захисту персональних даних дітей.
Інші штрафи, накладені цього року на Meta ірландським DPC, стосуються поведінкового профілювання користувачів у Facebook і Instagram і того, чи може законна підстава «необхідності контракту» використовуватися для узаконення масового збору персональних даних.
У той час як ірландський DPC нещодавно оголосив, що Meta справді зловживав особистими даними, Європейська рада із захисту даних не погодилася.
«Потік штрафів ірландського Комісара із захисту даних, націлених на практику поведінкової реклами на платформах соціальних медіа цього року, може бути настільки ж серйозним для майбутнього «великої угоди», яка лежить в основі сучасного «безкоштовного» Інтернету, як сказав Шремс. "Я був для міжнародної передачі даних", – коментує Росс МакКін, голова Британської групи захисту даних і кібербезпеки.
«Враховуючи те, що поставлено на карту, ми можемо очікувати роки апеляцій і судових розглядів. Закон дуже далекий від вирішення цих питань».
У той час як проблеми з особистими даними, пов’язані з рекламою та соціальними медіа, домінували в заголовках газет цього року, каже DLA Piper, також починають виникати питання щодо ролі особистих даних, які використовуються для навчання ШІ. Цього року, наприклад, було проведено кілька розслідувань щодо компанії Clearview AI, що займається розпізнаванням облич, після скарг організацій, що займаються цифровими правами, зокрема NOYB Макса Шремса, з кількома виписаними штрафами.
Оскільки платформи штучного інтелекту та машинного навчання продовжують поширюватися, за словами фірми, попереду буде більше регулятивних розслідувань і правозастосування.
Опитування також висвітлює деякі важливі рішення, ухвалені органами із захисту даних цього року щодо застосування вимог Schrems II і розділу V GDPR до певних міжнародних передач персональних даних.
У цих випадках органи влади стверджували, що неможливо прийняти підхід, що ґрунтується на оцінці ризику, під час оцінки передачі персональних даних до третіх країн, по суті стверджуючи, що передача заборонена, навіть якщо існує ймовірність того, що іноземний державний доступ може завдати шкоди.
«Пропорційний, заснований на оцінці ризиків підхід до тлумачення обмежень GDPR щодо міжнародної передачі персональних даних не просто дозволений, але, на нашу думку, вимагається законом. Прийняття абсолютистського підходу до обмежень передачі та ефективна заборона будь-якої передачі персональних даних, однак тривіальний ризик заподіяння шкоди, загрожує справжньою тривалою шкодою для споживачів», – каже Ева Куровська-Тобер, глобальний співголова відділу захисту даних і кібербезпеки DLA Piper.
«Передачі мають багато переваг для споживачів і суспільства, забезпечуючи швидку розробку та розгортання вакцин, забезпечуючи ефективний нагляд і регулювання бізнесу та надаючи доступ до онлайн-сервісів, якими користуються мільярди людей. Ми сподіваємося, що наглядові органи переглянуть абсолютистський підхід, прийнятий у цих ранніх рішеннях щодо примусового виконання».
