GDPR: Τα πρόστιμα-ρεκόρ σε εταιρείες και πολυεθνικούς κολοσσούς για παραβίαση προσωπικών δεδομένων

Οι οικονομικές κυρώσεις για την παραβίαση του Γενικού Κανονισμού Προστασίας Δεδομένων μπορεί να είναι βαρύτατες και να ανέρχονται σε εκατοντάδες εκατομμύρια ευρώ.

Πρόστιμα άνω του 1 δισ. ευρώ έχουν επιβληθεί σε εταιρείες-κολοσσούς, σε οργανισμούς και σε πολυεθνικές  για παραβιάσεις του Γενικού Κανονισμού Προστασίας Δεδομένων, γνωστού ως GDPR (General Data Protection Regulation), από την εφαρμογή του τον Μάιο του 2018, μέχρι τα τέλη του 2021.

Ο Ευρωπαϊκός Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) θεωρείται ένας από τους αυστηρότερους νόμους περί απορρήτου και ασφάλειας παγκοσμίως. Όντας σε ισχύ από τις 25 Μαΐου 2018, ο κανονισμός επιβάλλει υποχρεώσεις σε οργανισμούς οπουδήποτε στον κόσμο, εφόσον στοχεύουν ή συλλέγουν δεδομένα που σχετίζονται με άτομα στην ΕΕ. Το εύρος και η πολυπλοκότητα του GDPR τον έχουν μετατρέψει σε ένα όπλο τρομακτικής δυναμικής όσον αφορά στην υποχρέωση συμμόρφωσης των παραβατών.

Το ευέλικτο, ωστόσο, λογισμικό του, συμβάλλει στην εύκολη εφαρμογή του σε περιπτώσεις παραβάσεων. Οι παραβιάσεις όμως είναι ιδιαίτερα σοβαρές και οι οικονομικές κυρώσεις μπορούν να ανέλθουν σε εκατοντάδες εκατομμύρια ευρώ. Στην παρακάτω λίστα του emea.gr, θα διαβάσετε για τα μεγαλύτερα πρόστιμα που επιβλήθηκαν το 2021, δύο εκ των οποίων συνιστούν ποσά-ρεκόρ.

1. Amazon – 746 εκατ. ευρώ

Στις 16 Ιουλίου 2021, η Εθνική Επιτροπή Προστασίας Δεδομένων του Λουξεμβούργου (CNDP) εξέδωσε το μεγαλύτερο πρόστιμο που έχει επιβληθεί ποτέ για παραβίαση του GDPR, ύψους 746 εκατομμυρίων ευρώ (888 εκατομμύρια δολάρια),  στο μεγαθήριο του διαδικτυακού εμπορίου, την Amazon.

Το πρόστιμο επιβλήθηκε ως αποτέλεσμα καταγγελίας που υποβλήθηκε από 10.000 άτομα κατά της Amazon τον Μάιο του 2018, μέσω μιας γαλλικής ομάδας για τα δικαιώματα της ιδιωτικής ζωής που  προωθεί και υπερασπίζεται τις θεμελιώδεις ελευθερίες στον ψηφιακό κόσμο.

Το CNPD διεξήγαγε μια έρευνα σχετικά με τον τρόπο με τον οποίο η Amazon επεξεργάζεται τα προσωπικά δεδομένα των πελατών της και διαπίστωσε παραβιάσεις σχετικά με το σύστημα στόχευσης διαφημίσεων της Amazon που πραγματοποιήθηκαν χωρίς την κατάλληλη συναίνεση.

2. WhatsApp – 225 εκατ. ευρώ

Στις  2 Σεπτεμβρίου 2021, η  Επιτροπή Προστασίας Δεδομένων της Ιρλανδίας (DPC) ανακοίνωσε ότι εκδίδει απόφαση για την επιβολή προστίμου GDPR σε υπηρεσία αποστολής μηνυμάτων και φωνητικών εντολών μέσω IP WhatsApp  Ireland  που ανήκει στο Facebook, ύψους 225 εκατομμυρίων ευρώ, μετά από τριετή έρευνα.

Η δεσμευτική απόφαση εκδόθηκε μετά την παρέμβαση του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (EDPB), ενώ παράλληλα ζητήθηκε από την DPC (κύρια εποπτική αρχή για την WhatsApp Ireland Ltd.), να επανεκτιμήσει το αρχικά προτεινόμενο πρόστιμο σχετικά με παραβιάσεις της διαφάνειας, τον υπολογισμό του προστίμου καθώς και το χρονοδιάγραμμα για να συμμορφωθεί το WhatsApp.

3. Google France– 50 εκατομμύρια ευρώ

Στις 21 Ιανουαρίου 2019, η Γαλλική Εθνική Επιτροπή Πληροφορικής και Ελευθερίας (CNIL) επέβαλε στην Google πρόστιμο 50 εκατομμυρίων ευρώ για έλλειψη διαφάνειας, ανεπαρκείς πληροφορίες, έλλειψη έγκυρης συναίνεσης σχετικά με την εξατομίκευση των διαφημίσεων. Η παράβαση περιλάμβανε παραβάσεις των άρθρων:

Άρθρο 13- Πληροφορίες που πρέπει να παρέχονται όταν συλλέγονται προσωπικά δεδομένα από το υποκείμενο των δεδομένων

Άρθρο 14-Πληροφορίες που πρέπει να παρέχονται όταν δεδομένα προσωπικού χαρακτήρα δεν έχουν ληφθεί από το υποκείμενο των δεδομένων

Άρθρο 6-Η νομιμότητα της επεξεργασίας

Άρθρο 5-Αρχές σχετικά με την επεξεργασία δεδομένων προσωπικού χαρακτήρα

Τον Μάιο του 2018, η Εθνική Επιτροπή Προστασίας Δεδομένων (CNIL) έλαβε ομαδικές καταγγελίες από τις ενώσεις None Of Your Business (NOYB)  και La Quadrature du Net (LQDN).

Η Google απέτυχε να παράσχει επαρκείς πληροφορίες στους χρήστες σχετικά με τις πολιτικές συναίνεσης και δεν τους παρείχε επαρκή έλεγχο σχετικά με τον τρόπο επεξεργασίας των προσωπικών τους δεδομένων.

4. H&M - 35,25 εκ. ευρώ

Ο Επίτροπος του Αμβούργου για την Προστασία Δεδομένων και την Ελευθερία της Πληροφορίας  (BfDI) επέβαλε  πρόστιμο 35,3 εκατομμυρίων ευρώ στον σουηδικό όμιλο λιανικής  Hennes & Mauritz (H&M), για παραβίαση του GDPR.

Μετά από ένα τεχνικό σφάλμα, τα δεδομένα στη μονάδα του σκληρού δίσκου δικτύου της εταιρείας ήταν προσβάσιμα σε όλους τους εργαζόμενους για λίγες ώρες. Ο Τύπος έλαβε την είδηση ​​ενημερώνοντας τον Επίτροπο σχετικά με την παραβίαση.

Η υπόθεση είναι αρκετά ενδιαφέρουσα, αφού η εταιρεία συνέλεξε ευαίσθητα προσωπικά δεδομένα των υπαλλήλων της  μέσω… κουτσομπολιών και άλλων «πηγών» για να δημιουργήσει προφίλ εργαζομένων και χρησιμοποίησε αυτά τα δεδομένα στη διαδικασία απασχόλησης.

Τα προσωπικά δεδομένα περιλάμβαναν ιατρικά έγγραφα, συμπεριλαμβανομένων διαγνώσεων και χορηγήσεων φαρμάκων, καθώς και προσωπικές λεπτομέρειες σχετικά με τις διακοπές και τις οικογενειακές υποθέσεις των υπαλλήλων.

5. TIM - 27,8 εκ. ευρώ

Η 15η Ιανουαρίου 2020 ήταν μια κρίσιμη ημέρα για την ιταλική εταιρεία τηλεπικοινωνιών TIM. Η ιταλική DPA Garante τής επέβαλε πρόστιμο 27,8 εκατομμυρίων ευρώ για έναν αρκετά εκτενή κατάλογο παραβιάσεων.

Το εύρος των παράνομων δραστηριοτήτων της εταιρείας ήταν δύσκολο να αγνοηθεί. Η TIM έχει έρθει σε επαφή με κάποιους που δεν ήταν πελάτες της εταιρείας, χωρίς την κατάλληλη συναίνεση ή άλλες νομικές βάσεις.

Μερικά εκατομμύρια άτομα επηρεάστηκαν από αυτή την επιθετική στρατηγική μάρκετινγκ. Οι παραβάσεις περιλάμβαναν:

-Λανθασμένη διαχείριση των λιστών συναίνεσης

-Υπερβολική διατήρηση δεδομένων

-Παραβιάσεις δεδομένων

-Έλλειψη κατάλληλης συναίνεσης

-Παραβίαση των δικαιωμάτων GDPR

Τα προσωπικά στοιχεία περιλάμβαναν όνομα, επώνυμο ή όνομα εταιρείας. φορολογικό κωδικό ή ΑΦΜ, αριθμό τηλεφώνου, διεύθυνση και στοιχεία επικοινωνίας ατόμου.

6. British Airways – 22,4 εκ. ευρώ

Το 2019, η ICO  ανακοίνωσε την πρόθεση να επιβάλει πρόστιμο 204,6 εκατομμυρίων ευρώ στη British Airways για παραβίαση του GDPR.

Αυτό που αρχικά είχε ανακοινωθεί, θα καταγραφόταν στην ιστορία ως το μεγαλύτερο πρόστιμο GDPR που επιβλήθηκε ποτέ, μειώθηκε, ωστόσο, στα  20 εκατομμύρια ευρώ, λόγω της πρόσφατης πανδημίας και των επιπτώσεών της στον κλάδο των αεροπορικών εταιρειών.

Το περιστατικό συνέβη τον Ιούλιο του 2018, αλλά αποκαλύφθηκε λίγους μήνες αργότερα, τον Σεπτέμβριο του 2018. Σε αυτούς τους λίγους μήνες, ο ιστότοπος της British Airways εκτόπισε την επισκεψιμότητα των χρηστών σε έναν ιστότοπο χάκερ, με αποτέλεσμα οι χάκερ να υποκλέψουν προσωπικά δεδομένα περισσότερων από 400.000 πελατών .

Σύμφωνα με την επίσημη δήλωση της ICO , «… η έρευνα διαπίστωσε ότι η αεροπορική εταιρεία επεξεργαζόταν σημαντικό όγκο προσωπικών δεδομένων χωρίς να εφαρμόζονται τα επαρκή μέτρα ασφαλείας. Αυτή η αποτυχία παραβίασε τη νομοθεσία περί προστασίας δεδομένων και, στη συνέχεια, η BA έγινε αντικείμενο κυβερνοεπίθεσης το 2018, την οποία δεν εντόπισε για περισσότερο από δύο μήνες».

Η εταιρεία διέθετε ανεπαρκείς μηχανισμούς ασφαλείας για να αποτρέψει τέτοιου είδους επιθέσεις στον κυβερνοχώρο.

Η ICO δήλωσε ότι «μια ποικιλία πληροφοριών διακυβεύτηκε από κακές ρυθμίσεις ασφαλείας στην εταιρεία, συμπεριλαμβανομένων στοιχείων σύνδεσης, πιστωτικών καρτών και ταξιδιωτικών κρατήσεων, καθώς και πληροφορίες ονομάτων και διευθύνσεων».

7. Marriott– 20,45 εκ. ευρώ

Τον Ιούλιο του 2019, η ICO αποφάσισε να επιβάλει πρόστιμο 99 εκατομμυρίων λιρών στη Marriott International για παραβάσεις του GDPR.  Το πρόστιμο σχετιζόταν με την κυβερνοεπίθεση, κατά την οποία αποκαλύφθηκαν προσωπικά δεδομένα άνω των 339 εκατομμυρίων αρχείων επισκεπτών .

Από αυτά τα 339 εκατομμύρια άτομα, τα 31 εκατομμύρια ανήκαν στον Ευρωπαϊκό Οικονομικό Χώρο.

Η Marriott international εκτέθηκε στην κυβερνοεπίθεση μετά την εξαγορά του ομίλου ξενοδοχείων Starwood.

Η ICO κατέληξε στο συμπέρασμα ότι η Marriott απέτυχε να προβεί στη δέουσα επιμέλεια μετά την εξαγορά και θα έπρεπε να είχε εφαρμόσει τα κατάλληλα μέτρα ασφαλείας .

Στις 30 Οκτωβρίου 2020, η ICO εξέδωσε ειδοποίηση ποινής εξηγώντας την απόφασή της. Μετά από περισσότερο από ένα έτος, το πρόστιμο μειώθηκε από το ιλιγγιώδες ποσό των 99 εκατομμυρίων λιρών, σε μόλις 18,4 εκατομμύρια.

Στην ανακοίνωση κυρώσεων, η ICO εξήγησε ους λόγους πίσω από την απόφαση αυτή, προβάλλοντας ως βασικό επιχείρημα τον αντίκτυπο της πανδημίας Covid-19.

Η Marriott σχολίασε επίσης την απόφαση στην επίσημη ιστοσελίδα της αναφέροντας:

«Η Marriott λυπάται βαθιά για το περιστατικό. Η Marriott παραμένει προσηλωμένη στο απόρρητο και την ασφάλεια των πληροφοριών των επισκεπτών της και συνεχίζει να πραγματοποιεί σημαντικές επενδύσεις σε μέτρα ασφαλείας για τα συστήματά της, κάτι που αναγνωρίζει η ICO. Η ICO αναγνωρίζει επίσης τα βήματα που έλαβε η Marriott μετά την αποκάλυψη του συμβάντος για την έγκαιρη ενημέρωση και προστασία των συμφερόντων των επισκεπτών της».

Το 2020, η Marriott υπέστη άλλη μια παραβίαση δεδομένων, αυτή τη φορά επηρεάζοντας 5,2 εκατομμύρια άτομα.

8. Wind– 16,7 εκ. ευρώ

Στις 13 Ιουλίου 2020, η ιταλική DPA-Garante επέβαλε πρόστιμο 16.700.000 ευρώ στον πάροχο τηλεπικοινωνιών, Wind Tre SpA.

Το πρόστιμο εκδόθηκε μετά από πολύπλοκες έρευνες και πολυάριθμες καταγγελίες ιδιωτών. Περισσότεροι από εκατό πελάτες υπέβαλαν καταγγελία για αυτόκλητες δραστηριότητες μάρκετινγκ που πραγματοποιήθηκαν χωρίς την κατάλληλη συγκατάθεση μέσω κλήσεων, φαξ, αυτοματοποιημένων τηλεφωνικών κλήσεων και SMS.

Επίσης, αρκετοί πελάτες παραπονέθηκαν ότι δεν μπορούσαν να αποσύρουν τη συγκατάθεσή τους ή ακόμη και να αντιταχθούν στην επεξεργασία ενώ τα προσωπικά τους δεδομένα δημοσιεύονταν ήδη σε δημόσιους καταλόγους.

Η έρευνα της DPA έδειξε ότι οι εφαρμογές που χρησιμοποιήθηκαν (MyWind και My3) είχαν διαμορφωθεί με τέτοιον τρόπο ώστε να απαιτούν από τον χρήστη να συναινεί, σε κάθε πρόσβαση, στην επεξεργασία για διάφορους σκοπούς, όπως μάρκετινγκ, δημιουργία προφίλ, επικοινωνία δεδομένων σε τρίτους, εμπλουτισμό δεδομένων και γεωγραφική θέση. Η ανάκληση, ωστόσο, αυτής της συγκατάθεσης επιτράπηκε μόνο μετά από 24 ώρες.

9. Vodafone Italia- 12,25 εκ. ευρώ

Στις 12 Νοεμβρίου 2020, η ιταλική αρχή προστασίας δεδομένων – Garante επέβαλε πρόστιμο 12,25 εκατομμυρίων ευρώ στη Vodafone Italia για παράνομη επεξεργασία προσωπικών δεδομένων εκατομμυρίων χρηστών για σκοπούς τηλεμάρκετινγκ.

Η Garante διεξήγαγε μια περίπλοκη έρευνα μετά από πολυάριθμες καταγγελίες για συνεχείς ανεπιθύμητες τηλεφωνικές κλήσεις που πραγματοποιούσε η Vodafone και το δίκτυο πωλήσεών της για την προώθηση των υπηρεσιών τους.

Η έρευνα αποκάλυψε ένα σύστημα αποθήκευσης πληροφοριών που είχε έως και 4,5 εκατομμύρια επαφές, η λίστα αγοράστηκε από εξωτερικούς παρόχους χωρίς την κατάλληλη συναίνεση. Οι παραβιάσεις επηρέασαν ολόκληρη την ιταλική βάση πελατών της Vodafone.

Όπως σημείωσε το EDPB: «Η έρευνα έφερε στο φως σημαντικές επικρίσεις «δομικής» φύσης που σχετίζονται με την παραβίαση όχι μόνο των απαιτήσεων συναίνεσης, αλλά και βασικών αρχών όπως η λογοδοσία και η προστασία των δεδομένων βάσει σχεδιασμού, όπως ορίζονται στον GDPR της ΕΕ. Αυτά τα κρίσιμα σημεία θα μπορούσαν να ανιχνευθούν στις δραστηριότητες επεξεργασίας που εκτελούνται τόσο σε σχέση με τη βάση δεδομένων πελατών της Vodafone όσο και – ευρύτερα – σε σχέση με τους υποψήφιους χρήστες υπηρεσιών ηλεκτρονικών επικοινωνιών».

10. Notebooksbilliger.de - 10,4 εκ. ευρώ

Στις 8 Ιανουαρίου 2021 , η γερμανική εταιρεία λιανικής πώλησης ηλεκτρονικών ειδών Notebooksbilliger.de έλαβε πρόστιμο 10,4 εκατομμυρίων ευρώ για υπαλλήλους της που παρακολουθούσαν βίντεο για περισσότερα από δύο χρόνια χωρίς νομική άδεια,  καταγραφή χώρων εργασίας, χώρων πωλήσεων, αποθηκών και κοινόχρηστων χώρων.

Το Notebooksbilliger ισχυρίστηκε ότι ο λόγος πίσω από την παρακολούθηση CCTV ήταν η πρόληψη κλοπών και η έρευνα ποινικών αδικημάτων καθώς και η παρακολούθηση της ροής των εμπορευμάτων από την αποθήκη.

Δύο βασικές αντιρρήσεις του LfD ήταν ότι η παρακολούθηση των βίντεο  γινόταν χωρίς την κατάλληλη νομική βάση και διατηρήθηκε για πολύ περισσότερο από ό,τι χρειαζόταν (60 ημέρες), σε χρονικό διάστημα τουλάχιστον δύο ετών.