Сергій Зіменков
DPO at NOVA group
Аналітика штрафів за порушення GDPR: детальний огляд
З моменту набуття чинності Загальним регламентом захисту даних (GDPR) у травні 2018 року, кількість накладених штрафів та їхні розміри зросли до вражаючих масштабів. У цій статті я детально розгляну аналітику штрафів, враховуючи їх кількість, загальні суми, причини накладення, а також проаналізую сезонність та галузевий розподіл.
Загальна кількість та суми штрафів
Згідно з даними Enforcement Tracker, від моменту впровадження GDPR загальна сума накладених штрафів вже перевищила 3 мільярди євро. Що стосується кількості порушень, то вона постійно зростає, особливо у періоди активної роботи регуляторів та перевірок.
Кількість штрафів за роками:
2018: В перший рік дії GDPR штрафи були доволі рідкісними, оскільки регулятори та компанії лише почали адаптуватися до нових вимог. Протягом цього періоду було зафіксовано порівняно невелику кількість порушень.
2019: Штрафи почали зростати, як і загальний розмір покарань. У цей рік компанії почали стикатися з наслідками недотримання правил, але більшість штрафів були відносно малими, зосередженими на менш суттєвих порушеннях.
2020-2021: Це був період найбільшого стрибка у кількості накладених штрафів. Наприклад, у 2021 році було накладено рекордний штраф у розмірі 746 мільйонів євро на Amazon, що відображає серйозний підхід регуляторів до значних гравців на ринку.
2022-2023: Протягом цих років кількість штрафів продовжувала збільшуватися, особливо в галузі технологій та фінансів. Важливо зазначити, що штрафи стали більш масовими, а їх суми значно зросли.
Загальна динаміка:
- За 2019 рік було накладено штрафів на загальну суму близько 400 мільйонів євро.
- До 2021 року ця сума зросла до понад 1 мільярда євро.
- У 2023 році загальний розмір штрафів перевищив 2,5 мільярди євро.
Розміри штрафів та причини накладення
GDPR передбачає значні штрафи залежно від характеру порушення. Відповідно до правил, порушення можуть призводити до двох основних категорій штрафів:
- До 10 мільйонів євро або 2% від річного обороту компанії.
- До 20 мільйонів євро або 4% від річного обороту компанії.
Більш серйозні порушення, які можуть привести до максимальних штрафів, включають:
- Невиконання зобов'язань щодо прав суб'єктів даних (наприклад, права на видалення даних або перенесення).
- Невиконання зобов'язань щодо захисту даних.
- Невідповідність заходів безпеки під час обробки персональних даних.
Найбільші штрафи:
- Amazon – 746 мільйонів євро (2021 рік): Компанія була оштрафована за порушення, пов'язані з обробкою даних користувачів без належної правової основи.
- Meta Platforms (Facebook) – 405 мільйонів євро (2022 рік): Штраф був накладений через проблеми з обробкою даних неповнолітніх.
- Google – 50 мільйонів євро (2019 рік): Французький регулятор CNIL оштрафував компанію за недостатню прозорість щодо обробки персональних даних та неправомірну обробку згоди користувачів.
Основні причини штрафів
1. Невиконання обов'язку повідомляти про витік даних
Однією з найбільш частих причин накладення штрафів є відсутність або несвоєчасне повідомлення про витік даних. GDPR вимагає від компаній повідомляти про порушення безпеки даних протягом 72 годин після його виявлення. Недотримання цього правила часто призводить до накладення штрафів.
2. Неправомірна обробка персональних даних
Недостатня правова основа для обробки даних є ще однією значною причиною штрафів. Часто компанії збирають та обробляють дані без згоди або без надання користувачам чіткої інформації про те, як саме їхні дані будуть використовуватися.
3. Невідповідні заходи безпеки
Компанії, які не забезпечують належний рівень безпеки при обробці персональних даних, ризикують зіткнутися зі штрафами. Недостатній захист від кіберзагроз та витоків даних є серйозним порушенням.
Сезонність накладення штрафів
Аналіз статистики штрафів за Enforcement Tracker показує наявність певної сезонності у накладенні штрафів. Найбільше штрафів накладається у червні та грудні кожного року. Це може бути пов'язано з завершенням фінансових кварталів або перевірками, що проводяться в рамках річних аудитів.
Червень: Часто спостерігається пік штрафів наприкінці другого кварталу, що може бути пов'язано з проведенням внутрішніх та зовнішніх аудиторських перевірок компаній.
Грудень: Регулятори намагаються завершити більшість справ до кінця року, що також призводить до збільшення кількості штрафів у цей період.
Галузевий розподіл штрафів
1. Технологічний сектор
Більшість значних штрафів було накладено на компанії технологічного сектору. Такі компанії, як Amazon, Google, Meta (Facebook), обробляють величезну кількість даних користувачів, що збільшує ризик порушень та витоку даних.
2. Фінансові установи
Фінансовий сектор також стикається з великим обсягом регуляторних викликів щодо захисту даних. Банки, страхові компанії та фінансові сервіси регулярно перевіряються на відповідність GDPR, оскільки працюють із надчутливими персональними даними клієнтів.
3. Охорона здоров’я
Сектор охорони здоров'я займає особливе місце у системі GDPR через високий рівень конфіденційності медичних даних. Порушення в цій галузі можуть призводити до значних штрафів, хоча їх частка у загальній сумі штрафів є меншою порівняно з технологічними компаніями.
Висновок
Штрафи за порушення GDPR продовжують зростати як за кількістю, так і за розмірами, що свідчить про серйозність підходу регуляторів до захисту персональних даних громадян ЄС. Найбільші гравці ринку, особливо у технологічному та фінансовому секторах, опиняються під пильною увагою регуляторних органів, оскільки обробляють величезні масиви даних.
Сезонність накладення штрафів також відіграє свою роль у формуванні загальної картини.