Персональные данные в Европе: пять историй, когда компании нарушили GDPR и получили штраф от 100 тыс. до 2 млн евро

Ульяна Жаркова
Ульяна Жаркова,
Head of Legal Mindbox
Регуляторы в странах Евросоюза очень активны: достаточно пары жалоб от пользователей и бизнес могут проверить на соответствие законам GDPR. А иногда с проверками приходят и без обращения клиентов.
Ульяна Жаркова, Head of Legal Mindbox, поделилась историями пяти компаний: работая с персональными данными они нарушили европейские законы и получили штрафы от 100 тыс. до 2 млн евро.
В колонке — примеры нарушений во Франции, Испании, Нидерландах, Австрии и Дании. Вы узнаете об ошибках при обзвоне клиентов, регистрации в программе лояльности, обработке запросов пользователей и т.д. А также — как одному бизнесу удалось снизить размер штрафа на 40%.
После каждого кейса — рекомендации, как не наступить на те же грабли. Обратите на них внимание, если собираетесь выходить на рынки европейских стран или уже работаете с данными клиентов из ЕС.

Испанская страховая компания DKV Seguros y Reaseguros, S.A.E. игнорировала утечку данных

Один пользователь получил случайно отправленное 51 email-письмо с медицинскими данными 32 клиентов: полным именем и информацией о медицинских обследованиях. Он несколько раз сообщил страховой об ошибке, но ему не ответили. В результате пользователь пожаловался испанскому регулятору. Только после сообщения регулятора компания отреагировала на жалобу.

Ст. 39 GDPR о защите персональных данных

Ст. 5 п.1 (f) GDPR и ст. 32 GDPR о безопасности обработки

Ст. 33 GDPR об уведомлении надзорного органа

Страховая нарушила несколько статей GDPR. Она не приняла достаточных технических мер для защиты персональных данных своих клиентов и не обеспечила должную защиту чувствительных медицинских данных. Кроме того, когда случилась утечка, компания ничего не сделала, чтобы остановить потерю данных и их распространение. В том числе не сообщила о ситуации контролирующему органу и клиентам, чьи данные случайно попали к третьему лицу.
Оказалось, что рассылкой занимались два менеджера и ошибка произошла из-за неправильной настройки CRM-системы. Поскольку утечка была единичной — она случилась в рамках разовой email-кампании — бизнес не вносил исправлений в общий процесс рассылок.
  • 132 тыс. евро
    штраф за игнорирование утечки данных
Изначально регулятор назначил штраф 220 тысяч евро, но его получилось уменьшить на 40% — до 132 тысяч евро. Во-первых, страховая призналась в нарушении, и сумма снизилась до 176 тысяч евро. А во-вторых, компания заплатила штраф до официальных обвинений: в течение 10 дней, пока проверяющий орган формулировал обвинение и предоставлял окончательные доказательства.

Что делать, если утекли данные клиентов

  • Если пользователь сообщил, что он получил чьи-то данные по ошибке, нужно сразу отреагировать на сообщение и прекратить отправку ошибочных писем.
  • Важно уведомить об инциденте контролирующий орган в течение 72 часов после того, как вы узнали об утечке.
  • Клиентов, чьи данные утекли, нужно уведомить сразу — не должно быть неоправданной задержки.
  • Лучше дополнительно защитить чувствительные данные — например, отправлять файлы по email в зашифрованном архиве, а пароль к архиву пересылать по другому каналу связи.

Немецкий оператор программ лояльности Unser Ö-Bonus Club GmbH непрозрачно сообщал о профилировании и передаче данных партнерам

Unser Ö-Bonus Club GmbH позволяет клиентам зарегистрироваться в программе лояльности. Благодаря этому они получают доступ к бонусным программам и скидочным акциям партнеров.
Выяснилось, что при регистрации в программе клиент не сразу понимает, что будет происходить с его данными. Проблема коснулась сайта и бумажных анкет.
Когда пользователь регистрируется на сайте, он сначала соглашается на обработку своих данных и только потом может перейти вниз и прочитать текст соглашения. Таким образом, человек технически не может узнать условия обработки данных до того, как на них соглашается. В тексте соглашения указано, что компания профилирует клиентов: анализирует их данные и поведение, а также использует эту информацию для создания индивидуальных профилей, которые передает компаниям-партнерам.
В бумажных же анкетах поле для подписи выглядело как подтверждение зачисления в бонусный клуб, но по факту было согласием на профилирование.

Ст. 6 GDPR о законности обработки

Ст. 7 GDPR об условиях согласия

Ст. 12 GDPR о прозрачном информировании

Австрийский контролирующий орган посчитал, что такие форматы получения согласия от клиентов недействительны. А значит, обрабатывать данные клиентов и передавать их партнерам — незаконно.
Компания нарушила три статьи GDPR. Она неправомерно получала и обрабатывала персональные данные, не давая клиентам полную информацию о том, что происходит с их данными.
  • 2 млн евро
    штраф за непрозрачное информирование клиентов
За все нарушения регулятор назначил штраф 2 миллиона евро, но компания его оспорила. На текущий момент нет публичной информации, окончательно ли решение и сумма штрафа (штраф был назначен в июле за нарушения c мая 2019 года по февраль 2020 года и оспорен в августе 2021 года).
Оператор приостановил профилирование клиентов, данные которых уже были собраны на сайте и через бумажные анкеты, — до прояснения ситуации. Таким клиентам начисляются баллы, но у них нет доступа к бонусным программам партнеров, поскольку для этого нужно профилирование. Компания планирует заново взять согласие у этих клиентов и решает, как это правильно сделать.
Тем не менее данные клиентов, которые регистрировались другими способами (в цифровых киосках и в приложении), продолжили профилировать, поскольку они не были предметом внимания регулятора.

Что делать, если в рамках программы лояльности вы сегментируете клиентов и передаете данные третьим лицам

  • Еще до того, как клиент подтвердил регистрацию в программе на сайте, нужно дать ему возможность прочитать условия соглашения. А в самом соглашении объяснить простым языком, что происходит с персональными данными — например, как работает профилирование и кому передаются данные.
  • В бумажной форме регистрации важно явно прописывать, что вы не только зачисляете клиента в бонусный клуб, но и берете согласие на обработку персональных данных. И так же прозрачно объяснить, какие данные собираются и что с ними будет происходить.

Нидерландский медиахолдинг DPG Media Magazines B.V. препятствовал отписке: просил копию паспорта для подтверждения личности

DPG Media Magazines B.V. производит и распространяет медиапродукцию: книги, журналы, газеты.
За первое полугодие 2019 года компания получила 11 тысяч запросов от клиентов по поводу персональных данных — из них 60 были отправлены не через личный кабинет.
Когда запрос приходил не через личный кабинет, а по обычной почте, через email или форму на сайте, сотрудники запрашивали копии документа, удостоверяющего личность. Если человек не присылал копию, его обращение не рассматривали.
Компания хотела убедиться, что тот, кто запрашивает доступ к данным, — владелец личного кабинета. Она считала, что была вправе запросить документ, так как у нее не было других способов установить личность заявителя (в соответствии со ст. 12 п. 6 GDPR). Это необходимо, чтобы данные не попали к случайному человеку и не были удалены по его просьбе.
В результате пять пользователей пожаловались в контролирующий орган. Четверо сообщили, что такой способ проверки слишком обременительный. А один пользователь все же прислал копию идентификационной карты (ID), но по этим данным компания не смогла связать личность человека с его кабинетом — пользователь намеренно не связывал свое удостоверение личности с профилем.

Ст. 12 п. 2 GDPR о правах субъекта данных

Регулятор посчитал, что требовать копию паспорта — несоразмерно цели идентификации пользователя. Также личность человека можно установить другими менее рискованными для него способами, например по email-адресу.
Более того, даже если клиент присылает снимки паспорта, это не подтверждает его личность. При этом пользователь сильно рискует ради отписки от книжного сервиса — его паспортные данные могут попасть в руки злоумышленникам.
Согласно GDPR компания обязана обеспечить пользователю легкий доступ к его персональным данным и не должна создавать лишние административные барьеры.
  • 525 тыс. евро
    штраф за запрос излишних данных для подтверждения личности
После уведомления от контролирующего органа DPG Media Magazines B.V. сообщила, что больше не будет запрашивать копию паспорта. Тем не менее ее оштрафовали на 525 тысяч евро.

Что делать, если вам нужно идентифицировать пользователей

Не стоит запрашивать чувствительные данные для идентификации пользователя (копию документа, удостоверяющего личность) без необходимости. Если личность клиента можно установить по другим признакам, например по email-адресу, с которого он пишет и который есть в базе, то стоит рассмотреть запрос и использовать более простой способ сверки.

Датское книжное издательство Gyldendal A/S слишком долго хранило данные клиентов

Датский регулятор не получал жалобы от клиентов — он сам провел аудит книжного издательства Gyldendal A/S.
Выяснилось, что компания хранит данные около 658 тысяч отписавшихся членов книжного клуба без адекватной причины: 395 тысяч людей отказались от участия в клубе более 10 лет назад. У компании не было инструкций по удалению данных отписавшихся из базы пользователей.

Ст. 5 п. 1 (e) GDPR о принципах обработки данных

Контролирующий орган посчитал это умышленным нарушением и отметил, что оно задело большое количество людей. Компания хранила персональные данные дольше, чем это нужно для цели обработки. С одной стороны, бизнес сам решает, сколько хранить данные, но с другой — этот срок должен быть обоснован.
Доступ к базе был только у двух сотрудников, и компания сотрудничала с регулятором — это стало смягчающим обстоятельством.
  • 134 тыс. евро
    штраф за слишком долгое хранение персональных данных
Gyldendal A/S была оштрафована на 134 тысячи евро. Из базы удалили всю информацию о бывших членах клуба и сократили срок хранения данных бывших подписчиков до шести лет.

Что делать, если клиенты отписываются от сервиса или рассылок компании

Стоит ввести четкую политику по очистке базы и установить адекватные сроки хранения информации. Важно регулярно и вовремя удалять данные отписавшихся клиентов.

Французская энергетическая и нефтяная компания TotalEnergies спамила, не говорила о правах владельцев персональных данных при обзвонах, не отвечала вовремя на запросы клиентов

TotalEnergies добывает и поставляет электричество и газ жителям Франции.
С октября 2019 года по июль 2020 года французский контролирующий орган CNIL получил 27 претензий. Люди жаловались, что компания игнорирует их отказ от получения рекламных звонков.
  • 1 млн евро
    штраф за несколько нарушений при работе с данными лидов
CNIL нашел несколько нарушений не только GDPR, но и местных законов Франции. За все нарушения компания получила штраф 1 миллион евро.

Компания неправильно собирала данные лидов на сайте

В 2020 году TotalEnergies решила реактивировать базу пользователей, которые когда-то заполнили заявку на сайте, но не купили услуги.
В форме заявки сообщалось: «Заполняя форму своими данными, вы подтверждаете, что соглашаетесь на их использование Total Direct Energie для дальнейшей отправки вам наших предложений». Когда человек оформлял заявку, он не мог отказаться от условий обработки его данных и от получения рекламных сообщений.
Компания пояснила, что при оформлении заявки на сайте она предупреждала клиентов о рассылке предложений. Поэтому могла использовать телефон и email, чтобы напомнить о себе, — звонки и email-рассылки нужны, чтобы помочь пользователю оформить покупку, а не рекламировать свои услуги.
Тем не менее после уведомления от контролирующего органа компания добавила на сайт чекбокс, чтобы пользователь мог отказаться от сообщений и звонков. Тем, кто начал заполнять заявку, но не оформил заказ, письма и звонки больше не приходили.

Ст. L 34–5 французского закона CPCE о почтовых и электронных сообщениях

Несмотря на то что ошибку исправили, контролирующий орган начислил за нее штраф. Компания нарушила французский закон об электронных и почтовых коммуникациях.

При обзвонах клиентов не информировали о том, что происходит с их персональными данными

Регулятор прослушал 84 записи разговоров. В некоторых случаях перед продвижением услуг пользователям не говорили, как обрабатываются их персональные данные, или давали неполную информацию. Например, не сообщали о цели обработки данных и о праве возразить против обработки. Также компания никому не предлагала доступ ко всей информации: о правах клиентов при обработке их данных.

Ст. 14 GDPR о праве на информацию

По закону еще в начале разговора бизнес должен сообщить пользователю базовую информацию: например, о цели обработки данных — зачем клиенту звонят, о правах — о праве на отказ от звонка или удаление данных из базы и пр. Кроме того, должна быть опция прослушать максимально полную информацию о работе с данными и правах пользователя (например, по нажатию клавиши).
После предупреждения от контролирующего органа в TotalEnergies изменили скрипт звонка: добавили в начало важную информацию о персональных данных и возможность прослушать полную версию сообщения о том, как обрабатываются данные клиента.

Пользователи просили изменить или удалить их данные, но им не ответили вовремя

Жалобы пришли от четырех клиентов, которые:
  • просили исправить адрес;
  • возражали против обработки данных в коммерческих целях;
  • спрашивали, откуда компания получила их данные;
  • хотели удалить свои данные.
Но компания не ответила на эти запросы. Даже если просьбы и выполнялись, клиенты не знали, какие меры принимались.

Ст. 12 п. 3 GDPR о процедуре обработки запросов

Бизнес обязан ответить на просьбу пользователя как можно быстрее, но не позднее одного месяца. Если запрос сложный, срок ответа может быть продлен до двух месяцев.
TotalEnergies признала нарушение: процедура работы с запросами клиентов была правильной, но из-за большого числа обращений сотрудники не успевали ответить на все. Поэтому в процессе ничего не меняли, но пообещали больше не терять сообщения клиентов.

Пользователи не получили доступ к своим персональным данным

Восемь пользователей пожаловались на компанию — они просили доступ к своим персональным данным: например, спрашивали об их происхождении или хотели получить записи телефонных разговоров.
Кому-то доступ не предоставили, а кому-то долго отвечали — оправдывались, что долго ждут ответа от подрядчика, который не сообщал, откуда получил данные.

Ст. 15 GDPR о праве доступа к информации

После уведомления от контролирующего органа компания признала нарушение — она не обеспечила пользователям право доступа к информации об обрабатываемых персональных данных.
В TotalEnergies пересмотрели процесс обработки запросов на доступ к данным. Раньше такими обращениями занималась служба клиентской поддержки в порядке очереди, теперь — юридическая служба и в приоритетном порядке.

Клиентов продолжали спамить даже после отказа от писем и звонков

Люди получали рекламные звонки и email-рассылки, хотя предупредили компанию о том, что не хотят получать рекламу (отправили письмо с отказом по обычной почте). В результате шесть человек пожаловались в контролирующий орган.

Ст. 21 GDPR о праве на возражение

Компания нарушила права пользователей. Оказалось, из-за бюрократии, технических ошибок и человеческого фактора просьбы клиентов не учли. Например, компания получала почтовые запросы, но они не попадали сотруднику, который отвечал за обработку данных.

Что делать, если вы привлекаете лидов на сайт, обзваниваете клиентов и получаете обращения пользователей

  • У пользователя должна быть опция отказаться от получения рекламы при заполнении формы на сайте.
  • При обзвоне в начале разговора компания обязана информировать клиента о его правах: предупредить о работе с персональными данными и дать возможность прослушать полную информацию.
  • Запросы клиентов, связанные с персональными данными, лучше перенаправлять в юридический отдел с высоким приоритетом, а не обрабатывать в службе поддержки.
  • Стоит объяснить сотрудникам, почему важно соблюдать процессы обработки данных клиентов и ставить запросы о персональных данных в приоритет.

Основателям международных компаний

Все, кто выходит на международные рынки и рынки европейских стран, знают о GDPR. Несмотря на это, компании могут ошибиться и попасть в неприятную ситуацию.
Тем не менее бизнес может уменьшить риски.
Как видно из примеров, нередко контролирующий орган начинал проверки только после жалоб пользователей. Поэтому первое, что я бы посоветовала — оперативно реагировать на запросы пользователей и не оставлять их вопросы нерешенными. Тогда у человека не будет причины доводить проблему до регулятора. Но нужно помнить, что проверки могут начаться и без жалоб от клиентов.
Также стоит обратить внимание на точки касания лидов и публично доступную информацию: скрипт звонка для отдела продаж и клиентского сервиса, бумажную анкету для офлайн-регистрации в программе лояльности, онлайн-форму для сбора контактов, политику конфиденциальности и публичную оферту на сайте. Это легко проверяемые процессы, в которых регулятор может найти нарушения — при мониторинге в интернете или повторении пользовательского пути.
Если контролирующий орган все же «постучался», то по некоторым местным законам можно снизить штраф — если сотрудничать с проверяющими, признать нарушение или досрочно погасить сумму.