Политика конфиденциальности: что это, зачем и как составить политику конфиденциальности для сайта
В августе 2021 ошибки WhatsApp в составлении Privacy Policy стоили компании 225 млн EUR. А в январе 2022 года Google пришлось заплатить 90 млн EUR за нарушение процедуры согласия на использование файлов cookie. В статье IT-юристы рассказывают как избежать штрафов, блокировки IT-продуктов и составить политику конфиденциальности на сайт по требованиям GDPR, CCPA и других актов.
Что такое политика конфиденциальности?
Политика конфиденциальности — это юридическое соглашение, в котором объясняется, какую личную информацию вы собираете от посетителей веб-сайта или приложения, как ее используете и защищаете.
Для чего нужна политика конфиденциальности?
Выделим 4 причины разработать и опубликовать документ.
Выполнить требования GDPR, CCPA и локальных законов по обработке персональных данных
Разработка политики конфиденциальности — это требование закона.
Если IT-продукт охватывает аудитории разных стран, то Политика конфиденциальности должна выполнять требования законов таких регионов. В таком случае действует правило: если пользователь приходит к вам, то применяется ваш закон; если вы идете к пользователю, то применяется его закон.
- В Калифорнии действует Калифорнийские закон о защите конфиденциальности в Интернете (CalOPPA) и закон о конфиденциальности потребителей (CCPA). Акты распространяются на компании, которые собирают личные данные жителей Калифорнии, а значит их действие выходит за пределы одного штата.
- В США — Закон о защите конфиденциальности детей в Интернете (COPPA) .
- В Канаде — Закон о защите личной информации и электронных документов (PIPEDA).
- В ЕС — Общий регламент по защите данных (GDPR).
От того, где находится ваш потребитель, зависит по требованиям какого акта нужно разрабатывать Privacy Policy. К примеру, есть отличия между CCPA и GDPR. Защита первого распространяется на B2C сегмент, а вот второго — на B2C и B2B.
Паблишить мобильные приложения в AppStore и Google Play
В 2018 году AppStore потребовал, чтобы все приложения опубликовали Privacy Policy. Теперь разработчики приложений для iOS должны опубликовать Политику конфиденциальности, прежде чем продукт будет отправлен на проверку в AppStore.
В Соглашении о распространении программных продуктов Google Play, с которым вы должны согласиться как разработчик, говорится, что Политика конфиденциальности требуется для всех приложений Android. Кроме этого, команда Android Security and Privacy заявила, что за 2021 год заблокировали 1,2 миллиона приложений, нарушающих конфиденциальность.
Подключить Google Analytics, Google Ads, собирать данные с помощью файлов Cookie, использовать инструменты ремаркетинга
Google Analytics включили в свой Terms of Service требование про обязательное размещение Политики конфиденциальности. Сервис хранит файлы cookie на компьютере пользователя и c их помощью собирают данные, но для таких действий нужно получить разрешение.
Google Ads требует сообщить юзерам, что IT-решение использует ремаркетинг для рекламы продукта или услуги, и пользователь может от нее отказаться.
Twitter Lead Generation Card требует ввести URL-адрес вашей Политики, чтобы воспользоваться услугами. Такое же условие у Facebook. Когда вы используете API Facebook, вы запрашиваете личные данные пользователей. Поэтому Facebook требует, чтобы вы предоставили Политику конфиденциальности и гарантировали соблюдение законов.
В 2020 году активисты обнаружили, что Zoom для iOS отправляет аналитические данные в Facebook, даже если у пользователей нет учетной записи в социальной сети. Но в политики конфиденциальности не было ни слова об этом. После огласки, сервис для видеоконференций провели обновление и прекратили обмен информацией.
Подключить платежную систему для интернет-платежей
Системы эквайринга требуют, чтобы сайт или приложение уведомляли пользователей о передаче платежным системам персональных данных.
Поэтому для подключения PayPal, Stripe, Apple Pay, Google Pay и других платежных систем придется разрабатывать Privacy Policy. Для оплаты в приложениях, интернет-магазинах и других IT-продуктах нужно уведомить пользователей какую финансовую информацию вы собираете и куда уходят платежные данные.
Теперь вы знаете зачем нужна политика конфиденциальности на сайте и в мобильном приложении. Дальше расскажем как владельцам IT-продуктам составить документ.
Пункты, которые нужно добавить в Privacy Policy
Ниже найдете основные вопросы, на которые стоит ответить в Политике конфиденциальности.
Какие данные вы собираете и обрабатываете?
В первую очередь дайте определение персональным данным. А дальше фиксируйте отдельные категории данных в зависимости от типа продукта.
Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному пользователю.
IT-юристы Stalirov&Co разрабатывали Политику для биржи фриланса Youwex и прописали, что платформа собирает данные:
- о заказчиках: имя, фамилия, электронный адрес и пароль.
- о фрилансерах: имя, фамилия, электронный адрес, пароль, почтовый индекс, страна, знание языка, образование, опыт работы. Кроме этого фрилансер предоставляет подтверждающие документы, добавляет фото, видео и презентации.
- о результатах обслуживания: отзывы, комментарии, обращения в службу поддержки, жалобы, претензии и содержание сообщений.
- о транзакциях: кредитная/дебетовая карта.
Еще один продукт, с которым работали IT-юристы — SmartWatch Sync & Bluetooth notifier. Это приложение для синхронизации часов с Android-устройством. Перечень личной информации для этого IT-решения отличается от Youwex, и включает данные:
- учетной записи Google;
- идентификатор устройства;
- модель устройства;
- адрес электронной почты, имя, фамилия, местоположение;
- платежные данные.
Какие цели сбора и обработки данных?
Цели должны быть конкретными, законными и отчетливыми.
Для мобильной игры Island 211 IT-юристы прописали такие цели:
- регистрация в игре;
- демонстрация рекламного контента;
- проведение взаиморасчетов между игроками;
- выведение денежных средств;
- оказание клиентской поддержки и другие цели.
Цели для Youwex отличаются. Платформа собирает и обрабатывает данные, чтобы:
- помочь пользователям найти профиль фрилансера, бронировать и проводить онлайн сессии;
- проверить право на предоставление услуг в выбранном разделе и направлении, и поддерживать сервисы на высоком профессиональном уровне;
- выполнить требования законодательства в сфере финансов и бухгалтерского учета, подтвердить транзакции между заказчиком и фрилансером;
- предотвратить мошенническую деятельность на платформе и помочь управлять профилями пользователей.
Кому можно передавать собранные данные?
IT-продукт может делиться информацией с поставщиками дополнительных услуг: платежными системами, службами доставки, социальными сетями.
А также с партнерами, судами, правоохранительными и государственными органам и другим лицам. Главное требование — раскрытие информации третьи лицам в объеме необходимом для выполнения запроса.
Какие сторонние сервисы использует IT-продукт?
Предупредите пользователей о том, что к их персональным данным получают доступ посторонние сервисы. Например, приложение SmartWatch использует систему Flurry — платформу аналитики мобильных приложений. Все действия и клики пользователя внутри продукта, записываются и обрабатываются. Кроме этого SmartWatch использует AdMob для упрощения получения дохода благодаря рекламе, и Firebase для аналитики.
Дополнительно приложениям нужно получать согласие на доступ к системным настройкам телефона: местоположение и вибрация, фоновая работа, открытие сетевых ссылок, функции покупок, хранение данных во внешних хранилищах. Кроме перечня, нужно описать цель доступа.
Например, приложению SmartWatch нужен доступ к местоположению для поиска устройств Bluetooth в радиусе действия.
Еще один кейс IT-юристов — Hypelitix. Это веб-сервис, который предоставляет общедоступные данные профилей Instagram: метаданные постов, IGTV и историй профиля. Для распознавания текста на изображениях и видео в Instagram сервис использует Google Cloud Vision.
Задача автора Политики конфиденциальности информировать пользователя о посторонних сервисах и, по возможности, закрепить ссылки на их публичные документы. Это правило распространяется и на платежные системы.
Файлы Cookie
Сперва дайте определение Сookie.
Это фрагмент данных, который сервер отправляет в веб-браузер пользователя. Cookie применяется для аналитики, продуктивности и в рекламных целях.
IT-юристы готовили Политику конфиденциальности для интернет-магазина SnekerStudio. В документ внесли подробное описание видов Cookie, время и цель их хранения.
Например, basket_id хранится 4 года для функционирования Корзины на сайте. Google DoubleClick применяет IDE в рекламных целях, и собирает информацию о том, как юзер использует веб-сайт. Время хранения — 1 год. Facebook использует _fbp и fr cookie для доставки релевантной рекламы. Время хранения — 2 месяца.
Нарушение правил GDPR o Cookie файлах приводит к штрафам. В январе 2022 года французский орган по защите данных (CNIL) наложил на Google LLC 90 млн EUR штрафа. Все потому, что на YouTube легко принять файлы cookie, а отказаться от них сложнее. CNIL отметил, что для отказа от файлов cookie YouTube требуется, чтобы пользователь сделал несколько кликов, а для принятия — всего один клик. Но отказ от использования Cookie должен быть таким же простым, как и согласие, а Google нарушили такое требования GDPR.
Важно получить явное согласие от пользователя на использование Cookie файлов и предоставить возможность отозвать такое решение.
Рассылка рекламы
Отдельный пункт Политики конфиденциальности стоит посвятить рассылке маркетинговых материалов. Обозначьте, что можете использовать данные для внутреннего маркетинга, доставки электронных писем, в том числе с помощью почтовых рассылок, SMS и текстовых сообщений. Но у пользователя должна быть возможность отказаться от рассылки. Это обязательное требование GDPR и СCPA.
В июле 2020 года Управление по защите данных Италии наложило штраф в размере 17 млн EUR на телекоммуникационную компанию Wind за ее незаконную деятельность в области прямого маркетинга. Компания рассылала итальянцам рекламу без их согласия. Но отказаться от нее клиенты не смогли из-за того, что указаны неверные контактные данные.
Такой же кейс был у гиганта финансовых услуг BBVA. Испанский DPA наложил на компанию 5 млн EUR штрафа за отправку SMS-сообщений без согласия потребителей.
Какие меры безопасности предпринимает веб-сайт или приложение?
Сайты и приложения внедряют физические, электронные и процедурные меры безопасности для защиты персональных данных.
Статья 32 GDPR предлагает такие меры безопасности:
- анонимизация;
- шифрование;
- целостность и постоянная конфиденциальность;
- устойчивость систем и сервисов обработки;
- способность своевременно восстановить доступ;
- тестирование эффективности.
Приведем пример нарушений. Аудитория Zoom увеличилась с 10 миллионов ежедневных пользователей в декабре 2019 года до 300 миллионов ежедневных пользователей в апреле 2020 года. Вместе с этим методы безопасности программы подверглись тщательной проверке. Эксперты обнаружили ряд нарушений.
🔸В марте 2020 году исследователь Джонатан Лейтшу обнаружил в Zoom для Mac тривиальную удаленную уязвимость 0day, которая позволяет любому вредоносному ПО включать камеру без разрешения пользователя.
🔸Позже The New York Times сообщил, что Zoom использовал функцию интеллектуального анализа данных, которая сопоставляла имена и адреса электронной почты пользователей Zoom с их профилями LinkedIn без ведома пользователей.
Такие действия нарушают правила GDPR об анонимности. В ответ на критику, Zoom навсегда удалил эту функцию.
🔸И одна из последних проблем — микрофон Mac моu оставаться включенным и слушать, даже после окончания собрания Zoom.
Такие ситуации демонстрируют, что Zoom не предпринимает достаточные меры безопасности, чтобы соответствовать требованиям ст. 32 GDPR.
Где и как долго хранятся персональные данные?
Каждый IT-продукт самостоятельно определяет место и время хранения личной информации юзеров. Например биржа фриланса Youwex обязуется удалить данные платформы в течение 180 дней с момента удаления профиля.
Интернет-магазин SnekerStudio хранит данные все время существования личного кабинета.
Срок хранения у SmartWatch зависит от цели сбора данных. Например, данные регистрации учетной записи хранятся в маркетинговых целях пока приложение установлено на телефоне.
Как получить доступ, обновить или удалить данные?
Чтобы политика конфиденциальности соответствовала GDPR, опишите как пользователь может получить доступ, просмотреть, обновить, исправить и удалить любые личные данные.
Алгоритм действий должен быть простым. Например, отправить запрос на адрес электронной почты.
Вот как это сделали разработчики Youwex.
Пользователь может войти в свой профиль и изменить информацию о себе в той степени, в которой это позволяет система. Также он имеет право подать запрос на изменение информации о себе по электронной почте: [email protected]. Если он хочет подать запрос на удаление персональных данных в соответствии с требованиями GDPR, ему необходимо отправить сообщение на эл. почту [email protected]. При подаче запроса по электронной почте пользователя попросят предоставить информацию, для идентификации и проверки.
2 дополнительные рекомендации для политики конфиденциальности
Размещайте Политику конфиденциальности в доступном месте
Pew Research Center опросили 4272 американца. Только 9% из них полностью читают политику конфиденциальности, прежде чем согласиться с ней. Около 36% сказали, что никогда не читают документ. Несмотря на неутешительную статистику, документ должен быть легкодоступным.
К тому же это требование GDPR и CalOPPA. Пользовательские привычки демонстрируют, что регистрационная форма или футер сайта идеальные места для ссылки на Политику и получения согласия.
Пишите Политику конфиденциальности понятным для пользователя языком
Журналист Kevin Litman-Navarro изучил 150 политик конфиденциальности. С помощью сервиса Lexile он проверил насколько легко понять документы. По стандартам сервиса врачи и юристы должны понимать материал с оценкой 1440. К удивлению журналиста, многие политики превышают этот стандарт. Вам может показаться, что это второстепенный вопрос. Но даже контролирующие органы обращают внимание на критерий доступности. DPA Ирландии в деле WhatsApp заявило, что мессенджер не выполнил требования о легкодоступности политики. Компания должна использовать язык, понятный для пользователей. Это и другие нарушения стоили WhatsApp 225 млн EUR.
Предлагаем не повторять ошибок мировых гигантов: делать текст политики понятным, выбирать удобное форматирование и внедрять функциональную навигацию.
«Продолжаем сопротивление»: Telegram обновил политику конфиденциальности
Подпишитесь на нашу рассылку ”Контекст”: она поможет вам разобраться в событиях.
Автор фото, YURI KADOBNOV / Getty Images
Подпись к фото,В России у Telegram более 15 млн пользователей
Мессенджер Telegram 14 августа полностью обновил политику конфиденциальности. Telegram может передать спецслужбам IP-адрес и номер телефона пользователей, подозреваемых в терроризме.
Для этого правоохранительным органам нужно будет отправить запрос в администрацию мессенджера и приложить к нему решение суда.
Создатель Telegram Павел Дуров пояснил, что это связано с европейским законом и не касается ситуации в России.
Общий регламент по защите данных (General Data Protection Regulation, GDPR) вступил в силу 25 мая этого года и вводит новые требования к обработке персональных данных.
Компаниям, которые не соответствуют этому регламенту, грозит штраф на сумму до 20 млн евро.
- Гражданская интернет-война: в России не могут заблокировать Telegram
- СКР закупает «волшебные кубы» из Китая для взлома Telegram
- Поможет ли Apple блокировать Telegram? А если нет, то что?
Новый пункт политики конфиденциальности мессенджера Law Enforcement Authorities гласит:
«В случае, если Telegram получает судебное распоряжение, которое подтверждает, что вы подозреваетесь в терроризме, то мы можем раскрыть ваш IP-адрес и номер телефона соответствующим спецслужбам. На данный момент подобных ситуаций не было. Если же такой случай произойдет, то информация об этом будет опубликована в канале @transparency в отчете, публикуемом каждые полгода».
Из этого следует, что отныне Telegram сможет выдавать данные пользователей, но только по решению суда и только по конкретным лицам.
«Политика конфиденциальности была расширена 14 августа 2018 года, чтобы добавить информацию, требуемую законом о защите данных ЕС», — говорится в сообщении Telegram.
«Продолжаем сопротивление»
Сам Дуров прокомментировал решение у себя в Telegram: «Независимо от того, будем ли мы когда-либо пользоваться этим правом [передачи данных о террористах], такая мера должна сделать Telegram менее притягательной площадкой для тех, кто занимается здесь рассылкой террористической пропаганды».
По мнению Дурова, решение вряд ли приведет к прекращению попыток заблокировать Telegram в России, поскольку властям нужен доступ к переписке всех пользователей.
«В России от Telegram требуют не номер и IP-адрес террористов по решению суда, а нечто принципиально иное — доступ к сообщениям, причем всех пользователей, — написал Дуров. — Telegram в России находится вне закона».
«В этой связи какие-либо обращения от российских служб мы не рассматриваем, и наша политика конфиденциальности не касается ситуации в России.
Поэтому продолжаем сопротивление», — резюмировал он.
Роскомнадзор одобряет
Роскомнадзор приветствует решение Telegram по изменению политики мессенджера, заявил РИА Новости глава ведомства Александр Жаров. Он расценил его как первый ответ со стороны менеджмента мессенджера на требования российских законов, хотя компания утверждает обратное.
Замглавы Роскомнадзора Вадим Субботин сказал РИА Новости, что мессенджеру стоит перейти от заявлений к непосредственному взаимодействию «с компетентными органами».
Автор фото, Manuel Blondeau — Corbis / Getty Images
Подпись к фото,Основатель Telegram Павел Дуров ранее утверждал, что не передаст данные пользователей властям
Руководитель правозащитной группы «Агора», адвокат Telegram Павел Чиков сказал изданию «Код Дурова», что прогнозировать дальнейший ход событий еще рано.
По его мнению, изменения все-таки являются следствием дела ФСБ против Telegram, но это не результат переговоров с властями, так как Telegram давно борется с терроризмом (примером является блокировка каналов — @ISISwatch):
«Более того, я бы сказал, что это правильное направление.
Мы как представители Telegram никогда не отрицали права и даже обязанности властей бороться с терроризмом, наоборот, предлагали именно такой цивилизованный путь — судебный запрос в обмен на раскрытие. И даже не переписки, а лишь IP и телефона. Баланс интересов национальной безопасности и неприкосновенности частной жизни должен быть найден. Telegram предлагает свой вариант. ФСБ не предлагала ничего», — сказал Чиков.
- Бастрыкин призвал закрыть Instagram, перепутав его с Telegram
- «Проиграли все»: как прошел первый месяц войны Telegram и Роскомнадзора
- Роскомнадзор блокирует миллионы сетевых адресов, но Telegram работает. Почему?
Это не уступка Telegram властям, а предложение юридического баланса между интересами национальности безопасности и сохранением тайны частной переписки, сказал адвокат Интерфаксу.
«Позиция российских властей заключается, в том, что не должно быть никакого баланса, а позиция Telegram — в том, что он может быть найден вот таким вот цивилизованным образом, когда есть судебный запрос по конкретному делу», — пояснил свою мысль Чиков.
Автор фото, Getty Images
Подпись к фото,«Какие-либо обращения от российских служб мы не рассматриваем, и наша политика конфиденциальности не касается ситуации в России», — заявил Дуров
«Логично и правильно»
Пропустить Подкаст и продолжить чтение.
Подкаст
Что это было?
Мы быстро, просто и понятно объясняем, что случилось, почему это важно и что будет дальше.
эпизоды
Конец истории Подкаст
«Изменение в лицензионном соглашении Telegram — это логично и правильно, — считает заместитель гендиректора «1C-Битрикс» Сергей Кулешов. — Главное в этой новости — компания не выдает переписку, а предоставляет только номер телефона и IP-адрес. Переписка охраняется конституцией и останется в мессенджере».
По словам Кулешова, он не ожидал от Дурова движения в сторону диалога с властями.
«Думаю, в ближайшее время мы услышим официальное заявление. Эта тема будет обсуждаться в СМИ, и компании придется работать в публичном поле. Возможно, будет новая апелляция на судебное решение о блокировке мессенджера на территории России», — отметил эксперт.
«Мы сможем без прокси и VPN пользоваться продвинутым мессенджером. А бизнес будет полноценно использовать Telegram как канал продвижения и коммуникации со своей аудиторией. Из-за блокировки предприниматели бояться инвестировать и развивать в этот канал», — резюмировал Кулешов.
Отчеты прозрачности
Международные IT-компании получают запросы российских властей, но не все спешат их удовлетворять. Результаты они публикуют раз в полгода в отчетах о прозрачности.
Как показал анализ Би-би-си, из технологических гигантов только Apple активно сотрудничает с российскими властями.
В 2017 году компания удовлетворила рекордное количество запросов из России — 589.
При этом Россия не является лидером по количеству запросов — Германия, США и Испания обращаются в Apple по несколько тысяч раз в год.
Microsoft, Facebook, Twitter, напротив, отказываются предоставлять данные российским властям, — даже по так называемым срочным запросам, предполагающим, что от их удовлетворения может зависеть чья-то жизнь.
Изменения политики Telegram связаны с введением Общего регламента по защите данных (GDPR) в Европе. Он предполагает новые требования к обработке персональных данных потребителей. Компании, которые не будут им соответствовать, не смогут работать на европейском рынке и могут быть оштрафованы на сумму до 20 млн евро. Регламент вступил в силу 25 мая 2018 года.
Федеральная торговая комиссия США (FTC) налагает штраф в размере 5 миллиардов долларов и вводит новые масштабные ограничения конфиденциальности на Facebook
ПРИМЕЧАНИЕ. 24 июля 2019 года Федеральная торговая комиссия США провела ЛИЧНУЮ пресс-конференцию в штаб-квартире FTC по адресу 600 Pennsylvania Ave, NW, Вашингтон, округ Колумбия.
Посмотрите архивное видео. пресс-конференции.
В число участников вошли: председатель FTC Джо Саймонс, уполномоченные FTC Ноа Джошуа Филлипс и Кристин С. Уилсон, а также Густав В. Эйлер, директор Отдела защиты прав потребителей Департамента юстиции по гражданским делам.
Facebook, Inc. заплатит рекордный штраф в размере 5 миллиардов долларов и подчинится новым ограничениям и измененной корпоративной структуре, которая возложит на компанию ответственность за решения, которые она принимает в отношении конфиденциальности своих пользователей, для урегулирования Федеральной торговой комиссии. обвинения в том, что компания нарушила приказ Федеральной торговой комиссии от 2012 года, обманув пользователей относительно их способности контролировать конфиденциальность своей личной информации.
Штраф в размере 5 миллиардов долларов против Facebook является самым крупным штрафом, когда-либо наложенным на какую-либо компанию за нарушение конфиденциальности потребителей, и почти в 20 раз превышает самый крупный штраф за конфиденциальность или безопасность данных, когда-либо наложенный в мире.
Это один из крупнейших штрафов, когда-либо наложенных правительством США за любое нарушение.
Объявленный сегодня приказ об урегулировании также накладывает новые беспрецедентные ограничения на деловые операции Facebook и создает несколько каналов соблюдения. Приказ требует от Facebook реструктурировать свой подход к конфиденциальности с уровня корпоративного совета директоров и устанавливает новые надежные механизмы, гарантирующие, что руководители Facebook несут ответственность за решения, которые они принимают в отношении конфиденциальности, и что эти решения подлежат осмысленному надзору.
«Несмотря на неоднократные обещания миллиардам пользователей по всему миру, что они могут контролировать, как передается их личная информация, Facebook подрывает выбор потребителей», — сказал председатель FTC Джо Саймонс. «Масштаб штрафа в размере 5 миллиардов долларов и широкомасштабная помощь в связи с поведением беспрецедентны в истории Федеральной торговой комиссии. Послабление предназначено не только для наказания за будущие нарушения, но, что более важно, для изменения всей культуры конфиденциальности Facebook, чтобы снизить вероятность повторения нарушений.
«Министерство юстиции стремится защищать конфиденциальность данных потребителей и следить за тем, чтобы компании социальных сетей, такие как Facebook, не вводили людей в заблуждение относительно использования их личной информации», — заявила помощник генерального прокурора Джоди Хант из Гражданского отдела Министерства юстиции. «Историческое наказание и условия соблюдения этого мирового соглашения принесут пользу американским потребителям, и Департамент ожидает, что Facebook будет относиться к своим обязательствам в отношении конфиденциальности со всей серьезностью».
Более 185 миллионов человек в США и Канаде ежедневно используют Facebook. Facebook монетизирует информацию о пользователях с помощью целевой рекламы, которая принесла большую часть дохода компании в размере 55,8 млрд долларов в 2018 году. Чтобы побудить пользователей делиться информацией на своей платформе, Facebook обещает пользователям, что они могут контролировать конфиденциальность своей информации через настройки конфиденциальности Facebook.
После годичного расследования, проводимого Федеральной торговой комиссией, Министерство юстиции подаст жалобу от имени Комиссии, утверждая, что Facebook неоднократно использовал вводящие в заблуждение раскрытия информации и настройки для подрыва предпочтений пользователей в отношении конфиденциальности в нарушение приказа Федеральной торговой комиссии от 2012 года. Эта тактика позволила компании делиться личной информацией пользователей со сторонними приложениями, которые были загружены «друзьями» пользователя в Facebook. FTC утверждает, что многие пользователи не знали, что Facebook делится такой информацией, и поэтому не предпринимали шагов, необходимых для отказа от обмена.
Кроме того, FTC утверждает, что Facebook предпринял неадекватные шаги для борьбы с приложениями, которые, как ему было известно, нарушают правила его платформы.
В рамках связанного, но отдельного события Федеральная торговая комиссия также объявила сегодня о разделении правоохранительных органов против компании по анализу данных Cambridge Analytica, ее бывшего главного исполнительного директора Александра Никса и Александра Когана, разработчика приложений, который работал с компанией, утверждая, что они использовали ложные и вводящие в заблуждение методы сбора личной информации миллионов пользователей Facebook.
Коган и Никс договорились об урегулировании с FTC, которое ограничит их ведение любого бизнеса в будущем.
Новые требования к распоряжению Facebook
Чтобы Facebook не обманывал своих пользователей в отношении конфиденциальности в будущем, новый 20-летний порядок урегулирования FTC пересматривает способ, которым компания принимает решения о конфиденциальности, повышая прозрачность принятия решений и привлекая Facebook к ответственности. через перекрывающиеся каналы соответствия.
Приказ создает большую ответственность на уровне совета директоров. Он учреждает независимый комитет по конфиденциальности совета директоров Facebook, лишая генерального директора Facebook Марка Цукерберга неограниченного контроля над решениями, затрагивающими конфиденциальность пользователей. Члены комитета по конфиденциальности должны быть независимыми и назначаются независимым комитетом по выдвижению кандидатур. Члены могут быть уволены только квалифицированным большинством членов совета директоров Facebook.
Приказ также повышает ответственность на индивидуальном уровне. Facebook будет обязан назначить сотрудников по соблюдению требований, которые будут нести ответственность за программу конфиденциальности Facebook. Эти специалисты по соблюдению требований подлежат утверждению комитетом по конфиденциальности нового совета директоров и могут быть уволены только этим комитетом, а не генеральным директором Facebook или сотрудниками Facebook. Генеральный директор Facebook Марк Цукерберг и назначенные сотрудники по соблюдению требований должны независимо друг от друга представлять в FTC ежеквартальные подтверждения того, что компания соблюдает программу конфиденциальности, предусмотренную приказом, а также ежегодное подтверждение того, что компания в целом соблюдает приказ. Любая ложная сертификация повлечет за собой индивидуальную гражданскую и уголовную ответственность.
Приказ также усиливает внешний надзор за Facebook. Приказ расширяет возможности независимого стороннего оценщика оценивать эффективность программы конфиденциальности Facebook и выявлять любые пробелы.
Проводимые раз в два года оценки программы конфиденциальности Facebook оценщиком должны основываться на независимом сборе фактов, выборке и тестировании оценщиком и не должны полагаться главным образом на утверждения или свидетельства руководства Facebook. Приказ запрещает компании делать какие-либо искажения перед оценщиком, который может быть утвержден или удален FTC. Важно отметить, что независимый оценщик должен будет ежеквартально отчитываться непосредственно перед новым комитетом совета по вопросам конфиденциальности. Приказ также разрешает FTC использовать инструменты обнаружения, предусмотренные Федеральными правилами гражданского судопроизводства, для контроля за соблюдением Facebook этого приказа.
В рамках обязательной программы конфиденциальности Facebook, которая распространяется на WhatsApp и Instagram, Facebook должен проводить проверку конфиденциальности каждого нового или модифицированного продукта, услуги или практики перед их внедрением и документировать свои решения о конфиденциальности пользователей.
Назначенные сотрудники по соблюдению требований должны составлять ежеквартальный отчет о проверке конфиденциальности, который они должны предоставлять генеральному директору и независимому оценщику, а также FTC по запросу агентства. Приказ также требует, чтобы Facebook документировала инциденты, когда данные 500 или более пользователей были скомпрометированы, и свои усилия по устранению такого инцидента, а также предоставила эту документацию Комиссии и оценщику в течение 30 дней с момента обнаружения компанией инцидента.
Кроме того, приказ налагает важные новые требования к конфиденциальности, в том числе следующие:
- Facebook должен осуществлять более строгий надзор за сторонними приложениями, в том числе путем прекращения работы разработчиков приложений, которые не могут подтвердить, что они соблюдают политику платформы Facebook, или обосновать свою потребность в конкретных пользовательских данных;
- Facebook запрещено использовать телефонные номера, полученные для включения функции безопасности (например, двухфакторной аутентификации) в рекламных целях;
- Facebook должен предоставить четкое и заметное уведомление об использовании технологии распознавания лиц и получить положительное прямое согласие пользователя до любого использования, которое существенно выходит за рамки предыдущего раскрытия информации пользователям;
- Facebook должен разработать, внедрить и поддерживать комплексную программу защиты данных;
- Facebook должен шифровать пароли пользователей и регулярно сканировать, чтобы определить, хранятся ли какие-либо пароли в виде открытого текста; и
- Facebook запрещено запрашивать пароли электронной почты для других сервисов, когда потребители регистрируются в его сервисах.
Предполагаемые нарушения распоряжения 2012 года
Урегулирование связано с предполагаемыми нарушениями распоряжения FTC от 2012 года об урегулировании с Facebook. Среди прочего, приказ 2012 года запрещал Facebook делать ложные заявления о конфиденциальности или безопасности личной информации потребителей, а также о том, в какой степени она делится личной информацией, такой как имена и даты рождения, с третьими лицами. Это также потребовало от Facebook поддерживать разумную программу конфиденциальности, которая защищает конфиденциальность и конфиденциальность информации о пользователях.
FTC утверждает, что Facebook нарушил приказ 2012 года, обманув своих пользователей, когда компания передала данные друзей пользователей Facebook сторонним разработчикам приложений, даже если эти друзья установили более строгие настройки конфиденциальности.
В мае 2012 года Facebook добавил на свою центральную страницу «Настройки конфиденциальности» информацию о том, что информация, предоставленная друзьям пользователя в Facebook, также может быть передана в приложения, используемые этими друзьями. Федеральная торговая комиссия утверждает, что через четыре месяца после того, как в августе 2012 года был завершен приказ 2012 года, Facebook удалил это раскрытие с центральной страницы «Настройки конфиденциальности», хотя он по-прежнему делился данными друзей пользователя приложения в Facebook со сторонними разработчиками.
Кроме того, Facebook запустил различные службы, такие как «Быстрые команды конфиденциальности» в конце 2012 года и «Проверка конфиденциальности» в 2014 году, которые, как утверждается, помогают пользователям лучше управлять своими настройками конфиденциальности. Эти сервисы, однако, якобы не сообщили, что даже когда пользователи выбирали самые ограничительные настройки общего доступа, Facebook по-прежнему мог делиться пользовательской информацией с приложениями друзей пользователя в Facebook, если только они также не перешли на «Страницу настроек приложений» и не отказались от такой обмен. FTC утверждает, что компания нигде на странице «Настройки конфиденциальности» или в разделе «О программе» страницы профиля не раскрывала информацию о том, что Facebook по-прежнему может делиться информацией со сторонними разработчиками на платформе Facebook о друзьях пользователей приложения в Facebook.
Facebook объявил в апреле 2014 года, что он прекратит позволять сторонним разработчикам собирать данные о друзьях пользователей приложения («данные затронутых друзей»). Несмотря на это обещание, компания отдельно сообщила разработчикам, что они могут собирать эти данные до апреля 2015 года, если у них уже есть существующее приложение на платформе. FTC утверждает, что Facebook ждал по крайней мере до июня 2018 года, чтобы прекратить делиться информацией о пользователях со сторонними приложениями, используемыми их друзьями в Facebook.
Кроме того, в жалобе утверждается, что Facebook неправильно контролирует разработчиков приложений на своей платформе. FTC утверждает, что, как правило, Facebook не проверяет разработчиков или их приложения, прежде чем предоставить им доступ к огромному количеству пользовательских данных. Вместо этого Facebook якобы требовал от разработчиков согласия с политикой и условиями Facebook только при регистрации своего приложения на платформе Facebook. Компания утверждала, что полагалась на управление последствиями нарушений политики, которые впоследствии привлекли ее внимание после того, как разработчики уже получили данные о пользователях Facebook. В жалобе, однако, утверждается, что Facebook не применяла такие политики последовательно и часто основывала соблюдение своих политик на том, получил ли Facebook финансовую выгоду от своих договоренностей с разработчиком, и что эта практика нарушала требование приказа 2012 года о поддержании разумной программы конфиденциальности.
FTC также утверждает, что Facebook искажал возможности пользователей контролировать использование технологии распознавания лиц в своих учетных записях. Согласно жалобе, политика данных Facebook, обновленная в апреле 2018 года, вводила в заблуждение десятки миллионов пользователей, у которых есть настройка распознавания лиц Facebook под названием «Предложения тегов», потому что эта настройка была включена по умолчанию, а обновленная политика данных предполагала, что пользователи должны будут включить распознавание лиц для своих учетных записей.
В дополнение к этим нарушениям своего приказа от 2012 года FTC утверждает, что Facebook нарушил закон FTC о запрете на обман, когда сообщил пользователям, что будет собирать их номера телефонов для включения функции безопасности, но не сообщил, что он также использовал эти номера в рекламных целях.
Комиссия проголосовала за передачу жалобы и вынесла окончательный ордер в Министерство юстиции для подачи: 3–2. Департамент подаст жалобу и вынесет окончательный ордер в Окружной суд США по округу Колумбия. Председатель Саймонс вместе с комиссарами Ноем Джошуа Филлипсом и Кристин С. Уилсон выступили с заявлением по этому поводу. Комиссары Рохит Чопра и Ребекка Келли Слотер выступили с отдельными заявлениями по этому поводу.
ПРИМЕЧАНИЕ: Комиссия подает жалобу, когда у нее есть «основания полагать», что названные ответчики нарушают или собираются нарушить закон, и Комиссии кажется, что судебное разбирательство отвечает общественным интересам. Предусмотренные окончательные постановления имеют силу закона, если они одобрены и подписаны судьей районного суда.
Федеральная торговая комиссия занимается продвижением конкуренции, а также защитой и просвещением потребителей. Вы можете узнать больше о потребительских темах и подать жалобу потребителя через Интернет или по телефону 1-877-FTC-HELP (382-4357). Ставьте лайк FTC на Facebook, подписывайтесь на нас в Twitter, читайте наши блоги и подписывайтесь на пресс-релизы, чтобы быть в курсе последних новостей и ресурсов FTC.
12 самых крупных штрафов, штрафов и компенсаций за утечку данных на данный момент
Функция
Взломы и кражи данных, вызванные слабой защитой, сокрытием или ошибками, которых можно было избежать, обошлись этим компаниям почти в 4,4 миллиарда долларов и продолжают расти.
Майкл Хилл
Редактор Великобритании, ОГО |
Thinkstock / Герд Альтманн Значительные штрафы, начисленные за утечку данных с 2019 года, свидетельствуют о том, что регулирующие органы стали более серьезно относиться к организациям, которые не защищают данные потребителей должным образом. Marriott был оштрафован на 124 миллиона долларов, который позже был уменьшен, в то время как Equifax согласилась заплатить минимум 575 миллионов долларов за нарушение в 2017 году.
Теперь штраф Equifax затмил штраф в размере 1,19 миллиарда долларов, наложенный на китайскую фирму Didi Global за нарушение законов этой страны о защите данных, и штраф в размере 877 миллионов долларов на Amazon в прошлом году за нарушение Общего регламента по защите данных ( GDPR) в Европе.
Вот самые большие штрафы и санкции, наложенные за утечку данных или несоблюдение законов о безопасности и конфиденциальности.
1. Didi Global: 1,19 миллиарда долларов Китайская компания по заказу такси Didi Global была оштрафована на 8,026 миллиарда юаней (1,19 миллиарда долларов) Управлением киберпространства Китая после того, как оно решило, что компания нарушила национальный закон о сетевой безопасности, данные закон о безопасности и закон о защите личной информации. В заявлении Didi Global говорится, что она приняла решение регуляторов кибербезопасности, которое было принято после годичного расследования деятельности фирмы в отношении ее методов обеспечения безопасности и «подозрений в незаконной деятельности».
Летом 2021 года финансовые отчеты гиганта розничной торговли Amazon показали, что официальные лица в Люксембурге выписали 746 миллионов евро (877 миллионов долларов) за нарушение GDPR. Согласно сообщению в блоге поставщика кибербезопасности Tessian, полные причины штрафа еще не подтверждены, но считается, что он связан с согласием на использование файлов cookie. Говорят, что Amazon подает апелляцию на штраф, а представитель заявил: «Не было утечки данных, и никакие данные клиентов не были раскрыты какой-либо третьей стороне».
3. Equifax: (как минимум) 575 миллионов долларов
В 2017 году Equifax потерял личную и финансовую информацию почти 150 миллионов человек из-за неисправленной инфраструктуры Apache Struts в одной из своих баз данных. Компания не смогла устранить критическую уязвимость через несколько месяцев после выпуска исправления, а затем не информировала общественность о взломе в течение нескольких недель после его обнаружения.
В июле 2019 года кредитное агентство согласилось выплатить 575 миллионов долларов США, что может увеличиться до 700 миллионов долларов США, в рамках урегулирования с Федеральной торговой комиссией, Бюро финансовой защиты потребителей (CFPB) и всеми 50 штатами и территориями США по всему миру. «непринятие разумных мер для защиты своей сети».
300 миллионов долларов из этой суммы пойдут в фонд, предоставляющий пострадавшим потребителям услуги по мониторингу кредитоспособности (еще 125 миллионов долларов будут добавлены, если первоначального платежа недостаточно для компенсации потребителям), 175 миллионов долларов пойдут в 48 штатов, округ Колумбия и Пуэрто-Рико, а 100 миллионов долларов пойдут в CFPB. Соглашение также требует, чтобы компания каждые два года получала сторонние оценки своей программы информационной безопасности.
«Компании, которые получают прибыль от личной информации, несут дополнительную ответственность за защиту и безопасность этих данных», — сказал председатель FTC Джо Саймонс. «Equifax не предприняла элементарных шагов, которые могли бы предотвратить утечку, затронувшую примерно 147 миллионов потребителей».
Компания Equifax уже была оштрафована на 500 000 фунтов стерлингов [~ 625 000 долларов США] в Великобритании за нарушение в 2017 году, что является максимальным штрафом, разрешенным в соответствии с Законом о защите данных до вступления в силу Общего регламента по защите данных 1998 года. к нарушению: 7,75 миллиона долларов (плюс 2 миллиона долларов в виде судебных издержек) финансовым учреждениям в США плюс 18,2 миллиона долларов и 19,5 миллиона долларов в штатах Массачусетс и Индиана соответственно.
4. Instagram: 403 миллиона долларов В сентябре 2022 года Комиссар по защите данных Ирландии (DPC) оштрафовал Instagram за нарушение конфиденциальности детей в соответствии с GDPR. Давняя жалоба касалась данных, принадлежащих несовершеннолетним, в частности номеров телефонов и адресов электронной почты, которые стали более общедоступными, когда некоторые молодые пользователи обновили свои профили до бизнес-аккаунтов, чтобы получить доступ к инструментам аналитики, таким как посещения профилей.
Владелец Instagram, Meta, заявил, что планирует подать апелляцию на это решение. «Этот запрос был сосредоточен на старых настройках, которые мы обновили более года назад, и с тех пор мы выпустили много новых функций, которые помогут обеспечить безопасность подростков и конфиденциальность их информации», — сказал Би-би-си представитель Meta. «Хотя мы полностью взаимодействовали с DPC на протяжении всего расследования, мы не согласны с тем, как был рассчитан этот штраф, и намерены обжаловать его».
Энди Берроуз, руководитель политики безопасности детей в Интернете в Национальном обществе по предотвращению жестокого обращения с детьми (NSPCC), сказал: «Это было серьезное нарушение, которое имело серьезные последствия для безопасности и могло нанести реальный вред детям, использующим Instagram. . Постановление демонстрирует, как эффективное правоприменение может защитить детей в социальных сетях, и подчеркивает, как регулирование уже делает детей более безопасными в Интернете».
В июле 2022 года гигант мобильной связи T-Mobile объявил условия мирового соглашения по объединенному коллективному иску после утечки данных, которая произошла в начале 2021 года и затронула примерно 77 человек. миллионов человек. Инцидент был связан с «несанкционированным доступом» к системам T-Mobile после того, как часть данных клиентов была выставлена на продажу на известном форуме киберпреступников. В заявке SEC выяснилось, что T-Mobile выплатит в общей сложности 350 миллионов долларов для финансирования исков, поданных членами класса, судебных издержек адвокатов истцов и расходов на администрирование урегулирования. Компания также обязуется вложить в 2022 и 2023 годах совокупные дополнительные расходы в размере 150 млн долларов на обеспечение безопасности данных и сопутствующие технологии9. 0007
«Компания ожидает, что после утверждения судом мировое соглашение обеспечит полное освобождение от всех требований, вытекающих из кибератаки со стороны участников класса, которые не отказываются от участия, ко всем ответчикам, включая компанию, ее дочерние и зависимые компании, и его директоров и должностных лиц», — говорится в заявлении. «Урегулирование не содержит признания ответственности, правонарушений или ответственности со стороны кого-либо из ответчиков. Членами класса являются все лица, чья личная информация была скомпрометирована в результате нарушения, с учетом определенных исключений, изложенных в соглашении. Компания считает, что условия предлагаемого урегулирования соответствуют другим урегулированиям аналогичных видов претензий», — добавили в компании.
6. Meta (Facebook): 277 миллионов долларов В ноябре 2022 года Комиссия по защите данных Ирландии (DPC) оштрафовала Meta на 277 миллионов долларов (265 миллионов евро) за компрометацию личной информации 500 миллионов пользователей. DPC начал расследование 14 апреля 2021 года после сообщений о сопоставленном наборе персональных данных Facebook, который был доступен в Интернете. Объем запроса касался изучения и оценки инструментов Facebook Search, Facebook Messenger Contact Importer и Instagram Contact Importer в отношении обработки, проведенной Meta Platforms Ireland Limited («MPIL») в период с 25 мая 2018 г. по сентябрь. 2019. «Существенные вопросы в этом расследовании касались соблюдения обязательств GDPR в отношении защиты данных по дизайну и по умолчанию», — пишет DPC. «DPC рассмотрел реализацию технических и организационных мер в соответствии со статьей 25 GDPR (в которой рассматривается эта концепция). Был проведен всеобъемлющий процесс расследования, включая сотрудничество со всеми другими надзорными органами по защите данных в ЕС. Эти надзорные органы согласились с решением КДС».
Решение налагает выговор и приказ, требующий, чтобы MPIL привела свою обработку в соответствие, предприняв ряд определенных корректирующих действий в течение определенного периода времени.
Принадлежащий Facebook сервис обмена сообщениями WhatsApp был оштрафован на 225 миллионов евро (255 миллионов долларов) в августе 2021 года за серию нарушений GDPR в сфере трансграничной защиты данных в Ирландии. Штраф последовал за длительным расследованием и процессом принудительного исполнения, который начался в 2018 году и включал в себя предложенное Комиссией по защите данных решение и санкции, отклоненные ее коллегами-европейскими регулирующими органами по защите данных, что привело к обращению и решению Европейского совета по защите данных. Обвинения были сосредоточены на жалобах пользователей и непользователей услуг WhatsApp, касающихся предполагаемых нарушений прозрачности и обязательств в отношении информации о субъектах данных в соответствии со статьями 12, 13 и 14 GDPR.
8. Home Depot: ~200 миллионов долларов
В 2014 году компания Home Depot была замешана в одной из крупнейших на сегодняшний день утечек данных, связанной с системой точек продаж (POS), что привело к выплате ряда штрафов и выплате компенсаций. Украденные у третьих лиц учетные данные позволили злоумышленникам войти в сеть Home Depot, повысить привилегии и, в конечном итоге, скомпрометировать систему POS. За пять месяцев с апреля по сентябрь 2014 г. было украдено более 50 миллионов номеров кредитных карт и 53 миллиона адресов электронной почты9.0007
Home Depot, как сообщается, выплатила как минимум 134,5 миллиона долларов компаниям, выпускающим кредитные карты, и банкам в результате взлома. Кроме того, в 2016 году Home Depot согласилась выплатить 19,5 млн долларов клиентам, пострадавшим от взлома, включая стоимость услуг кредитного мониторинга для жертв взлома. В 2017 году фирма согласилась выплатить финансовым учреждениям, пострадавшим от взлома, дополнительные 25 миллионов долларов, на которые могут претендовать жертвы, и покрыть убытки банков.
Нарушения могут иметь длинный хвост расходов, особенно когда речь идет о штрафах и расчетах. В ноябре 2020 года ритейлер выплатил еще 17,5 миллионов долларов 46 штатам США и Вашингтону за нарушение. Соглашение также обязывает Home Depot нанимать высококвалифицированного директора по информационной безопасности, проводить обучение по вопросам безопасности для ключевого персонала и обеспечивать контроль и политику безопасности в таких областях, как идентификация и доступ, мониторинг и реагирование на инциденты.
9. Capital One: 190 миллионов долларов
В декабре 2021 года Capital One согласилась выплатить 190 миллионов долларов для урегулирования группового иска, поданного против нее клиентами из США в связи с утечкой данных в 2019 году, от которой пострадали 100 миллионов человек. Это урегулирование произошло более чем через год после того, как Управление валютного контролера США оштрафовало Capital One на 80 миллионов долларов за такое же нарушение (см. Ниже).
За атакой стоял инженер-программист AWS, которая раскрыла информацию, включая данные банковского счета. «Несмотря на то, что Capital One и AWS отрицают свою ответственность, в интересах избежания затрат времени, расходов и неопределенности, связанных с продолжающимся судебным разбирательством, истцы и Capital One составили список условий, содержащий основные условия коллективного урегулирования, которые, в случае одобрения этим судом, полностью урегулирует все претензии, предъявленные истцами», — говорится в заявлении, поданном в Окружной суд США Восточного округа штата Вирджиния. В заявлении, отправленном по электронной почте, Capital One заявила, что ключевые факты по делу не изменились с тех пор, как компания объявила об этом событии в сотрудничестве с федеральными властями более двух лет назад, когда хакер был арестован, а украденные данные были восстановлены до того, как они могли быть распространены или использованы для мошеннические цели. «Мы рады, что достигли соглашения, которое разрешит судебный процесс в отношении потребителей в США», — добавили в компании.
10. Uber: 148 миллионов долларов
В 2016 году в приложении Uber были взломаны 600 000 водителей и 57 миллионов учетных записей пользователей. Вместо того, чтобы сообщить об инциденте, компания заплатила преступнику 100 000 долларов, чтобы он сохранил взлом в тайне. Однако эти действия дорого обошлись компании. В 2018 году компания была оштрафована на 148 миллионов долларов — крупнейший штраф за утечку данных в истории на тот момент — за нарушение законов штата об уведомлении об утечке данных.
В январе 2022 года инвестиционный банк и гигант финансовых услуг Morgan Stanley согласились заплатить 60 миллионов долларов для урегулирования судебного иска, связанного с безопасностью его данных. Соглашение, если оно будет одобрено федеральным судьей Манхэттена, урегулирует коллективный иск, который был подан против компании в июле 2020 года в связи с двумя нарушениями безопасности, в результате которых были скомпрометированы личные данные примерно 15 миллионов клиентов. По словам заявителей, Morgan Stanley не смогла защитить личную информацию (PII) нынешних и бывших клиентов. Утверждается, что оборудование ЦОД было выведено из эксплуатации фирмой в 2016 и 2019 годах.не была эффективно очищена, а из-за программной уязвимости незашифрованные конфиденциальные данные были видны любому, кто приобрел оборудование.
Предлагаемое урегулирование претензии происходит более чем через год после того, как Morgan Stanley был наложен отдельный гражданский штраф в размере 60 миллионов долларов Управлением валютного контролера (OCC) в связи с теми же инцидентами. OCC заявил, что Morgan Stanley не удалось «осуществить надлежащий надзор за выводом из эксплуатации в 2016 году двух центров бизнес-данных Wealth Management, расположенных в США. Среди прочего, банки не смогли эффективно оценить или устранить риски, связанные с выводом из эксплуатации своего оборудования; не смогли адекватно оценить риск заключения субподряда на работы по выводу из эксплуатации, в том числе не проявили должной осмотрительности при выборе поставщика и мониторинге его работы; и не смог вести надлежащий учет данных клиентов, хранящихся на выведенных из эксплуатации аппаратных устройствах». В 2019 году, банки столкнулись с аналогичными недостатками контроля управления поставщиками в связи с выводом из эксплуатации других сетевых устройств, которые также хранили данные клиентов, добавил OCC.
В заявлении о недавнем соглашении об урегулировании Morgan Stanley сказал: «Мы ранее уведомили всех потенциально затронутых клиентов об этих делах, которые произошли несколько лет назад, и рады разрешить этот связанный судебный процесс».
Google Ireland был оштрафован французским органом по защите данных CNIL 6 января 2022 года на 90 миллионов евро (102 миллиона долларов). Штраф был связан с тем, как европейское подразделение Google реализует процедуры согласия на использование файлов cookie на YouTube. «CNIL получил много жалоб на то, как можно отказаться от файлов cookie на веб-сайтах google.fr и youtube.com», — говорится в сообщении. «В июне 2021 года CNIL провел онлайн-расследование на этих веб-сайтах и обнаружил, что, хотя они предлагают кнопку, позволяющую немедленно принять файлы cookie, сайты не реализуют эквивалентное решение (кнопку или другое), позволяющее пользователю отказаться от внесения депозита. файлов cookie одинаково легко. Требуется несколько кликов, чтобы отказаться от всех файлов cookie, против одного, чтобы принять их». Ограниченный комитет посчитал, что этот процесс затрагивает свободу согласия интернет-пользователей и является нарушением статьи 82 французского Закона о защите данных.
