Штраф за персональные данные 2020: В России в 10 раз вырастут штрафы за разглашение персональных данных — Независимое театральное объединение "Зрительские симпатии"

Содержание

что проверяют и как подготовиться

На какие документы опираться работодателю

Материал подготовлен на основе вебинара Марии Финатовой «Инспекционные проверки Роскомнадзора: как пройти успешно и при необходимости оспорить результаты»В первую очередь необходимо определить, какие нормативно-правовые акты распространяются на вашу организацию. Единого перечня нет. Все зависит от того, чьи персональные данные вы обрабатываете, и от типа самой информации.

Шпаргалку с основными нормативными актами, которые определяют работу с персональными данными и регулируют проведение проверок, вы можете скачать в конце статьи.

В конце статьи есть шпаргалка

К владельцам персональных данных относятся:

работники;
соискатели;
члены семьи и родственники работников;
третьи лица, с кем заключаются гражданско-правовые договоры;
иные физические лица, чьи данные вы обрабатываете как оператор персональных данных.

Важна и сама обрабатываемая информация. Например, вы имеете дело с биометрическими данными: дактилоскопическими отпечатками пальцев, радужной оболочкой глаза, размером обуви и одежды, фото- или видеоизображениями, — вам придется изучить дополнительные нормативные акты, которые определяют порядок работы с биометрией: как их хранить, на каких носителях, как их защищать и пр.

Что проверяет Роскомнадзор

Постановка на учет

Каждая новая организация должна подать в органы Роскомнадзора информацию о том, чем она занимается, какие данные обрабатывает и кто из сотрудников несет ответственность за эту сферу (ст. 22 Закона от 27.07.2006 № 153-ФЗ). Таким образом, Роскомнадзор на начальном этапе уже имеет представление о том, какие данные вы обрабатываете, и исходя из этого, ведомство принимает решение, когда к вам прийти с проверкой.

Не стоит думать, что незарегистрированные компании останутся без внимания инспекторов. Как раз наоборот: к ним у ведомства повышенный интерес.

Как проверить, стоит ли организация на учете

Зайдите на сайт Роскомнадзора, в боковом меню в разделе «Реестр операторов» выберите пункт «Реестр». Внесите в открывшуюся форму название или ИНН организации. Если в результатах поиска нет вашей компании, значит, она не стоит на учете в Роскомнадзоре.

Ответственный за организацию работы с персональными данными

В крупных компаниях таких сотрудников может быть несколько. В небольших компаниях работу с персональными данными может вести руководитель службы безопасности или директор по персоналу. Это решает сам работодатель. Зависимости от формы собственности организации или количества сотрудников нет. Важно определить, что конкретно делает этот человек исходя из требований законодательства. Именно он и будет представлять интересы компании при проверках Роскомнадзора.

О том, как работать с персональными данными, читайте в интервью Марии Финатовой

Внутренняя политика по персональным данным

Внутренняя политика по организации обработки персональных данных — обязательный документ для всех работодателей как операторов персональных данных (ст. 18.1 Закона № ФЗ-152). Политика описывает общий порядок: какие категории персональных данных обрабатываете, что вы с ними делаете и кому передаете.

Ключевое условие — разместить документ на сайте компании, если у компании есть сайт. Если сайта нет, то в открытом доступе, например при входе в офис, чтобы любой желающий мог прочитать.

Локальные нормативные акты

Это те документы, которые содержат конкретные правила и условия работы:

какие данные обрабатываются и с какой целью,
кто субъекты персональных данных в компании,
куда персональные данные передаются,
какие информационные системы используются,
как обеспечивается защита информационных систем,
какой класс присваивается информационной системе,
как хранятся документы, содержащие персональные данные,
как осуществляется сбор персональных данных,
как уничтожаются персональные данные и пр.

Таких документов может быть несколько, например, для каждого вида информации — свой. Все зависит от внутренней системы документооборота. Главное, чтобы все эти ЛНА определяли порядок и обозначали цель обработки информации. Ознакомьте сотрудников с теми документами, которые на них распространяются.

Один из самых важных документов при проверке — согласие на обработку персональных данных. Требования к содержанию, составу и форме согласия установлены ст. 9 Закона № 152-ФЗ. Как показывает практика, работодатели далеко не все и не всегда при оформлении получают согласие на обработку персональных данных. А штраф придется платить за каждое неоформленное или неверно оформленное согласие.

Важно на практике соблюдать цель обработки информации, которая указана в согласии. Работать с личной информацией другого человека можно:

в соответствии с требованиями действующего законодательства — согласия не нужно;
для достижения целей, которые ставит для себя работодатель как оператор персональных данных, — согласие обязательно.

Пример. Чтобы заключить трудовой договор не нужны ИНН, телефон, адрес проживания человека (ст. 57 ТК РФ), но работодатели чаще всего запрашивают эту информацию. Для чего, если по закону они не нужны? Для достижения своих внутренних целей: поздравлять с днями рождения, использовать в документах, делать визитки и пр. Речи об этом в законодательстве не идет, поэтому вы обязаны взять с сотрудника согласие, в котором будут указаны конкретные цели использования дополнительных данных. На это Роскомнадзор тоже обращает внимание.

Хранение и уничтожение персональных данных

Срок хранения информации определяет человек, когда подписывает согласие на их обработку. Работодатель обязан уничтожить персональные данные, если:

достигнуты цели;
истек срок хранения, указанный в согласии;
сам субъект попросил уничтожить персональные данные;

данные обработали неправомерно, например с другими целями.
субъект персональных данных отозвал согласие на обработку персональных данных полностью или частично.

В этих ситуациях вы должны уничтожить документы, содержащие персональные данные, а также данные из информационных систем и оформить документ, который защитит интересы компании перед Роскомнадзором, — акт. Формат акта законодательно не определен, но вы можете утвердить его ЛНА.

Создайте комиссию из тех сотрудников, которые будут фактически уничтожать персональные данные в информационных системах и на бумажных носителях.

Информационные системы

Курсы для кадровика

Повышение квалификации, профпереподготовка. Онлайн-тесты. Удостоверения и дипломы

Посмотреть программы

Специалисты Роскомнадзора имеют право доступа к информационным системам операторов персональных данных. При проведении проверок инспекторы работают парами: один проверяет документы, второй — информационные системы. Специалист, который специализируется на электронных ресурсах, обладает достаточным опытом и уровнем подготовки, чтобы уже на старте работы за вашим компьютером увидеть, как обрабатываются данные в вашей системе, соблюдают ли сотрудники требования к безопасности, начиная с парольной политики и блокировки экрана.

Как правило, около 20% времени инспекторы уделяют проверке документов, а 80% — изучению информационных систем, потому что эти источники наиболее подвержены незаконной передаче персональных данных, утечке информации.

Правила поведения сотрудников за компьютером вы найдете в нашей шпаргалке в конце статьи.

В конце статьи есть шпаргалка

Жалобы о нарушении прав субъектов персональных данных

Если в Роскомнадзор от сотрудников компании или других людей поступали подобные жалобы, инспекторы отдельно изучат:

проводились ли до этого проверки и какие нарушения были выявлены;
исправил ли их работодатель;
не увеличился ли масштаб этого нарушения, например, в прошлый раз пожаловался один человек, а сейчас нарушение касается уже всех сотрудников.

Инспектор может попросить доказать документально, что нарушение исправлено и прекращено, а не продолжает являться длящимся.

О том, что нового появится в работе с персональными данными, расскажем на бесплатном вебинаре «Законодательные изменения по персональным данным работников. Чек-лист для кадровика».

Вместо заключения

Узнать о плановой проверке можно двумя способами: найти план проверок на сайте Роскомнадзора или обратиться к сайту Генпрокуратуры, где публикуется сводный план по разным ведомствам. По названию организации или ИНН выпадет список инспекционных органов, которые к вам должны прийти.

Чтобы быть готовым к визиту инспекторов Роскомнадзора, необходимо:

Проверить все документы по персональным данным: от регистрации в органах Роскомнадзора до согласий, положений, актов об уничтожении данных.
Убедиться в том, что документы соответствуют требованиям законодательства. При необходимости переподписать документы с работниками и включить в них обязательные условия. Это позволит предотвратить риски, связанные с нарушениями на бумажных носителях.
Проинструктировать работников и включить в ваши внутренние документы порядок поведения сотрудников, работающих с персональными данными за компьютерами и ноутбуками.

Шпаргалка

В шпаргалке собрана полезная информация из статьи:

Перечень НПА для оператора персданных 630.2 КБ
Правила поведения за компьютером 624.3 КБ

Скачать

Ответственность за разглашение персональных данных работника

2/07/2021

Ответственность за разглашение персональных данных работника

Согласно Федеральному закону от 27.07.2006 (ред. от 30.12.2020) № 152-ФЗ «О персональных данных» под персональными данными понимается любая информация, относящаяся к прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Персональными данными являются: фамилию, имя и отчество, место рождения, место жительства, реквизиты документов, удостоверяющих личность, например, паспортные данные и другие сведения, относящиеся к конкретному гражданину.

В силу ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Кодексом Российской Федерации об административных правонарушениях предусмотрена административная ответственность за нарушение законодательства Российской Федерации в области персональных данных (ст. 13.11 КоАП РФ).

В отношении виновных лиц, допустивших нарушение установленного законом порядка сбора, обработки, хранения, использования или распространения информации о гражданах (персональных данных) может быть применено наказание в виде административных штрафов, размер которых будет варьироваться в зависимости от категории субъекта — правонарушители и наличия или отсутствия дополнительных квалифицирующих признаков

Кроме того, ст. 137 УК РФ предусмотрена уголовная ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации, за которое предусмотрено наказание, в том числе, по части 1 — до 2 лет лишения свободы с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 3 лет.

Заместитель прокурора Трусовского района г. Астрахани — Н.Р. Фахретдинова

Все новости

Утечки персональных данных: громкие кейсы и ответственность

Ирландия: Компания Twitter, Inc. была оштрафована за нарушение GDPR на сумму 450 тыс. евро. (около 576 тыс. долл. США). Штраф был назначен за неисполнение требования о фиксации нарушения безопасности персональных данных и о уведомлении в течении 72 часов об утечке персональных данных произошедшей в 2018 г.

, как объяснил представитель компании нарушение было допущено из-за проволочек с комплектации кадрами на период рождественских и новогодних праздников. Сама утечка стала результатом технического сбоя в работе микроблогов. Так, если пользователь менял привязанный к его учетной записи адрес электронной почты, то его скрытые посты становились видимыми для всех остальных пользователей.

Франция: Летом 2020 г. Государственный совет Франции поддержал надзорный орган в апелляционной инстанции по штрафу в €50 млн. к компании Google за непрозрачные правила обработки персональных данных, не позволяющие пользователю мобильной ОС Android сделать информированное решение, и отсутствие достаточного правового обоснования для сбора ПД с целью формирования персонализированной рекламы.

В декабре 2020 г. надзорный орган Франции, ответственный за защиту ПД, выписал три штрафа за неправомерное использование cookie-файлов в отношении американских компаний: два в отношении Google LLC и Google Ireland Limited, один в отношении Amazon Europe Core Sarl. Все три компании размещали cookie-файлы на компьютере пользователя до получения на то его согласия. Сверх того, Google в соответствующем баннере с настройками cookie-файлов не сообщала пользователям об их автоматической загрузке на устройство пользователя, а при использовании пользователем механизма выраженного согласия (opt-out), на его устройстве все равно оставался одни из файлов. Amazon также не выполнял требования по информированию пользователей — как о целях использования cookie-файлов, так и о возможностях отказа от их использования.

Германия: Во внутренней сети компании розничного продавца одежды H&M оказались в неограниченном доступе персональные данные сотрудников. Помимо самого факта утечки выяснилось, что компания систематически собирала специальные категории персональных данных о своих сотрудниках (в том числе сведения о проведенных отпусках и праздниках, больничных, симптомах болезней и диагнозах, религиозных предпочтениях) для создания досье (профайлинга) и оценки с помощью него производительности труда. На компанию наложили штраф в размере €35,3 млн.

Notebooksbilliger.de, компания розничной торговли электроники, была оштрафована регулятором Нижней Саксонии за использование неограниченного по времени и кругу лиц видеонаблюдения в торговых и складских помещениях, из-за чего нарушались как права работников, так и клиентов. Компания получила штраф в €10,4 млн.

США: 6 февраля 2021 г. федеральный судья Калифорнии вынес решение в пользу истцов-пользователей штата Иллинойс к компании Facebook, Inc. Социальная сеть использовала функции распознавания и отметки лиц на фотографиях без получения на то согласия пользователей. По настоящему решению компания обязана выплатить 650 млн. долларов США. Выплаты получат 1,6 миллиона пользователей социальной сети из штата Иллинойс. Общая сумма выплат и сумма которую получит каждый из истцов считается для американской судебной практики по таким делам достаточно крупной (340$ каждому пострадавшему), хотя и не является неподъемной для компании Facebook, в особенности по сравнению с выплатой в $5 млрд. по соглашению с ФТК США. Окружной судья поставил акцент на том, что пострадавшие не понесли материального ущерба, но эти деньги компания заплатит из собственного кармана за нарушения конфиденциальности пользователя. Тем не менее по словам прокурора штата, это победа знаменует, что закон по защите приватности биометрических данных штата Иллинойс, нарушения которого и стали причиной судебного процесса против компании, останется надолго.

Судя по документам, поданным 25 февраля 2021 г. в окружной суд штата Иллинойс ByteDance, владелец сервиса видеохостинга TikTok, согласился выплатить $92 млн. долларов США в рамках мирового соглашения по коллективному иску пользователей сервиса. Это уже не первый штраф за нарушение приватности в приложении TikTok, так в 2019 г. когда сервис принадлежал компании Musical.ly, ФТК налагала штраф в размере $5,7 млн. за неисполнение требований COPPA (федеральный закон о защите приватности малолетних в Интернете) получения согласия от родителей (законных представителей) детей чьи персональные данные обрабатывались в приложении TikTok.

Аналогичное нарушение было установлено в 2019 г. у компаний Google и ее дочернего предприятия YouTube, LLC. В результате они обе получили штрафы на сумму $170 млн. долларов США ($136 млн. и $34 млн. по обвинениям ФТК США и генерального прокурора штата Нью-Йорк соответственно) за сбор персональных данных детей без согласия их родителей, что составляет пока самую крупную санкцию за нарушение федерального закона COPPA.

24 июля 2019 г. ФТК США объявил об утверждении судом соглашения с компанией Facebook, по которому она обязана выплатить $5 млрд. в Казначейство США за нарушение предписания ФТК от 2012 г. Как установила ФТК, компания неоднократно вводила пользователей в заблуждение касательно применяемой политики конфиденциальности компании, использованию персональных данных пользователей, и передавала информацию о пользователях третьим лицам, которую они хотели оставить приватной. Помимо этого, компании Facebook предписали поменять корпоративную структуру и проводить регулярную проверку деятельности компании по защите персональных данных силами внешнего аудитора.

Италия: 15 января 2020 г. итальянский надзорный орган наложил штраф на две итальянские телекоммуникационные компании. В первом случае под прицел надзорных органов попала практика телекоммуникационной компании TIM, осуществлявшей обзвон как людей не дававших согласие на получение маркетинговых звонков, так и людей, отозвавших свое согласие на их получение. У другой итальянской телекоммуникационной компании Windrte, помимо схожих нарушений, было выявлено, что в своем фирменном приложении компания запрашивала согласие субъектов ПД на обработку персональных данных и ограничивало их право на отзыв его согласия. Обеим компаниям выписали штрафы в размере 27,8 млн. евро и 18,6 млн. евро соответственно.

Норвегия: Национальный регулятор оштрафовал на €10 млн. владельцев приложения для знакомств Grindr за несоблюдение требований по согласию субъектов ПД. Так, например в соглашении не было положений, уведомляющих пользователя о фактически существующей передаче ПД третьим лицам. Кроме того, регулятор обратил внимание на недопустимый подход «все или ничего» к соглашению с пользователями, ставящий их перед выбором: либо соглашаться на условия предлагаемые в документе об обработке ПД, либо вовсе отказаться от использования приложения.

Великобритания: 16 октября 2020 British Airways получила штраф в £20 млн. за невыполнение обязательств по обеспечению безопасности ПД. В 2018 г. в результате взлома были скомпрометированы данные около 429 тыс. клиентов и сотрудников авиаперевозчика, в частности информация для авторизации, платежей, их имена и адреса, данные кредитных карт и CVV коды. Изначально в 2019 г., британский регулятор намеревался выписать штраф на сумму £183 млн. фунтов ($238 млн.), компания обжаловала решение и в октябре 2020 г. когда на мировом рынке авиаперевозчиков сохранялась тяжелая ситуация, сумма штрафа была уменьшена до £20 млн. фунтов стерлинга (около $26 млн.). По мнению британского регулятора, компания могла бы использовать такие экономически и технически доступные меры, как многофакторную аутентификацию, тестирование угроз и симуляцию кибер-атак, ограничение программной среды. Вдобавок, против авиаперевозчика был подан коллективный иск со стороны около 4500 пострадавших субъектов персональных данных, который был урегулирован в досудебном порядке. Детали досудебного соглашения не разглашаются.

Схожая ситуация была и вокруг утечки персональных данных из системы бронирования компании Marriott. В 2016 г. Marriott приобрел компанию Starwood Hotels and Resorts Worldwide, у которой, как стало известно в 2018 г., из-за кибератаки 2014 г. были скомпрометированы данные 338 млн. человек. Изначальная сумма штрафа к взысканию, озвученная британским регулятором £100 млн. фунтов была снижена до £18 млн.: регулятор принял во внимание тяжелую ситуацию в гостиничной и туристической отраслях, а также оперативные действия Marriott, направленные на смягчение ущерба, понесенного клиентами, и повышение уровня безопасности персональных данных.

Китай: последние месяцы 2021 г. власти КНР оказывают значительное давление на китайские компании IT-сектора. Среди громких имён известных гражданам России в расследованиях, проверках и предписаниях китайских регуляторов фигурирует недавно вышедшая на российский рынок компания DiDi, агрегатор услуг каршеринга и такси. Управление Китая по киберпространству (Cyberspace Administration of China) обнаружило, что компания незаконно собирает персональные данные своих пользователей и предписало привести деятельность в соответствие с существующим регулированием, а также удалить фирменное приложение из китайских магазинов приложений. Претензии со стороны регулятора создали негативный информационный фон после выхода компании через процедуру IPO на американский фондовый рынок, что оказало ценовое давление на акции компании, а удаление приложений из магазинов по сути приостановило приток новых пользователей.

Штрафы GDPR с января по май 2020

В коронавирусной суматохе все как-то позабыли о GDPR. А тем временем контролирующие органы не сидели без дела и с начала года наложили сотни штрафов.

MAЙ 2020

Бельгия

Некоммерческая организация, название которой осталось неизвестным, получила небольшой штраф в размере EUR 1, 000 за рассылку рекламных сообщений. Получатели утверждают, что воспользовались своим правом на удаление и дальнейший запрет на использование данных.

Netlawreview.com

SMM агентство. Бельгийский орган по защите данных оштрафовал компанию на EUR 50, 000 за рассылку приглашений по списку контактов, который загрузили его сотрудники, без согласия лиц из этого списка и без каких-либо иных правовых оснований.

Dataprotectionauthority.be

Финляндия

Компания Posti Group Oyj была оштрафована на EUR 100, 000 тыс. за рассылку рекламных сообщений после просьбы получателей удалить их почтовые данные. Расследования также показали, что информация о защите данных, предоставленная компанией, была недостаточно прозрачной.

Faxmanagement.eu

Компания Kymen Vesi Oy заплатила EUR 16, 000 за несоблюдение общих принципов обработки данных – не была проведена оценка рисков при обработке данных о местоположении сотрудников с помощью транспортной информационной системы.

Dataguidance.com

Taksi Helsinki Oy оштрафовали на EUR 72, 000 за использование камер для слежения, которые записывали аудио и видео в своих такси.

Edp.europa.eu

Неизвестная компания выплатила EUR 12,500 штрафа за обработку данных сотрудников без достаточных правовых оснований.

Enforcementtracker.com

Ирландия

Агентство по делам детей и семьи Tusla ошибочно раскрыла персональные данные, в том числе информацию о детях неуполномоченным лицам, за что заплатила EUR 75, 000

Irishtimes.com

Дания

Компания JobTeam A/S DKK заплатила EUR 6,700 за то, что удалила персональные данные без законных оснований.

Gdprhub.eu

Швеция

Медико-санитарная комиссия региона Эребрумаа была оштрафована на EUR 11,200 за то, что разместила данные пациента в открытом доступе без достаточных правовых оснований.

Dataguidance.com

Румыния

Компания Banca Comercială Română SA получила EUR 5, 000 штрафа за то, что собирала и передавала копии документов, удостоверяющих личность клиентов, через WhatsApp.

Dataguidance.com

АПРЕЛЬ 2020

Испания

Iberdrola Clientes оштрафовали на EUR 50,000 for GDPR за нарушения GDPR. Компания не ответила органам по защите данных на запрос по предоставлению информации в связи с поступившей жалобой в течение определенного периода времени

Dataguidance.com

Нидерланды

Неизвестная компания заплатила крупный штрафа в размере EUR 725, 000 за нарушения требований к обработке личных данных. Организация обязала своих сотрудников сканировать отпечатки пальцев для регистрации посещаемости. Однако, компания не могла предоставить никаких доказательств того, что сотрудники дали свое согласие на такую обработку данных.

Autiriteitpersoonsgegevens.nl

Швеция

Национальный центр государственной службы Швеции заплатил EUR 18,500 за несвоевременное уведомление об утечке данных.

Edpb.europa.eu

Бельгия

Крупная телекоммуникационная компания Proximus SA была оштрафована на EUR 50, 000 за отсутствие должностного лица по защите данных.

Dataguidance.com

Румыния

Estee Lauder Romania оштрафована на EUR 3, 000 за нарушения GDPR, а именно за незаконное раскрытие и сбор личных данных, включая имена, фамилии, номера телефонов, даты рождения и информацию о состоянии здоровья субъектов данных, без получения их согласия или использования другого обосноания.

Dataguidance.com

Telekom Romania Communications SA оштрафована на EUR 3, 000 за недостаточные технические и организационные меры по обеспечению информационной безопасности. В частности, компания не приняла достаточных технических и организационных мер для обеспечения безопасности данных, передаваемых по телефону для заключения договоров. Это привело к заключению договоров по телефону от имени других субъектов данных.

Dataguidance.com

МАРТ 2020

Румыния

Ассоциация SOS Infertility заплатила EUR 2, 000 за недостаточное сотрудничество с регулатором, после того как не предоставила информацию относительно неправомерной обработк персональных данных.

Provacyaffairs.com

Компания Enel Energie отправила клиенту электронное письмо, содержащее персональные данные другого клиента за что, получила штраф EUR 3, 000.

Dataprivacyfines. com

Vodafone Romania получила штраф EUR 4,200 после того, как отправила клиенту электронное письмо, содержащее персональные данные другого клиента.

Telecompaper.com

Компания Dante International заплатила EUR 3, 000 из-за того, что отправила клиенту коммерческую рассылку, на которую он не подписывался.

Dataguidance.com

Испания

Компания Xfera Moviles S.A. несвоевременно предоставила запрашиваемую информацию органу по защите данных и за это была оштрафована на EUR 5, 000.

Dataprivacyfines.com

Компанию Oliveros Ustrell, S.L. оштрафовали на EUR 6, 000 за отсутствие достаточных правовых оснований для обработки персональных данных.

Dataguidance.com

Телекоммуникационная компания Telefónica заплатила EUR 30, 000 за недостаточное сотрудничество с контролирующим органом.

Dataguidance.com

Centro De Estudio Dirigidos Delta, S.L. получил штраф EUR 5, 000 за то, что отправил сообщение, содержащее персональные данные (имя, фамилия, идентификационный номер), третьей стороне через WhatsApp без согласия субъекта данных.

Dataguidance.com

Частное лицо оштрафовали на EUR 4, 000 за то, что на пляже фотографировал купающихся женщин

Aepd.es

Компания Amalfi Servicios de Restauracion S.L. заплатила EUR 6, 000, потому что осуществляла видеонаблюдение в общественном месте.

Aepd.es

Homeowners Association получили EUR 2, 000 штрафа за несанкционированное наблюдение за общественной зоной.

Aepd.es

Gesthotel Activos Balagares заплатил EUR 15, 000 за то, что сотрудник отеля направил руководству гостиницы и членам профсоюза письмо, содержащее информацию о притеснениях, которым он подвергся в связи с состоянием своего здоровья. .

Dataguidance.com

Частное лицо оштрафовали на EUR 4, 000 за незаконное использование камер видеонаблюдения, которые также охватывали часть общественного места.

Aepd.es

AEPD оштрафовали на EUR 3, 200 за то, что предоставили недостаточно информации о системе видеонаблюдения.

Aepd.es

Vodafone Испания получила штраф в размере EUR 60, 000 из-за того, что сотрудник компании от имени пострадавшего человека незаконно активировал договор с дугим оператором.

Dataprivacyfines.com

Компания Solo Embrague заплатила EUR 1,800, так как на главной странице корпоративного сайта не было представлено ни информации политики конфиденциальности, ни баннера о сборе cookies.

Dataguidamce.com

Vodafone Испания получила 3 штрафа на общую сумму EUR 106, 000. Компания не смогла продемонстрировать адекватные меры по обеспечению информационной безопасности, что привело к несанкционированному доступу к персональным данным клиента. Также было отправлено SMS на мобильный номер клиента, подтверждающее, что с этим номером был подписан договор, несмотря на то, что клиент не являлся клиентом Vodafone. Ещё несколько сообщений пришло на мобильный номер клиента, уведомляющих об изменении тарифного плана и подтверждающих покупку нового мобильного телефона, в результате чего обработка персональных данных происходила без согласия субъектов данных или других законных оснований компании.

Enforcementtracker.com

Греция

Центр речи и специального образования — Mihou Dimitra заплатил EUR 8, 000 за предоставления доступа к защищенным данным.

Dataguidance.com

Хорватия

Банк, название которого не разглашается, попал на крупный штраф (сумма неизвестна) из-за того, что на протяжении года отказывался показывать своим клиентам копии кредитной документации (например, план погашения кредита, приложение к кредитному договору, обзор изменений процентных ставок и т.д.).

Azop.hr

Швеция

Google LLC была оштрафована на EUR 7, 000 000 за невыполнение своих обязательств в отношении права субъектов данных на удаление результатов поиска из списка результатов.

Dataguidance.com

Дания

Муниципалитет Hørsholm заплатил EUR 7, 000 за то, что у одного из сотрудников городской администрации был украден рабочий компьютер. На нём хранились персональные данные около 1,6 тыс. сотрудников городской администрации, в том числе конфиденциальная информация и номера социального страхования.

Dataprivacyfines.com

Муниципалитет Gladsaxe был оштрафован EUR 14, 000 из-за украденного компьютера. На нём хранились персональные данные, незащищенные шифрованием, в том числе конфиденциальная информация и персональные идентификационные номера 20,6 тыс. жителей города.

Dataprivacyfines.com

Исландия

Национальный центр наркологии получил штраф на EUR 20,600, так как один из бывших сотрудников центра получил на руки коробку с якобы его личными вещами, а в ней содержались данные о 3 тыс. пациентах с алко- и наркозависимостью.

Dataguidance.com

Старшая средняя школа Брейшхольта выплатила EUR 9, 000 за то, что один из учителей направил своим ученикам и их родителям электронное письмо с вложением, содержащим данные об их благосостоянии, успеваемости и социальных условиях.

Dataguidance.com

Польша

Consulting Sp. Z O.O., компания по телемаркетингу, оштрафована на 4 400 евро. Компания предотвратила проверку со стороны органа по защите данных.

Dataprivacyfines.com

Школа в Гданьске использовала биометрические сканеры отпечатков пальцев для проверки личности учащихся при оплате в школьной столовой. Несмотря на то, что родители дали письменное согласие на такую обработку данных, уполномоченный орган по защите данных посчитал такое поведение незаконным, так как согласие на обработку данных не было дано добровольно. Школа заплатила EUR 4,600.

Findbiometrics.com

Италия

Государственная художественная школа Неаполя оштрафована на EUR 4, 000 за незаконную публикацию данных о состоянии здоровья и другой личной информации в рейтинге учителей на веб-сайте Института.

Dataguidance.com

Лицей Нобеля в Торре-дель-Греко тоже оштрафована на EUR 4, 000 за незаконную публикацию медицинских данных и другой личной информации о более чем 2 тыс. учителей в рейтинге на сайте Института.

Dataguidance.com

Венгрия

Личные данные субъекта данных были зарегистрированы и переданы в Центральную систему кредитной информации (CCI) в связи с получением кредита, при этом субъект данных не является стороной соглашения.

Naih.hu

Неизвестная компания была оштрафована на EUR 2, 800 за нарушение закона о защите данных.

Naih.hu

Кредитор был оштрафован на EUR 870 за отправку SMS субъекту данных в качестве напоминания о долге, при том, что долг уже был оплачен.

Naih.hu

Представитель местного самоуправления заснял директора компании с его ребенком, когда он срывал предвыборные плакаты, и выложил фотографии в Facebook. Лицо ребенка на фото было размыто, но все же было понятно, что это ребенок директора. За это местное самоуправление заплатило целых EUR 290.

Naih.hu

Нидерланды

Королевская Теннисная Ассоциация Голландии была оштрафована на EUR 525, 000 за продажу личных данных более 350 тыс. своих членов спонсорам, которые связались с некоторыми из них по почте и телефону в рамках своих маркетинговых активностей.

Hldataprotection.com

ФЕВРАЛЬ 2020

Испания

Vodafone заплатила EUR 48, 000. Решение было принято в связи с рядом недостатков в области информационной безопасности. Например, два человека получили один и тот же ключ доступа.

Dataguidance.com

Компании AEMA Hispánica пришлось заплатить EUR 3,600 за то, что она отправила платежные ведомости сотрудника другому сотруднику и, таким образом, раскрыла персональные данные неуполномоченному лицу.

Dataguidance.com

Vodafone Испания была оштрафована на EUR 120, 000, так как не смогла доказать, что субъект данных дал согласие на обработку его персональной информации для подписания контракта. Кроме того, компания незаконно раскрыла данные человека различным кредитным агентствам.

Aepd.es

Госпиталь HM оштрафовали на EUR 48, 000 тыс. из-за неправильной подачи информации в документах. Субъект данных заявил, что во время госпитализации он должен был заполнить бланк, в котором нужно специально поставить галочку, чтобы запретить передачу своих данных третьим лицам. Если ты галочку не поставишь, то автоматически даешь свое согласие. Этот бланк не соответствует GDPR, так как согласие получено в результате бездействия субъекта данных.

Dataguidance.com

Компания Casa Gracio Operation заплатила EUR 6, 000 за то, что использовала камеры видеонаблюдения в помещениях отеля для фиксации пешеходной зоны за пределами отеля, что является нарушением.

Dataguidance.com

Компания Grupo Valsor Y Losan, S.L. получила штраф в размере EUR 2,500 за то, что раскрыла персональные данные третьему лицу в договоре купли-продажи недвижимости.

Dataguidance.com

Школа Colegio Arenales Carabanchel передала фотографии третьим лицам, которые опубликовали их без законных оснований. Эта ошибка стоила EUR 3, 000.

Dataguidance.com

Электроэнергетическая компания Iberdrola Clientes расторгла договор с субъектом данных без его согласия, заключила три новых договора с субъектом данных, незаконно обработала его персональные данные и передала персональные данные истца третьему лицу без законных оснований. В результате компания заплатила EUR 80, 000 штрафа.

Aepd.se

Vodafon Испания была оштрафована на EUR 42, 000 после того, как человек заявил, что имел доступ к данным третьей стороны в своем личном профиле Vodafone.

Aepd.se

Компания Xfera Moviles S.A. заплатила EUR 30, 000, потому что третья сторона имела доступ к имени, номеру телефона и адресу другого клиента.

Aepd.se

Кафе Nagasaki Cafetería не выполнило свои обязательства по GDPR, поскольку установило свои камеры наблюдения таким образом, чтобы следить за пешеходной зоной за пределами своих помещений. Штраф составил EUR 1,500.

Dataguidance.com

XFERA MOVILES незаконно обработала данные, включая банковские реквизиты, адрес клиента и его имя/фамилию. Такое нарушение потянуло на EUR 60, 000.

Dataguidance.com

Vodafone Испания подписала договор о передаче подписки на телефонную связь с третьим лицом без ведома и согласия субъекта данных. Штраф составил EUR 75, 000.

Aepd.se

Vodafone Испания заплатила EUR 60, 000 за то, что отправила электронное письмо от имени компании, в котором содержался счет за телефонную линию, которую субъект данных никогда не заказывал.

Aepd.se

Vodafone Испания была оштрафована на EUR 50, 000 за то, что отправила соседу счета-фактуры, содержащие личные данные заявителя, такие как имя, удостоверение личности и адрес.
Авиалинии Iberia Lineas Aereas de Espana заплатили EUR 20, 000, потому что продолжали посылать электронные письма человеку после его просьбы стереть его личные данные.

Aepd. se

Vodafone Испания была оштрафована на EUR 75, 000, так как бывший клиент компании продолжал получать уведомления о счетах-фактурах, хотя в то время не было ни договорных отношений, ни просроченных платежей.

Aepd.se

Banco Bilbao Vizcaya Argentaria S.L. оштрафовали на EUR 6,700 за многоразовую отправку рекламных сообщений человеку, который был против обработки его данных.

Aepd.se

Компания Queseria Artesenal Ameco S.L. обработала данные человека без его согласия и заплатила EUR 5, 000 штрафа.

Dataguidance.com

Сотрудник компании Automoción создал на эротическом портале фальшивый профиль своей коллеги, который содержал, в том числе, ее контактные данные, фотографию и информацию о ее сексуальных предпочтениях. На него был наложен штраф в размере EUR 800.

Dataguidance.com

Норвегия

Компанию Coop Finnmark SA оштрафовали на EUR 36,800 за то, что она распространила видеозаписи с камер видеонаблюдения с детьми в возрасте до 16 лет, которые, как утверждается, украли что-то из магазина. Для такой обработки данных не имелось достаточных правовых оснований.

Dataguidance.com

Муниципалитет Rælingen заплатила EUR 73,600 за то, что раскрыл информацию о здоровье 15 детей с физическими и психическими отклонениями.

Dataguidance.com

Болгария

Компания T.K. EOOD незаконно обрабатывала персональные данные субъекта I.S. девять раз в течение пяти месяцев. Эти нарушения причинили ущерб субъекту данных, что привело к штрафу в размере EUR 2,600.
Компания с похожим названием L.E. EOOD тоже заплатила EUR 2,600 за незаконную обработку персональных данных без ведома и согласия субъекта персональных данных I.S.

Италия

Муниципалитет Ураго был оштрафован на EUR 4, 000 из-за того, что местный совет опубликовал на своем сайте информацию, содержащую личные данные человека, в том числе информацию о его здоровье.

Dataguidance.com

Телевизионный канал RTI — Reti Televisive Italiane s. p.a. показал документальный фильм о проституции в Швейцарии, в котором интервьюируемые лица не были показаны достаточно анонимно. За это был наложен штраф в размере EUR 20, 000.

Granteprivacy.it

Румыния

Vodafone Румыния неправильно обработала персональные данные физического лица, который обратился с жалобой. В результате, ответ с личной информацией был отправлен на неправильный адрес электронной почты. Штраф составил EUR 3, 000.

Dataguidance.com

ЯНВАРЬ 2020

Италия

Госпиталь Azienda Ospedaliero Universitaria Integrata di Verona получил штраф EUR 30, 000 из-за недостаточной защиты данных пациентов.

Dataguidance.com

Университет Sapienza Università di Roma заплатил EUR 30, 000, потому что раскрыл в Интернете идентификационные данные двух человек.

Dataguidance.com

Оператор связи TIM был оштрафован на EUR 27,800 000 по ряду причин. Компания отправила сотни сообщений, на которые клиенты не подписывались, предоставляла непрозрачную информацию об обработке данных, хранила данные дольше, чем это было необходимо, игнорировала отказ от получения рекламных звонков.

Dataprivacymanager.net

Сообщество Франсавильи Фонтана оштрафовали на EUR 10, 000 за то, что она опубликовало на своем сайте информацию о судебном процессе, в том числе личные данные человека.

Dataguidance.com

Испания

Магазины и рестораны компании Zhang Bordeta 2006, S.L. заплатили EUR 3,600 за установку видеонаблюдения, которое, помимо прочего, снимало пешеходную часть.

Dataguidance.com

Vodafone Испания заплатила 2 штрафа – EUR 3, 000 и EUR 44, 000. Компания не вовремя предоставила информацию контролирующему органу и отправила контракт с личными данными, включая имя, адрес и номер телефона заявителя, не тому получателю.

Компания EDP España S. A.U. была оштрафована на EUR 75, 000 из-за того, что обрабатывала персональные данные, такие как имя и фамилия, номер налогоплательщика, адрес и номер мобильного телефона, без согласия субъекта данных.

Dataprivacyfines.com

Компания EDP Comercializadora, S.A.U. обрабатывала персональные данные в связи с газовым контрактом без согласия заявителя. Штраф составил EUR 75, 000.

Dataprivacyfines.com

Asociación de Médicos Demócratas обрабатывала персональные данные своих членов без их согласия за что получила штраф в EUR 10, 000.

Dataprivacyfines.com

Кипр

Служба социального страхования Министерства труда, социального обеспечения и социального страхования была оштрафована на EUR 9, 000 за то, что предоставила полиции доступ к персональным данным и не приняла адекватных мер по их сохранению.

Dataprotection.gov.cy

Магазин eShop for Sports заплатил EUR 1, 000 за отправку рекламных SMS без согласия.

Dataprotection.gov.cy

Греция

Компания Allseas Marine S.A. получила штраф EUR 15, 000 за установку видеонаблюдения за рабочими местами и не достаточном информировании об этом сотрудников.

Dataprivacyfines.com

Болгария

Коммунальная компания заплатила EUR 5,100 за незаконную обработку персональных данных субъекта данных.

Три года GDPR: самые большие штрафы на сегодняшний день

Источник изображения, Getty Images

Прошло три года с момента введения в действие европейского закона о конфиденциальности и безопасности данных 25 мая 2018 года.

GDPR регулирует методы работы организаций, работающих в ЕС может использовать, обрабатывать и хранить личные данные потребителей.

Сначала более мелкие фирмы и стартапы опасались, что у них нет достаточных ресурсов для полного соблюдения его правил.

Другие критики полагали, что закон слишком полагается на то, что потребители знают и понимают свои права.

С момента его запуска комиссары по информации по всей Европе наложили штрафы на сотни миллионов евро.

В число правонарушений входили розничные торговцы, искажающие информацию о том, как они используют камеры видеонаблюдения для наблюдения за сотрудниками, а также компании, не соблюдающие закон о «праве на забвение».

Законодательство заменило старые законы о защите данных, и, хотя он был разработан в Европе, регулирующие органы могут штрафовать организации в любой точке мира, которые нацелены или собирают данные в ЕС.

Это видео не может быть воспроизведено

Для воспроизведения этого видео вам необходимо включить JavaScript в вашем браузере.

Media caption,

WATCH: Что такое GDPR?

Существует два уровня штрафов, максимальная сумма которых составляет 20 млн евро (17,29 млн фунтов стерлингов) или 4% от общемирового дохода.

Собранные деньги используются для финансирования государственных услуг. Вот самые крупные штрафы, зарегистрированные на данный момент:

1.

Google (50 млн евро / 43,2 млн фунтов стерлингов)

Он был оштрафован после того, как французский регулирующий орган постановил, что компания не смогла сделать свои отчеты об обработке данных потребителей легкодоступными для своих пользователей.

Технический гигант также был признан виновным в том, что не запрашивал у своих пользователей согласие на использование их данных для целевых рекламных кампаний.

Компания Google подала апелляцию, но в июне прошлого года вышестоящий суд Франции оставил в силе штраф.

2. H&M (35,3 млн евро / 32,1 млн фунтов стерлингов)

Если работники брали отпуск или отпуск по болезни, они должны были по возвращении присутствовать на встрече со старшим персоналом гиганта розничной торговли.

Эти встречи были записаны и предоставлены менеджерам H&M без ведома персонала.

Данные, собранные в ходе интервью, были использованы для создания «подробного профиля» работников, который затем повлиял на решения, касающиеся их трудоустройства.

3. Tim — Telecom Italia (27,8 млн евро / 24 млн фунтов стерлингов)

В начале 2020 года итальянские органы по защите данных наложили гигантский штраф в размере 27,8 млн евро на телекоммуникационную фирму Tim, ранее известную как Telecom Italia.

В нем говорилось, что клиенты получали неприятные звонки, не давая своего согласия — даже если они зарегистрировали свои телефонные номера в итальянском списке «не звонить» или прямо сказали вызывающим абонентам, что они отзывают согласие на такие звонки.Сообщается, что одному человеку звонили 155 раз за месяц.

Нарушений было несколько и серьезных, констатировал регулятор, наложив на фирму крупный штраф и 20 «корректирующих мер».

4. British Airways (20 млн фунтов стерлингов)

Благодаря утечке данных хакеры смогли получить личные данные около 400 000 человек.

Утечка данных включала данные для входа в систему и бронирования поездок, имена, адреса и данные кредитной карты.

Источник изображения, Getty Images Image caption,

На British Airways был наложен самый крупный на сегодняшний день штраф GDPR

Но более года спустя он резко снизил размер штрафа, заявив, что «экономические последствия Covid-19» были приняты во внимание .

Это все еще был самый высокий штраф, наложенный ICO, который обнаружил, что взлом был результатом халатности British Airways.

BA сообщила, что сообщила клиентам, как только узнала о проблеме, полностью сотрудничала с расследованием и «после атаки значительно улучшила безопасность наших систем».

5. Marriott International Hotels (18,4 млн фунтов стерлингов)

В результате взлома были обнаружены личные данные около 300 миллионов клиентов, включая информацию о кредитных картах, номера паспортов и даты рождения.Семь миллионов из этих гостевых записей связаны с людьми из Великобритании.

Подобно штрафу British Airways, ICO первоначально заявило, что планирует наложить гораздо более высокий штраф в размере 99 миллионов фунтов стерлингов, но позже снизило размер штрафа.

Куда уходят деньги GDPR?

В Великобритании все штрафы, выплачиваемые ICO, выплачиваются в фонд центрального правительства, принадлежащий Казначейству.

Консолидированный фонд — это общий банковский счет правительства в Банке Англии.

Он был основан в 1787 году с целью стать «единым фондом, в который будет поступать каждый поток государственных доходов и из которого будут поступать все услуги».

Это означает, что штрафы GDPR, как и налоговые поступления, используются для финансирования государственных услуг.

Большинство других стран ЕС используют аналогичную структуру.

Роб Эллисс из технологической компании Thales говорит, что, несмотря на успехи, достигнутые до сих пор в наложении значительных штрафов, GDPR столкнется с еще большим количеством проблем в мире после коронавируса.

«Когда GDPR был впервые составлен, законодательство не обязательно учитывало внедрение новых технологий и быструю миграцию в облако, вызванную пандемией», — сказал он.

«В эту эпоху удаленной работы предприятиям необходимо было осуществить цифровую трансформацию почти в мгновение ока, просто чтобы поддерживать свет, без обязательного включения безопасности в разработку новых систем и процессов».

Исправление 25 мая 2021 года: более ранняя версия этой истории содержала некоторые неточности, включая устаревшую информацию о штрафах, наложенных на British Airways и Marriott International Hotels, а также указание Amazon в числе пяти крупнейших оштрафованных компаний.Однако Amazon был оштрафован не в связи с GDPR, а в соответствии с отдельной директивой Франции по электронной конфиденциальности, поэтому мы обновили эти цифры и заменили Amazon в списке на Tim.

Подробнее об этой истории

Крупнейшие штрафы GDPR 2021 года

Мы объясняем причины этих штрафов и даем советы, как предотвратить подобные нарушения вашей компанией!

Каждый год мы отслеживаем основные штрафы GDPR, поэтому вы также можете узнать об основных штрафах GDPR в 2019 и 2020 годах.

20 крупнейших штрафов GDPR в 2021 году

Amazon Europe — штраф в размере 746 млн евро
WhatsApp Ireland — штраф в размере 225 млн евро
Notebooksbilliger.de — штраф 10,4 млн евро
Почта Австрии — штраф 9,5 млн евро
Vodafone España — штраф в размере 8,15 млн евро
Caixabank SA — штраф 6 млн евро
Fastweb SpA — штраф 4,5 млн евро
Sky Italia — штраф 3,3 млн евро
Caixabank Payments & Consumer EFC — штраф 3 млн евро
Ирен Меркато — штраф 2,9 млн евро
Foodinho — 2 евро.6м штраф
Mercadona — штраф 2,52 млн евро
Deliveroo Italy — штраф 2,5 евро
Unser Ö-Bonus Club — штраф 2 млн евро
SGAM AG2R La Mondiale — штраф 1,75 евро
Storstockholms Lokaltrafik — штраф 1,6 евро
EDP Energía — штраф 1,5 млн евро
EDP Comercializadora — штраф 1,5 млн евро
MedHelp — штраф 1,2 млн евро
Equifax Iberica — штраф в размере 1 млн евро
WS WiSpear Systems Ltd — штраф 925 000 евро

Подробно о самых крупных штрафах в соответствии с GDPR 2021 года

1.

Amazon Europe — штраф в размере 746 млн евро

Нарушения GDPR — Несоблюдение общих принципов обработки данных

Национальная комиссия по защите данных Люксембурга (CNPD) оштрафовала Amazon Europe на рекордные 746 миллионов евро за использование данных клиентов в целях целевой рекламы.

В 2018 году французская группа по защите конфиденциальности La Quadrature du Net подала жалобу.
Жалоба, которая также касалась Apple, Facebook, Google и LinkedIn, была подана от имени более чем 10 000 клиентов.В нем утверждалось, что Amazon манипулировала клиентами в коммерческих целях, выбирая, какую рекламу и информацию они получают.

CNPD постановил, что Amazon должна взять на себя обязательство изменить свою деловую практику.

2. WhatsApp Ireland — штраф в размере 225 млн евро

Нарушения GDPR — Статьи 5, 12, 13, 14

Управление данных Ирландии оштрафовало WhatsApp на 193 миллиона фунтов стерлингов за нарушение стандартов конфиденциальности. Это самый высокий штраф, который когда-либо налагала ирландская комиссия по защите данных (DPC), и второй по величине в соответствии со стандартами GDPR ЕС.

Расследование 2018 года показало, что WhatsApp недостаточно прозрачен для своих клиентов в отношении того, как он собирает, обрабатывает и обрабатывает их данные. После «длительного и всестороннего расследования» ирландский ЦОД заявил, что сообщил о своем решении другим регулирующим органам, как того требует закон GDPR, и получил жалобы из восьми стран, включая Германию, Францию и Италию.

3. Notebooksbilliger.de — штраф 10,4 млн евро

Нарушения GDPR — статьи 5 и 6

Управление по защите данных Нижней Саксонии (LfD Niedersachsen) выдало 10 евро.Штраф в размере 4 миллионов долларов в отношении интернет-магазина notebooksbilliger.de за видеонаблюдение за своими сотрудниками в течение более двух лет без каких-либо юридических оснований.

LfD Niedersachsen отметил, что камеры зафиксировали рабочие места, торговые залы, склады и места общего пользования, а также другие места. В то время как notebooksbilliger.de утверждал, что установка видеокамеры направлена на предотвращение и расследование уголовных преступлений и отслеживание движения товаров на складах, компания должна сначала изучить более мягкие средства, такие как выборочная проверка сумок, когда сотрудники покидают помещения предприятия, согласно LfD Niedersachsen.

Видеонаблюдение для раскрытия уголовных преступлений правомерно, если есть обоснованные подозрения в отношении конкретных лиц. В этом случае может быть разрешено наблюдать за ними с помощью камер в течение ограниченного периода времени. Однако LfD Niedersachsen обнаружил, что на сайте notebooksbilliger.de видеонаблюдение не ограничивается конкретным периодом или конкретными сотрудниками.

Во многих случаях компания сохраняла записи в течение 60 дней — значительно дольше, чем необходимо. Кроме того, LfD Niedersachsen отметил, что клиенты notebooksbilliger.de также пострадали от видеонаблюдения, так как некоторые камеры были нацелены на сиденья в торговом зале, и что видеонаблюдение от notebooksbilliger. de в этих случаях было несоразмерным.

4. Почта Австрии — штраф 9,5 млн евро

Нарушения GDPR — Несоблюдение общих принципов защиты данных

Австрийское управление по защите данных (DPA) оштрафовало почту Австрии на 9,5 млн евро за нарушения, связанные с защитой данных. Это следует за штрафом в размере 18 миллионов евро за защиту данных, который компания получила в 2019 году.

DPA утверждает, что люди должны иметь возможность запрашивать по электронной почте личные данные, которые может иметь австрийская почта. Электронный запрос является дополнением к возможностям связи, уже доступным по почте, через веб-форму связи и в центр обслуживания клиентов компании.

5. Vodafone España — штраф в размере 8,15 млн евро

Нарушения GDPR — статьи 21, 23, 24, 28, 44, 48

Не далее как в марте 2021 года испанский орган по защите данных, AEPD, наложил самый крупный штраф в размере 8 евро.15 миллионов у оператора мобильной связи Vodafone España.

Согласно AEPD, Vodafone España нарушила несколько законов о защите данных при проведении различных маркетинговых кампаний и несоблюдении правил передачи данных.

В ходе расследования AEPD обнаружило, что Vodafone не соблюдает GDPR, поскольку он вместе со своими дистрибьюторами, сотрудниками и агентами связывался с клиентами по электронной почте, телефону и с помощью текстовых сообщений, которые отказались от его маркетинговых кампаний.

В свою защиту Vodafone заявила, что они опробовали внедрение новой системы маршрутизации, чтобы проверить законность своих данных и отфильтровать пользователей, которые отказались от маркетинговых коммуникаций.

Однако AEPD пришел к выводу, что система продолжала отправлять маркетинговые сообщения тем, кто специально отказался от их получения, и отметил, что должна была существовать система фильтрации, которую могли бы использовать все стороны.

AEPD обнаружил, что обработчики не предоставили никаких гарантий, чтобы гарантировать, что они внедрили эффективные технические и организационные меры, и что Vodafone не выдвинула таких требований.

Vodafone также передал личные данные клиентов поставщику телекоммуникационных услуг в Перу, который находится за пределами Европейской экономической зоны. В этом контракте не предусматривалось соблюдение необходимых положений GDPR для обмена данными с такими странами.

6. Caixabank SA — штраф 6 млн евро

Нарушения GDPR — статьи 6 и 14

В середине января 2021 года AEPD оштрафовал Caixabank SA на 6 миллионов евро за нарушение статей 6, 13 и 14 GDPR.

В ходе расследования этот испанский орган по защите данных обнаружил, что Caixabank недостаточно обосновал правовую основу для обработки личных данных, принадлежащих его клиентам. Банк не соблюдал требования о получении действительного, недвусмысленного и информированного согласия своих клиентов перед обработкой их данных.

AEPD также обнаружил, что информация, предоставленная Caixabank в различных документах и каналах, не была единообразной, а терминология, использованная в его политике конфиденциальности, была сочтена неточной.

Также было недостаточно информации о пользовательских профилях клиентов, созданных банком, о том, как они использовались, какие права имели клиенты в отношении этих профилей и каковы были периоды хранения данных для них.

7. Fastweb SpA — штраф 4,5 млн евро

Нарушения GDPR — статьи 5, 6, 7, 12, 13, 21, 24, 25, 32, 33, 34

В апреле 2021 года итальянский орган по защите данных Garante оштрафовал Fastweb SpA на 4,5 миллиона евро. Эта телекоммуникационная компания предоставляет услуги фиксированной связи, широкополосного доступа в Интернет и IPTV (телевидение по интернет-протоколу) в Италии.

После сотен жалоб и сообщений от потребителей компания Garante провела комплексное расследование, в ходе которого выяснилось, что Fastweb обрабатывал персональные данные миллионов своих пользователей в целях телемаркетинга без их согласия.

Garante также обнаружила, что Fastweb использовала вымышленные телефонные номера или номера, не зарегистрированные в Реестре операторов связи (RCO), для связи со своими пользователями с целью продвижения своих телефонных и интернет-услуг.

Было обнаружено, что меры безопасности для систем управления данными клиентов Fastweb также неадекватны.

8. Sky Italia — штраф 3,3 млн евро

Нарушения GDPR — статьи 5 (1), (2), 6 (1), 7, 12 (2), 14, 21, 28, 29

Итальянский орган по защите данных Garante оштрафовал Sky Italia на 3,3 миллиона евро за нарушение GDPR. Проведя расследование, Гаранте обнаружила, что в кампании телемаркетинга компании было несколько проблем.

Основная проблема рекламных звонков Sky Italia заключалась в том, что они проводились без предоставления людям адекватной информации об обработке. Также не было надлежащего согласия, поскольку использовались непроверенные списки, полученные от других компаний.

В дополнение к этому, Garante обнаружила, что Sky Italia не выполнила необходимое условие законности до проведения рекламных мероприятий. Кроме того, компания не приняла мер по нескольким возражениям субъектов данных против обработки.

9. Caixabank Payments & Consumer EFC — штраф 3 млн евро

Нарушения GDPR — статья 6 (1)

Испанский орган по защите данных, AEPD, наложил штраф в размере 3 миллионов евро на Caixabank Payments & Consumer EFC, EP за незаконную обработку персональных данных и нарушение статьи 6 GDPR. В компанию поступила жалоба от лица, которое было включено в маркетинговые кампании банка без надлежащего согласия и без надлежащей информации об обработке данных.

Кроме того, расследование AEPD показало, что Caixabank запросил у этого человека информацию о досье о платежеспособности, несмотря на то, что у этого человека не было действующих контрактов с банком. Фактически отношения между бывшим клиентом и банком закончились в 2014 году.

Помимо штрафа, AEPD наложил на Caixabank шестимесячный срок соблюдения требований.

10. Ирен Меркато — штраф 2,9 млн евро

Нарушения GDPR — статьи 5 (1), 5 (2) 6 (1), 7 (1)

Garante, итальянский орган по защите данных, оштрафовал Iren Mercato SpA, компанию, работающую в энергетическом секторе, на 3 миллиона евро за осуществление телемаркетинга без действительного согласия.

После различных жалоб и отчетов было обнаружено, что личные данные Ирен, обработанные для телемаркетинга, были получены косвенно от стороннего источника, Nethex Digital Merketing.

Nethex получил данные как независимый контролер данных от двух других компаний. Эти две компании получили необходимое согласие от своих клиентов на телемаркетинговую деятельность, осуществляемую как ими самими, так и третьими сторонами, включая Nethex. Важно отметить, что это согласие не распространялось на передачу данных о клиентах из Nethex в Ирен.

Garante обнаружила, что Ирен не смогла подтвердить, что весь ее телемаркетинг основан на свободном, конкретном и осознанном согласии, что нарушает принципы законности, прозрачности и подотчетности.

11. Foodinho — штраф 2,6 млн евро

Нарушения GDPR — статьи 5 (1), 13, 22 (3), 25, 30 (1), 32, 35, 37 (7)

Garante, итальянский орган по защите данных, оштрафовал Foodinho на 2,6 миллиона евро за использование алгоритмов оценки производительности в отношении своих сотрудников.

Они были признаны нарушившими принципы прозрачности, безопасности, конфиденциальности по умолчанию и намеренно, а также за непринятие надлежащих мер по защите прав и свобод сотрудников от дискриминационного автоматизированного принятия решений.

Foodinho принимала решения о своих гонщиках исключительно на основе автоматизированного принятия решений, анализируя или прогнозируя аспекты их профессиональной деятельности, поведения, а также их местоположения и перемещений. Это существенно повлияло на райдеров, исключив некоторых райдеров с работы.

Компания не принимала никаких мер, которые позволяли бы их гонщикам реализовать свои права или информировать их об этих правах. Не было принято никакой системы для проверки точности или снижения риска дискриминации в отношении системы превосходства или распределения работы.

Решение было первым, касающимся алгоритмического управления гиг-воркерами.

12. Mercadona — штраф 2,52 млн евро

Нарушения GDPR — статьи 5 (1) 6, 9, 12, 13, 25 (1), 35

Испанский орган по защите данных, AEPD, оштрафовал сеть супермаркетов Mercadona на 2 евро. 5 миллионов за незаконное использование распознавания лиц.

Mercadona использовала систему распознавания лиц в 48 своих испанских магазинах для выявления лиц, осужденных за уголовные преступления или судебных запретов. Система также фиксировала изображения лиц всех клиентов, заходящих в их супермаркеты, включая детей и сотрудников.

AEPD признал обработку биометрических данных с помощью своей системы распознавания лиц незаконной, поскольку Mercadona не могла использовать ни одно из юридических оснований, предусмотренных статьей 9 GDPR ЕС.Кроме того, было обнаружено, что обработка не соответствовала принципам необходимости, пропорциональности и минимизации данных, прозрачности и конфиденциальности по своему замыслу.

Оценка воздействия на защиту данных, проведенная Mercadona, была недостаточной и неполной, поскольку она не учитывала риски, связанные с обработкой данных для сотрудников Mercadona.

13. Deliveroo Italy — штраф 2,5 евро

Нарушения GDPR — статьи 5 (1), 13, 22 (3), 25, 30 (1), 32, 35, 37 (7)

Garante, итальянский орган по защите данных, оштрафовал Deliveroo Italy на 2 евро. 5m за использование алгоритмов в отношении своих сотрудников в аналогичном случае с Foodinho.

Deliveroo собрала непропорционально большой объем персональных данных своих пассажиров в нарушение принципов ограничения хранения, минимизации данных, прозрачности и законности в соответствии со статьей 5 GDPR.

Компания использовала эти данные для автоматизированной оценки работы райдеров и распределения работ. Компания не была достаточно прозрачной в отношении алгоритмов, используемых для управления ее пассажирами, как для распределения заказов, так и для резервирования рабочих смен.

Garante ввела ряд корректирующих мер в отношении Deliveroo. К ним относятся соблюдение требований прозрачности и принятие соответствующих мер для периодической проверки правильности и точности результатов их алгоритмических систем.

14. Unser Ö-Bonus Club — штраф 2 млн евро

Нарушения GDPR — статьи 6, 7, 12

Австрийский орган по защите данных оштрафовал оператора программы лояльности Unser Ö-Bonus Club на 2 миллиона евро за незаконный сбор пользовательских данных.

участников программы Unser Ö-Bonus Club собрали и проанализировали свое покупательское поведение, чтобы создать уникальный профиль клиента. Затем Unser Ö-Bonus Club передал эту информацию рекламным партнерам с целью получения прибыли, в то время как пользователи не знали ни об обработке данных, ни о продаже их профилей.

Фактически, процедура упоминалась, если пользователь прокручивал страницу вниз, но запрос согласия располагался вверху. Это означало, что все соглашались с условиями, не будучи проинформированными о том, что они влекут за собой.

Первоначальное расследование предупредило Unser Ö-Bonus Club об этой проблеме, и они признали, что элементы формы были размещены неправильно.

Компания обслуживала пользователей с ненадлежащими заявлениями о согласии, занималась незаконной обработкой персональных данных клиентов для целей профилирования и не исправляла ситуацию даже после признания их правонарушений.

15. SGAM AG2R La Mondiale — штраф 1,75 млн евро

Нарушения GDPR — статьи 5, 13 и 14

Французский орган по защите данных (CNIL) оштрафовал SGAM AG2R La Mondiale на 1 евро. 75 за несоблюдение GDPR в отношении сроков хранения данных и предоставления информации физическим лицам.

Первое нарушение связано с чрезмерным сроком хранения персональных данных.

CNIL отметила отсутствие механизма архивирования, который позволял бы хранить данные клиентов для целей бухгалтерского учета, налогообложения или судебных разбирательств в пределах максимально применимых сроков давности, либо путем передачи их в специальный архив, либо путем введения ограничений доступа.Это означало, что данные клиентов хранились в течение неоправданного периода после окончания контрактов с клиентами.

Второе нарушение касалось телефонных звонков субподрядчиков.

не сообщить контактам, почему были записаны звонки или их право на возражение;
не предоставить информацию об обработке своих личных данных или других правах, которые они имеют в отношении своих данных;
, не предоставившие информацию о том, как получить дополнительную информацию о защите своих личных данных, e. г. отправив электронное письмо.

16. Storstockholms Lokaltrafik — штраф 1,6 млн евро

Нарушения GDPR — статьи 5, 6 и 13

Шведское управление по защите конфиденциальности (IMY) оштрафовало Storstockholms Lokaltrafik на 16 000 000 шведских крон за нарушения GDPR, связанные с использованием носимых на теле оборудования для видеонаблюдения, используемого при проверке билетов.

IMY установило, что слежка велась незаконно. Он нарушил принципы прозрачности и минимизации данных и не смог предоставить субъектам данных достаточную информацию.

17. EDP Energía — штраф 1,5 млн евро

Нарушения GDPR — статьи 13 и 25

В мае 2021 года испанский орган по защите данных, AEPD, наложил штраф в размере 1,5 миллиона евро на EDP Energía, S.A.U, поставщика энергии для предприятий и сообществ в Испании.

После получения различных жалоб от клиентов на то, что их данные обрабатываются и используются без их явного согласия, AEPD провела расследование, в результате которого было установлено, что EDP Energía не реализовала необходимые технические и организационные меры и не получила согласия при обращении к клиентам через представителей.

AEPD также обнаружил, что EDP Energía предоставила недостаточную информацию субъектам данных при заключении контрактов с различными поставщиками услуг и серьезно нарушила статью 25 GDPR.

18. EDP Comercializadora — штраф 1,5 млн евро

Нарушения GDPR — нарушения статей 23 и 25

Опять же, в мае 2021 года AEPD, испанский орган по защите данных, наложил штраф в размере 1,5 миллиона евро на EDP Comercializadora S.A, поставщика коммунальных услуг для компаний в Испании, за нарушение положений GDPR о безопасности и прозрачности.

AEPD обнаружил, что EDP Comercializadora не смогла реализовать необходимые технические и организационные меры безопасности для защиты данных клиентов при заключении контракта на оказание газовых услуг через различные третьи стороны.

Он установил, что не существует процедуры, с помощью которой представители могли бы доказать, что они работали от имени EDP Comercializadora, а это означало, что любые совместно используемые данные потенциально могли подвергнуться риску кражи личных данных или мошенничества с другим экономическим ущербом.

AEPD также обнаружил, что EDP Comercializadora нарушила статью 13 GDPR, поскольку не предоставила субъектам данных достаточную информацию при заключении контрактов через различных поставщиков услуг.

19. MedHelp — штраф 1,2 млн евро

Нарушения GDPR — статьи 5, 6, 9, 13, 32

В июне 2021 года Шведское управление по защите конфиденциальности IMY наложило на MedHelp штраф в размере 1,2 миллиона евро за утечку конфиденциальных данных.

Хотя компания поручила обработку записей разговоров другой компании, регулирующий орган посчитал, что ответственность за безопасное хранение данных несет MedHelp как контроллер данных.Вместо этого данные хранились на сервере, на котором даже не были установлены пароли.

Проблема была обнаружена через анонимную наводку журналиста.

Поскольку сторонний обработчик данных находился за пределами юрисдикции Швеции, они получили только административный штраф, как и муниципальный район за то, что они не проинформировали граждан об их правах в данном случае.

20. Equifax Iberica — штраф в размере 1 млн евро

Нарушения GDPR — статьи 5, 6 и 14

В апреле 2021 года AEPD наложил штраф в размере 1 млн евро на Equifax Iberica за нарушение положений GDPR о законности, точности и прозрачности.

AEPD получил 96 жалоб, в которых личные данные лиц, связанных с предполагаемой задолженностью, были включены в Досье судебных исков и государственных органов («FIJ») без их согласия.

Эти данные были опубликованы в газетах и информационных бюллетенях, чтобы уведомить общественность о принятии административного или судебного решения по этому вопросу.

Это также означало, что Equifax Iberica не выполнила положения о прозрачности, изложенные в статье 14 GDPR.

21. WS WiSpear Systems Ltd — штраф 925 000 евро

Нарушения GDPR — статьи 5 (1)

Израильская компания WiSpear Systems Ltd была оштрафована уполномоченным по персональным данным на сумму 925 000 евро. Административный штраф назначен за нарушение принципа законности, объективности и прозрачности.

Эти нарушения относятся к эксплуатации микроавтобуса компании, который мог осуществлять негласное наблюдение. Компанию обвинили в использовании этого шпионского фургона для перехвата частных сообщений.

Что мы можем узнать из этих штрафов GDPR?

В некоторых случаях единственный вывод состоит в том, что вовлеченные компании, похоже, забыли о существовании GDPR. Тем не менее, среди других наказаний есть несколько общих тем, из которых можно поучиться:

Всегда надлежащим образом раскрывать физическим лицам (в контрактах и уведомлениях о конфиденциальности), какие персональные данные вы обрабатываете и каковы ваши законные основания для этого.
Никогда не используйте личную информацию несправедливым, вредным, неожиданным или вводящим в заблуждение способами .
Обеспечить быстрое удаление или надежное уничтожение личной информации , как только цель, для которой она была собрана, больше не применяется.
Установите процедуры и обеспечьте выполнение правил для обеспечения безопасности личных данных — не стоит недооценивать неудобства, беспокойство или беспокойство людей, если их личные данные будут потеряны или украдены.
Назначьте сотрудника по защите данных (DPO), человека с общей ответственностью, который может обеспечить надлежащее управление и подотчетность в вашей компании.

Хотите узнать больше о GDPR?

Если вы хотите быть в курсе лучших практик GDPR, отраслевого анализа и ключевых тенденций в области соблюдения нормативных требований, цифрового обучения, новостей EdTech и RegTech, подпишитесь на бюллетень Skillcast Compliance Bulletin.

Чтобы помочь вам ориентироваться в сфере соблюдения нормативных требований, мы собрали доступные для поиска глоссарии ключевых терминов и определений по сложным темам, включая GDPR, равенство, финансовые преступления и SMCR. Мы также регулярно сообщаем о важных выводах, извлеченных из недавних штрафов GDPR. А если вы ищете решение для обучения соблюдению нормативных требований, почему бы не посетить нашу библиотеку курсов GDPR.

Вы можете следить за нашим текущим исследованием YouGov по вопросам соответствия, отношениям и восприятию рисков на рабочем месте в Великобритании через наши блоги Compliance Insights.

И последнее, но не менее важное: у нас есть более 70 бесплатных учебных пособий по соблюдению нормативных требований, включая оценки, руководства по передовой практике, контрольные списки, настольные пособия, электронные книги, игры, раздаточные материалы, плакаты, обучающие презентации и даже модули электронного обучения!

Если у вас есть какие-либо вопросы или опасения по поводу соблюдения нормативных требований или электронного обучения, свяжитесь с нами.

Мы рады помочь!

Крупнейшие штрафы GDPR 2020 года

С момента вступления в силу Общего регламента по защите данных (GDPR) в 2018 году он полностью изменил то, как компании обращаются с личными данными своих клиентов. Он привел к реформе, адаптированной к условиям сегодняшнего мира, и пообещал жестко обрушиться на все компании, которые их не уважают.

Штрафы на общую сумму 272,5 миллиона евро были наложены за широкий спектр нарушений GDPR. Италия возглавляет рейтинг по совокупным штрафам более 69 евро.3 миллиона с момента применения GDPR 25 мая 2018 года. Германия и Франция заняли второе и третье места с совокупными штрафами в 69,1 миллиона евро и 54,4 миллиона евро.

В то время как большинство компаний очистили свои действия, когда дело доходит до защиты данных, есть много тех, кто все еще нарушает закон, и в отношении них проводится расследование и налагаются соответствующие штрафы. Ежедневное количество уведомлений о взломах в Европе растет двузначными числами второй год подряд.

«Количество штрафов и уведомлений о нарушениях продолжает расти в два раза в год
и европейские регулирующие органы продемонстрировали готовность использовать свои правоприменительные полномочия. Они также приняли несколько чрезвычайно строгих интерпретаций GDPR, что создаст условия для ожесточенных юридических баталий в предстоящие годы. Однако мы также видели, как регулирующие органы в этом году проявили некоторую снисходительность в ответ на продолжающуюся пандемию, когда из-за финансовых трудностей было снижено несколько крупных штрафов. «
Росс Маккин, председатель группы по защите и безопасности данных DLA Piper в Великобритании,

Мы отслеживаем штрафы за соблюдение нормативных требований во многих областях, и у нас есть дополнительные статьи с подробным описанием самых крупных штрафов GDPR в 2019 и 2021 годах.

Отсчет крупнейших штрафов GDPR в 2020 году

1. H&M — оштрафовано на 35,3 млн евро

Нарушения статьи 5/6 GDPR

Управление по защите данных в Гамбурге оштрафовало H&M на 35 миллионов евро за незаконное наблюдение за своими сотрудниками.

После того, как сотрудники ушли в отпуск или больничный, они должны были присутствовать на собрании по возвращению на работу. Некоторые из этих встреч были записаны, и данные были доступны более чем 50 менеджерам H&M.

Это привело к тому, что компания вела «чрезмерные» записи о семьях своих сотрудников, вероисповедании и заболеваниях в своем сервисном центре в Нюрнберге.Затем данные будут использоваться для оценки работы сотрудников и принятия решений об их занятости.

2. ТИМ — оштрафован на 27,8 млн евро

Нарушения статей 5, 6, 7, 17, 21 и 32 GDPR

Итальянский регулятор защиты данных Garante оштрафовал оператора связи TIM на 27,8 млн евро за бесцеремонный подход к телемаркетингу и другие нарушения GDPR.

Во-первых, он разослал сотни тысяч нежелательных сообщений без согласия субъектов данных, которые участвовали в реестре «отказа» или использовали свое право не получать маркетинговые материалы.В одном случае они связались с одним человеком 155 раз в течение месяца!

Во-вторых, уведомления о конфиденциальности для приложений и рекламных акций TIM не были прозрачными, и было неясно, для каких целей будут использоваться данные. Согласие также было неправильно обработано и часто недействительно — одно единственное согласие использовалось для нескольких целей.

Хранение данных также было чрезмерным — иногда превышало 10-летний срок, требуемый законом и пятилетней политикой компании.

Кроме того, в его процедурах взлома данных были недостатки. TIM подала в DPA несколько заявлений о нарушениях, но не смогла сделать это в течение 72 часов. Короче говоря, его системы и процедуры не соответствовали принципу «конфиденциальность по дизайну».

3. British Airways

€ 22 млн.

GDPR, статья 5 (1) и 32 нарушения

ICO оштрафовало British Airways на 22 миллиона евро за неспособность защитить личные данные более 400 000 клиентов.

Расследование показало, что авиакомпания обрабатывала значительный объем персональных данных без надлежащих мер безопасности.Этот сбой нарушил закон о защите данных, и впоследствии на BA в течение 2018 года была совершена кибератака, которую он не обнаруживал более двух месяцев.

Предполагается, что злоумышленник потенциально получил доступ к личным данным примерно 429 612 клиентов и сотрудников. Это включало имена, адреса, номера платежных карт и номера CVV 244 000 клиентов BA.

Другие подробности, которые, как предполагается, были доступны, включают объединенные номера карт и CVV 77 000 клиентов и номера карт только 108 000 клиентов.Также потенциально были доступны имена пользователей и пароли учетных записей сотрудников и администраторов BA, а также имена пользователей и ПИН-коды до 612 учетных записей BA Executive Club.

Первоначально British Airways была оштрафована на 183 миллиона фунтов стерлингов за нарушение GDPR в июле прошлого года. Однако позже эта сумма была снижена до 22 миллионов евро из-за экономических последствий COVID-19.

4. Marriott International Inc — оштрафован на 20 млн евро

Нарушение статьи 32 GDPR

Marriott International Inc не смогла обеспечить безопасность личных данных миллионов клиентов: считается, что 339 миллионов гостевых записей по всему миру пострадали в результате кибератаки в 2014 году на Starwood Hotels and Resorts Worldwide Inc. Атака оставалась незамеченной до сентября 2018 года, когда Marriott приобрела компанию.

Используемые личные данные различались у разных людей, но могли включать имена, адреса электронной почты, номера телефонов, незашифрованные номера паспортов, информацию о прибытии / отбытии, VIP-статус гостей и номер участника программы лояльности.

5. Wind Tre — оштрафовано на 16,7 млн евро

Нарушения статей 5, 6, 12, 24 и 25 GDPR

Garante, итальянский орган по защите данных, выдал 16 евро.Штраф в размере 7 миллионов против Wind Tre за несколько незаконных операций по обработке данных, касающихся методов прямого маркетинга.

После тщательного расследования компания Garante обнаружила, что сотни заявителей получали незапрашиваемые сообщения, отправленные без их предварительного согласия, через SMS, электронную почту, телефонные звонки и автоматические звонки. Они также не смогли реализовать свое право отозвать согласие и выступить против обработки в целях прямого маркетинга.

Данные

заявителей были опубликованы в публичных телефонных списках, несмотря на их возражение.В дополнение к этому, Garante обнаружила, что приложения Wind Tre «MyWind» и «My3» требуют от пользователей предоставления согласия на различные операции обработки при каждом доступе. Им разрешили отозвать свое «согласие» только по прошествии 24-часового окна.

6. Deutsche Wohnen — оштрафован на 14,5 млн евро

Нарушения статьи 5 и 25 GDPR

Уполномоченный по защите данных и свободе информации Берлина (Berliner Beauftragte für Datenschutz und Informationsfreiheit — Berlin DPA) выдал 14 евро.Штраф в размере 5 миллионов против немецкой компании по недвижимости Deutsche Wohnen.

Нарушение, связанное с чрезмерным хранением личных данных. Deutsche Wohnen не смогла установить процедуру хранения и удаления персональных данных арендаторов в соответствии с GDPR. Ситуация усугублялась тем фактом, что в 2017 году агентство DPA Берлина уже отметило несоблюдение своих обязательств по хранению в ходе выездной проверки.

Хотя Deutsche Wohnen предприняла первоначальные меры для устранения несоответствия, надзорный орган выявил во время своего второго аудита в 2019 году, что эти меры не привели к созданию системы архивирования, соответствующей GDPR, поскольку Deutsche Wohnen все еще не смог продемонстрировать чистую -обновление своей базы данных или правовые основания для постоянного хранения.

По словам главы Берлинского DPA, Deutsche Wohnen могла бы легко выполнить требования, внедрив систему архивирования, которая разделяет данные с разными сроками хранения, тем самым позволяя дифференцированные периоды удаления, поскольку такие решения коммерчески доступны.

7. Vodafone Italia — оштрафован на 12,25 млн евро

GDPR, статьи 5 (1) (2), 6 (1), 7, 15 (1), 16, 21, 24, 25 (1), 32, 33 нарушения

Garante оштрафовала Vodafone Italia на 12,25 млн евро за агрессивные методы телемаркетинга.

Garante начала расследование после получения «сотен» жалоб на неудобные звонки из торговых сетей Vodafone. Выяснилось, что система хранения информации о клиентах Vodafone имеет несколько недостатков. Компания приобрела списки контактов у внешних поставщиков — информация о 4,5 миллионах человек была защищена без согласия пользователя.

Vodafone оправдал нежелательное общение как человеческую ошибку, но регулятор не посчитал это подходящим оправданием, учитывая другие факторы, включая «в значительной степени небрежный характер» и повторение вызовов.

Регулирующий орган приказал Vodafone пересмотреть свои процедуры телемаркетинга в Италии, и ему было запрещено обрабатывать личные данные, полученные от третьих лиц, без предварительного согласия пользователя.

8. Eni Gas e Luce — оштрафована на 11,5 млн евро

Нарушения статей 5, 6, 7, 21 и 32 GDPR

В Италии компания Eni Gas e Luce (Egl) была оштрафована на 11,5 млн евро органом по надзору за защитой данных за незаконную обработку персональных данных и активацию незапрошенных контрактов.

Его первый штраф (8,5 млн евро) связан с незаконной обработкой личной информации в целях телемаркетинга и телефонных продаж. В ходе расследования выявлены массовые нарушения, в том числе:

Маркетинговые звонки, сделанные физическим лицам без их согласия или несмотря на то, что они возражают против маркетинговых звонков.
Неадекватные процедуры проверки общедоступного реестра отказа.
Нет технических или организационных мер для регистрации согласия.
Хранение личных данных дольше, чем это необходимо.
Получение личной информации от других лиц без проверки согласия.

Второй штраф в размере 3 млн евро был за незатребованные контракты на поставку газа и электроэнергии. Около 7200 человек узнали о новом контракте с первым счетом или о прекращении действия письма от своего предыдущего поставщика. Клиенты жаловались на поддельные подписи и неверную информацию.

Другие значительные штрафы за нарушение данных в Великобритании в 2020 году

Currys PC World и Dixon’s Travel оштрафованы на 500 тысяч фунтов стерлингов за историческое нарушение

Всего за пару недель до 2020 года Управление комиссара по информации (ICO) уже продемонстрировало свою решимость бороться с утечками данных. Хотя это и не штраф GDPR — от пули точно увернулись — мы все же считаем, что его стоит включить в список.

В рамках ICO компания DSG Retail Limited, более известная как Currys PC World и Dixon’s Travel (максимально возможная), выплатила штраф в размере 500 тысяч фунтов стерлингов за историческую утечку данных, произошедшую с 2018 года.

В результате расследования установлено:

Торговые точки были скомпрометированы, и в период с июля 2017 года по апрель 2018 года вредоносное ПО было установлено на 5390 кассах в магазинах, что привело к сбору личных данных клиентов.
Компания не смогла защитить свои системы, предоставив несанкционированный доступ к 5,6 миллионам данных о транзакциях с платежными картами и личной информации (включая контактные данные и неудавшиеся проверки кредитоспособности) 14 миллионов человек.
Его меры безопасности были плохими. Компания не смогла должным образом защитить личные данные — из-за неадекватной установки исправлений программного обеспечения, отсутствия локального межсетевого экрана, отсутствия сегрегации сети и регулярного тестирования безопасности. ICO заявило, что нарушение существенно повлияет на конфиденциальность людей, сделав их уязвимыми для финансовых краж и мошенничества с личными данными.

«Наше расследование выявило системные сбои в том, как DSG Retail Limited защищала личные данные. Очень тревожно то, что эти сбои связаны с базовыми, обычными мерами безопасности, демонстрируя полное игнорирование клиентов, чья личная информация была украдена. Правонарушения в данном случае были настолько серьезными, что мы наложили максимальное наказание в соответствии с предыдущим законодательством, но размер штрафа неизбежно был бы намного выше в соответствии с GDPR «.
Начальник отдела расследований, ICO

Хотите узнать больше о GDPR?

Мы рады помочь!

Недавние штрафы GDPR против Amazon и WhatsApp установили новые рекорды | Epiq

Принятие Общего регламента по защите данных (GDPR) ясно дало понять, что Европейский Союз (ЕС) чрезвычайно серьезно относится к конфиденциальности потребителей и что защита личной информации граждан ЕС является главным приоритетом.Возможность крупных штрафов, которые могут нанести значительный ущерб операционным возможностям и глобальной репутации, поставила многие организации в тупик. GDPR разрешает штрафы в размере более 20 миллионов евро или до четырех процентов от глобального дохода организации. Теперь, когда закон действует уже более трех лет, появляются тенденции к правоприменению, которые показывают, что органы по защите данных в государствах-членах ЕС не боятся наложить большие штрафы в случае нарушения. Таким образом, организациям необходимо понимать глобальные последствия, которые может вызвать эта деятельность, и пересматривать свои планы соблюдения конфиденциальности, чтобы устранить любые текущие пробелы, которые могут существовать.

Последние штрафы

16 июля 2021 года надзорный орган Люксембурга наложил штраф на Amazon на 746 миллионов евро и потребовал изменить некоторые методы ведения бизнеса, связанные с обработкой данных потребителей. Этот штраф является самым большим на сегодняшний день: предыдущий рекорд составил 50 миллионов евро против Google в 2019 году за целевую рекламу. Недавний штраф Amazon почти в пятнадцать раз больше, чем рекордно высокий штраф 2019 года.

Штраф Amazon был вызван жалобой, поданной в 2018 году французской группой по защите конфиденциальности, которая утверждала, что Amazon не основывает свою рекламную практику на добровольном согласии в нарушение требований GDPR в отношении обработки персональных данных. Проблемы возникли из-за того, как Amazon использовала данные о потребителях для таргетированной рекламы. Хотя иск был подан во Франции, GDPR позволяет одному ведущему надзорному органу проводить расследования, когда организация работает в нескольких странах ЕС. Amazon назначил орган власти Люксембурга, поэтому он взял на себя инициативу по разрешению этой жалобы в сотрудничестве с органом по защите данных во Франции.Amazon выразила намерение подать апелляцию, утверждая, что не было нарушения данных или раскрытия третьей стороной. Пока этот процесс не будет исчерпан, больше никаких подробностей об обвинениях не появится, поскольку в Люксембурге есть закон, запрещающий публичное раскрытие информации до завершения процесса апелляции.

Еще одна важная новость: 2 сентября 2021 года Управление по защите данных Ирландии наложило на WhatsApp значительный штраф в размере 225 миллионов евро, что в четыре с половиной раза больше штрафа 2019 года против Google.Первоначально предполагалось, что штраф составит 50 миллионов евро, но несколько других органов по защите данных передали этот вопрос в Европейский совет по защите данных с просьбой о его увеличении из-за неправильного расчета штрафа. Это решение стало результатом трехлетнего расследования того, предоставил ли WhatsApp достаточно подробностей потребителям в своей политике конфиденциальности об их методах обработки данных. WhatsApp также намерен обжаловать этот штраф.

Влияние на глобальную конфиденциальность

Многие страны последовали примеру ЕС и укрепили свои системы защиты конфиденциальности потребителей за счет поправок, нового законодательства, обновленных руководящих принципов и правоприменительных изменений.С появлением тенденции ужесточения требований GDPR и высоких штрафов будет интересно посмотреть, как отреагируют другие правоохранительные органы по всему миру. В то время как ни один другой закон в настоящее время не соответствует высокому потолку штрафов GDPR, другие страны, такие как Бразилия, допускают значительные штрафы. По мере того, как соблюдение GDPR продолжает материализоваться, организациям следует внимательно следить за тем, вносятся ли поправки в другие законы, налагающие более высокие штрафы за нарушение конфиденциальности, или если во всем мире применяются более строгие меры по обеспечению соблюдения.

Также обратите пристальное внимание на ожидаемые апелляции Amazon и WhatsApp GDPR, поскольку предыдущие штрафы были значительно снижены. То, что происходит после того, как решение оспаривается, является важным элементом тенденции GDPR-штраф, поскольку он будет продолжать давать представление о том, какие методы обеспечения конфиденциальности достаточно серьезны, чтобы выдерживать новаторские штрафы и определять будущие решения органов по защите данных. Тем не менее, тот факт, что менее агрессивные органы по обеспечению конфиденциальности, такие как Ирландия, теперь заняли более жесткую позицию, свидетельствует о том, что более строгое соблюдение, вероятно, будет продолжаться независимо от того, будут ли отменены штрафные санкции по апелляции.

В свете этих недавних решений организациям, подпадающим под действие GDPR или любого другого закона о конфиденциальности, следует внимательнее присмотреться к своим усилиям по обеспечению конфиденциальности.Жесткие меры против крупных технологических компаний показывают, что органы по защите данных не боятся преследовать известные организации. Хотя высокий штраф вряд ли опустошит более крупные организации, любые требования по изменению методов обработки могут иметь большее влияние, требуя больших ресурсов. Кроме того, для небольших компаний подобные штрафы могут иметь разрушительные последствия.

Скорее всего, если политика и практика организации отражают соответствие GDPR, то же самое будет справедливо и для обязательств по большинству других законов о конфиденциальности.Однако не существует двух одинаковых законов, поэтому по-прежнему важно тщательно понимать все уникальные обязательства и соответствующим образом корректировать планы соблюдения конфиденциальности. Многие организации, в том числе юридические фирмы и корпоративные юридические отделы, создали новые роли, направленные на обеспечение конфиденциальности данных, или вступили в партнерские отношения с поставщиками, чтобы помочь в соблюдении нормативных требований. Поддержание достаточной внутренней политики конфиденциальности, выполнение обязательств по соблюдению и участие в расследованиях может занять много времени и иметь серьезные последствия, если с ним не обращаться должным образом.Это делает создание ролей конфиденциальности и установление доверительных партнерских отношений главным приоритетом.

Для получения дополнительной информации о статусе законов США о конфиденциальности щелкните здесь.

[Просмотр исходного кода.]

Штрафы / пени — Общий регламент по защите данных (GDPR)

Национальные органы власти могут или должны назначать штрафы за конкретные нарушения защиты данных в соответствии с Общим регламентом защиты данных. Штрафы применяются в дополнение или вместо дополнительных средств правовой защиты или корректирующих полномочий, таких как приказ о прекращении нарушения, инструкция по корректировке обработки данных в соответствии с GDPR, а также право налагать временное или окончательное ограничение. в том числе запрет на обработку данных.В отношении положений, касающихся обработчиков, он может подвергнуться санкциям напрямую и / или совместно с контролером.

Штрафы должны быть эффективными, соразмерными и сдерживающими в каждом конкретном случае. Для принятия решения о том, может ли быть применено наказание и какой уровень наказания, власти имеют установленный законом каталог критериев, которые они должны учитывать при принятии решения. Среди прочего, умышленное нарушение, непринятие мер по уменьшению нанесенного ущерба или отсутствие сотрудничества с властями могут увеличить штрафы.За особо серьезные нарушения, перечисленные в ст. 83 (5) GDPR, размер штрафов может составлять до 20 миллионов евро или, в случае предприятия, до 4% от их общего мирового оборота за предыдущий финансовый год, в зависимости от того, что больше. Но даже каталог менее серьезных нарушений ст. 83 (4) GDPR устанавливает штрафы в размере до 10 миллионов евро или, в случае предприятия, до 2% от всего его глобального оборота за предыдущий финансовый год, в зависимости от того, что больше. Здесь особенно важно то, что термин «обязательство» эквивалентен тому, что используется в Ст.101 и 102 Договора о функционировании Европейского Союза (TFEU). Согласно прецедентному праву Европейского суда, «понятие предприятия охватывает каждое юридическое лицо, занимающееся экономической деятельностью, независимо от правового статуса юридического лица или способа его финансирования». Таким образом, предприятие может состоять не только из одной отдельной компании в смысле юридического лица, но также из нескольких физических или юридических лиц. Таким образом, всю группу можно рассматривать как одно предприятие, а ее общий годовой оборот во всем мире можно использовать для расчета штрафа за нарушение GDPR одной из ее компаний.Кроме того, каждое государство-член должно установить правила о других санкциях за нарушения Регламента, которые еще не предусмотрены ст. 83. Скорее всего, это уголовные наказания за определенные нарушения GDPR или штрафы за нарушения национальных правил, которые были приняты на основе положений о гибкости GDPR. Национальные наказания также должны быть эффективными, соразмерными и служить сдерживающим фактором.

Наказуемая ситуация в компании может быть выявлена посредством упреждающих проверок, проводимых органами по защите данных, неудовлетворенным сотрудником или клиентами или потенциальными клиентами, которые жалуются властям, через самопровозглашенную компанию или через прессу. в целом, особенно через журналистские расследования.

Трекер правоприменения дает обзор сообщенных штрафов и штрафов, наложенных на данный момент органами по защите данных в ЕС.

Внешние ссылки

Органы власти

Статья 29 Рабочая группа по защите данных ► Рабочий документ WP 253 — Руководство по применению и установлению административных штрафов (Ссылка)
Европейская комиссия ► Правоприменение и санкции (ссылка)
Управление по защите данных Остров Мэн ► Штрафы, пени и санкции (ссылка)
Публикации ЕС ► Справочник по европейскому законодательству о защите данных — Санкции, стр. 247 (Ссылка)

Экспертный вклад

Журнал Закона об интеллектуальной собственности, информационных технологиях и электронной торговле ► Закон о защите данных набирает обороты? (Ссылка)
IAPP ► 10 основных операционных последствий GDPR: Часть 10 — Последствия нарушений GDPR (ссылка)
A&L Goodbody ► GDPR: Руководство для предприятий — Следственные, исправительные и консультативные полномочия надзорных органов / Административные штрафы, стр. 31, 33 (ссылка)

Отслеживание правоприменения и нарушений | DataGuidance

Страна (необязательно)

Страна (Необязательно) AfghanistanÅland IslandsAlbaniaAlgeriaAmerican SamoaAndorraAngolaAnguillaAntarcticaAntigua и BarbudaArgentinaArmeniaArubaAustraliaAustriaAzerbaijanBahamasBahrainBangladeshBarbadosBelarusBelgiumBelizeBeninBermudaBhutanBolivia, многонациональное государство ofBonaire, Синт-Эстатиус и SabaBosnia и HerzegovinaBotswanaBouvet IslandBrazilBritish Индийский океан TerritoryBrunei DarussalamBulgariaBurkina FasoBurundiCambodiaCameroonCanadaCape VerdeCayman IslandsCentral африканских RepublicChadChileChinaChristmas IslandCocos (Килинг) IslandsColombiaComorosCongoCongo, Демократическая Республика theCook IslandsCosta RicaCôte d’IvoireCroatiaCubaCuraçaoCyprusCzech RepublicDenmarkDjiboutiDominicaDominican RepublicEcuadorEgyptEl SalvadorEquatorial GuineaEritreaEstoniaEthiopiaFalkland Острова (Мальвинские) Фарерские острова ФиджиФинляндияФранцияФранцузская ГвианаФранцузская ПолинезияФранцузские Южные территорииГабонГамбияГрузияГерманияГанаГибралтарГрецияГренландияГренадаГваделупаГуамГватемалаГернсиГвинеяГвинея-Бис Остров sauGuyanaHaitiHeard и McDonald IslandsHoly Престол (Ватикан) HondurasHong KongHungaryIcelandIndiaIndonesiaIran, Исламская Республика ofIraqIrelandIsle из ManIsraelItalyJamaicaJapanJerseyJordanKazakhstanKenyaKiribatiKorea, Корейская Народно-Демократическая Республика ofKorea, Республика ofKuwaitKyrgyzstanLao Народная Демократическая RepublicLatviaLebanonLesothoLiberiaLibyaLiechtensteinLithuaniaLuxembourgMacaoMacedonia, бывшая югославская Республика ofMadagascarMalawiMalaysiaMaldivesMaliMaltaMarshall IslandsMartiniqueMauritaniaMauritiusMayotteMexicoMicronesia, Федеративные Штаты ofMoldova, Республика ofMonacoMongoliaMontenegroMontserratMoroccoMozambiqueMyanmarNamibiaNauruNepalNetherlandsNew CaledoniaNew ZealandNicaraguaNigerNigeriaNiueNorfolk IslandNorthern Mariana IslandsNorwayOmanPakistanPalauPalestinian край , ОккупированнаяПанамаПапуа-Новая ГвинеяПарагвайПеруФилиппиныПиткэрнПольшаПортугалияПуэрто-РикоКатарРеюньонРумынияРоссийская ФедерацияРуандаСент-БартелемиСвятая Елена, Вознесение и Тристан-да-КуньяS Эйнт Киттс и NevisSaint LuciaSaint Мартин (французская часть) Сен-Пьер и MiquelonSaint Винсент и GrenadinesSamoaSan MarinoSao Томе и PrincipeSaudi ArabiaSenegalSerbiaSeychellesSierra LeoneSingaporeSint Маартен (Голландская часть) SlovakiaSloveniaSolomon IslandsSomaliaSouth AfricaSouth Джорджия и Южные Сандвичевы IslandsSouth SudanSpainSri LankaSudanSurinameSvalbard и Ян MayenSwazilandSwedenSwitzerlandSyrian Arab RepublicTaiwan, провинция ChinaTajikistanTanzania, Объединенная РеспубликаТаиландТимор-ЛештиТогоТокелауТонгаТринидад и ТобагоТунисТурцияТуркменистанТуркс и острова КайкосТувалуУгандаУкраинаОбъединенные Арабские ЭмиратыВеликобританияСоединенные ШтатыМалые Острова Соединенных ШтатовВнешние острова УругвайУзбекистан, Британские ОстроваС. Уоллис и Футуна, Западная Сахара, Йемен, Замбия, Зимбабве,

Государственных законов об уведомлении о взломе данных

Личная информация в США в настоящее время защищена отдельными отраслевыми федеральными законами и законодательством штата, сфера действия и юрисдикция которых различаются. Таким образом, проблема соблюдения нормативных требований для организаций, ведущих бизнес во всех 50 штатах, является серьезной.

На этой странице представлена сводка требований каждого из 50 законов штата об уведомлении об утечке данных по состоянию на июль 2018 года.

50 законов штата об уведомлении об утечке данных по штату

Щелкните отдельные состояния, чтобы просмотреть свои обязательства по уведомлению о взломе данных.

Обратите внимание, что это всего лишь краткое изложение информации и никоим образом не заменяет ознакомление с самими законами или получение надлежащей квалифицированной юридической консультации. Законы могут быть изменены.

Алабама

2018 S.B. 318, Закон № 396

Законодательство Алабамы об уведомлении об утечке данных, принятое в 2018 году, требует от организаций, которые приобретают или используют «секретную личную информацию» жителей Алабамы, уведомлять затронутых лиц о любом несанкционированном получении данных.
Уведомление в письменной форме должно быть сделано как можно быстрее и без необоснованной задержки, но не позднее, чем через 45 дней с момента получения уведомления о нарушении. Уведомление не требуется, если установлено, что нарушение не может причинить существенный вред пострадавшим лицам.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов в течение 10 дней.
Если более 1000 человек должны быть уведомлены о нарушении, нарушенные организации также должны уведомить генерального прокурора и все агентства по информированию потребителей, которые собирают и хранят файлы о потребителях на общенациональной основе, как определено в 15 U. S.C. Раздел 1681a.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, соблюдающие соответствующие федеральные нормы и правила штата, HIPAA или GLBA, считаются соблюдающими этот закон. Они по-прежнему должны направить письменное уведомление Генеральному прокурору Алабамы, когда число лиц, к которым уведомлено лицо, превышает 1000.
Предусмотрены гражданские штрафы в размере до 500 000 долларов за нарушение.Несоблюдение надлежащего уведомления может привести к дополнительным штрафам в размере до 5000 долларов США в день за каждый последующий день несоблюдения положений об уведомлении

Подробнее о соответствии >>

Вернуться к началу

Аляска

Закон Аляски 45.48.010: Закон о защите личной информации

Законодательство об уведомлении об утечке данных, принятое на Аляске в 2008 году, требует от организаций, которые владеют или лицензируют личную информацию жителей Аляски, без необоснованной задержки уведомлять их о любом нарушении данных, которое приводит или может привести к несанкционированному получению их личной информации. Приобретение может включать бумажные методы.
Уведомление не требуется, если расследование определяет, что нет разумной вероятности того, что пострадавшие лица не привели или не возникнут в результате потери информации, и Генеральный прокурор информируется об этом факте в письменной форме.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Если более 1000 человек должны быть уведомлены о нарушении, нарушенные субъекты также должны уведомить все агентства по отчетности потребителей, которые собирают и поддерживают файлы о потребителях на общенациональной основе, как определено в 15 USC Section 1681a (p), если они не соответствуют требованиям. с GLBA.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов.
Предусмотрены гражданские штрафы в размере от 500 до 50 000 долларов.

Подробнее о соответствии >>

Вернуться к началу

Аризона

Законодательство штата Аризона, пересмотренное 18-545

Принятый в 2006 году закон Аризоны об уведомлении об утечке данных требует от организаций, ведущих бизнес в Аризоне, которые владеют, хранят или лицензируют незашифрованную и неотредактированную компьютеризированную личную информацию, уведомлять затронутых лиц в течение 45 дней с момента установления факта нарушения.
Уведомление не требуется, если в ходе расследования установлено, что нарушение не привело или с малой вероятностью приведет к значительным экономическим потерям для затронутых лиц.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Организации должны уведомить Генерального прокурора в письменной форме, если организация должна уведомить более 1000 жителей Аризоны.
Субъекты, которые поддерживают свои собственные процедуры уведомления, считаются соответствующими требованиям настоящего закона в отношении уведомления, если эти процедуры соответствуют закону и соблюдаются в случае нарушения.
Субъекты, соблюдающие соответствующие федеральные нормы и правила штата, HIPAA или GLBA, считаются соблюдающими этот закон.
Нарушенные третьи стороны должны как можно скорее уведомить соответствующих владельцев данных или лицензиатов.
Предусмотрены гражданские штрафы в размере от 10 000 до 500 000 долларов США.

Подробнее о соответствии >>

Вернуться к началу

Арканзас

Кодекс Арканзаса 4-110-101: Закон о защите личной информации

Законодательство штата Арканзас об уведомлении о взломе данных, принятое в 2005 году, требует от организаций — независимо от их местонахождения — которые приобретают, владеют или лицензируют компьютеризированную личную информацию, касающуюся жителей Арканзаса, уведомлять затронутых лиц о несанкционированном приобретении компьютеризированных данных, которое ставит под угрозу безопасность, конфиденциальность, или целостность личной информации, поддерживаемой организацией.
Уведомление должно быть сделано в наиболее удобные сроки и способом без необоснованной задержки.
Уведомление не требуется, если расследование определяет отсутствие разумной вероятности причинения вреда пострадавшим лицам.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу после обнаружения несанкционированного приобретения.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления, считаются соответствующими требованиям настоящего закона в отношении уведомления, если эти процедуры соответствуют закону и соблюдаются в случае нарушения.

Подробнее о соответствии >>

Вернуться к началу

Калифорния

Гражданский кодекс Калифорнии 1798: 29 и 1798: 80

Законодательство Калифорнии об уведомлении о нарушениях данных, принятое в 2002 году, требует от организаций, которые владеют компьютеризированной личной информацией или лицензируют ее, уведомлять жителей Калифорнии о любых нарушениях данных, которые приводят или могут привести к несанкционированному получению незашифрованной личной информации.
Уведомление должно быть сделано в наиболее целесообразное время и без необоснованной задержки, в соответствии с законными потребностями правоохранительных органов и любыми мерами, необходимыми для определения масштабов нарушения и восстановления разумной целостности системы данных.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Организации должны уведомить генерального прокурора, если организация должна уведомить более 500 жителей Калифорнии.Организация может отправить образец уведомления в электронном виде.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу после обнаружения несанкционированного приобретения.
Субъекты, которые поддерживают свои собственные процедуры уведомления, считаются соответствующими требованиям настоящего закона в отношении уведомления, если эти процедуры соответствуют закону и соблюдаются в случае нарушения.
Субъекты, на которые распространяется действие HIPAA, считаются соблюдающими требования этого закона об уведомлении, если они соблюдают требования об уведомлении HIPAA.
Любой клиент, пострадавший в результате нарушения этого права, может подать гражданский иск о взыскании убытков.

Подробнее о соответствии >>

Вернуться к началу

Колорадо

Пересмотренный закон штата Колорадо 6-1-716

Принятый в 2006 году закон штата Колорадо об уведомлении о нарушении данных требует, чтобы организации, ведущие бизнес в Колорадо и владеющие, лицензирующие или поддерживающие компьютеризированные персональные данные жителей Колорадо, уведомляли этих лиц о несанкционированном получении незашифрованных данных, которое ставит под угрозу безопасность, конфиденциальность, или целостность личной информации.
Уведомление должно быть сделано в наиболее целесообразный срок и без необоснованной задержки, но не позднее чем через 30 дней после установления факта нарушения.
Если уведомление направлено более чем 500 резидентам CO, организация также должна уведомить генерального прокурора.
Если уведомление направлено более чем 1000 резидентам CO, организация должна также уведомить все агентства по отчетности потребителей, которые собирают и поддерживают файлы о потребителях на общенациональной основе, как определено в 15 USC Section 1681a (p).
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Нарушенные третьи стороны должны уведомить и сотрудничать с соответствующими владельцами данных или лицензиатами сразу же после обнаружения нарушения, если произошло или может произойти неправомерное использование личной информации о резидентах CO.
Уведомление в соответствии с законами, правилами, положениями, инструкциями или руководящими принципами, установленными основным государственным регулирующим органом организации, является достаточным для соблюдения этого закона.

Подробнее о соответствии >>

Вернуться к началу

Коннектикут

Общий статут Коннектикута 36a-701b

Принятый в 2005 году закон Коннектикута об уведомлении о нарушении данных требует, чтобы организации, ведущие бизнес в Коннектикуте и владеющие, лицензирующие или поддерживающие компьютеризированные персональные данные, уведомляли жителей Коннектикута о любом несанкционированном доступе или приобретении электронных файлов, носителей, баз данных или компьютеризированные данные, содержащие читаемую, пригодную для использования или незашифрованную личную информацию.
Уведомление должно быть сделано без необоснованной задержки, но не позднее чем через 90 дней после обнаружения нарушения, если более короткий срок не требуется в соответствии с федеральным законом. Уведомление также должно быть отправлено Генеральному прокурору.
Уведомление не требуется, если расследование, наряду с консультациями с соответствующими государственными органами, определяет отсутствие разумной вероятности того, что нарушение приведет к ущербу для затронутых лиц.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу после фактического обнаружения или обоснованного предположения о том, что нарушение имело место.
Уведомление в соответствии с законами, установленными основным государственным регулирующим органом предприятия, является достаточным для соблюдения этого закона.

Подробнее о соответствии >>

Вернуться к началу

Делавэр

Кодекс штата Делавэр, заголовок 6, глава 12B

Принятый в 2005 году закон штата Делавэр об уведомлении о взломе данных требует, чтобы организации, ведущие бизнес в Делавэре и владеющие компьютеризированной личной информацией или лицензирующие ее жители Делавэра, уведомляли затронутых лиц о любом несанкционированном получении компьютеризированных данных, которое ставит под угрозу безопасность, конфиденциальность или целостность личная информация, которая делает такую информацию доступной для чтения или использования.
Уведомление должно быть сделано без необоснованной задержки, но не позднее, чем через 60 дней после установления нарушения безопасности, если в соответствии с федеральным законом не применяется более короткий срок.
Уведомление не требуется, если после соответствующего расследования организация обоснованно определяет, что организация разумно определяет, что нарушение вряд ли приведет к причинению вреда пострадавшим лицам.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу после установления нарушения.
Субъекты, которые поддерживают свои собственные процедуры уведомления как часть политики информационной безопасности, которая содержит требования к срокам в соответствии с законодательством штата, считаются соответствующими требованиям к уведомлению по этому закону, если субъект уведомляет затронутых жителей Delware в соответствии со своей политикой

Подробнее о соответствии >>

Вернуться к началу

Флорида

Fla.Стат. § 501.171

Принятый в 2014 году закон Флориды об уведомлении об утечке данных требует от любой организации, которая приобретает, поддерживает, хранит или использует личную информацию, уведомлять лиц, находящихся в состоянии несанкционированного доступа к личной информации в электронной форме.
Уведомление физическим лицам должно быть направлено как можно быстрее и без необоснованной задержки, не позднее, чем через 30 дней после установления нарушения безопасности. Организации могут получить 15 дополнительных дней при наличии уважительных причин, если они будут предоставлены Департаменту по правовым вопросам в письменной форме в течение первоначального 30-дневного периода.
Организации также должны направить уведомление в Департамент по правовым вопросам, если нарушение затрагивает более 500 человек во Флориде.
Если затронуты более 1000 человек, взломанные организации должны также без необоснованной задержки проинформировать все агентства по информированию потребителей, которые собирают и хранят файлы о потребителях по всей стране, как определено в 15 USC Section 1681a (p).
Уведомление не требуется, если надлежащее расследование и консультации с соответствующими государственными органами определяют, что нарушение не привело и, скорее всего, не приведет к краже личных данных или какому-либо другому финансовому ущербу для пострадавших лиц. Такое определение должно быть задокументировано в письменной форме и сохранено не менее пяти лет. Организации должны предоставить это письменное определение в Департамент по правовым вопросам в течение 30 дней после вынесения решения.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов в течение десяти дней с момента обнаружения нарушения. После получения уведомления от третьей стороны субъект-владелец данных должен направить уведомления Департаменту и Затронутым лицам.
Отсутствие надлежащего уведомления Департамента по правовым вопросам или затронутых лиц может повлечь за собой гражданские штрафы в размере 1000 долларов в день, если нарушение не раскрывается в течение 30 дней; 50 000 долларов США за каждый последующий 30-дневный период, до 180 дней; не более 500 000 долларов.

Подробнее о соответствии >>

Вернуться к началу

Грузия

Код Грузии 10-1-912

Законодательство Грузии об уведомлении об утечке данных, введенное в действие в 2005 году, требует, чтобы информационные брокеры и сборщики данных уведомляли жителей Грузии о том, что незашифрованная личная информация была или есть основания полагать, что она была получена неуполномоченным лицом.
Уведомление должно быть сделано в наиболее подходящий срок и без необоснованной задержки.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов в течение 24 часов с момента обнаружения нарушения, если личная информация была или есть основания полагать, что она была получена неуполномоченным лицом.
Если более 10 000 жителей Джорджии должны быть уведомлены о нарушении, взломанные организации также должны без необоснованной задержки проинформировать все агентства по информированию потребителей, которые собирают и хранят файлы о потребителях на общенациональной основе, как определено в 15 USC Section 1681a.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.

Подробнее о соответствии >>

Вернуться к началу

Гавайи

Пересмотренный устав Гавайев 487N-1

Принятый в 2006 году закон Гавайев об уведомлении об утечке данных требует, чтобы организации уведомляли затронутых лиц о любом несанкционированном доступе или получении незашифрованной или неотредактированной личной информации, когда незаконное использование личной информации имело место или имеет разумную вероятность, и создает риск вред физическому лицу.
Уведомление должно быть сделано без необоснованной задержки.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Если необходимо уведомить более 1000 человек, также необходимо уведомить Гавайский офис по защите прав потребителей, как и все агентства по информированию потребителей, которые собирают и хранят файлы о потребителях на общенациональной основе, как определено в 15 USC Section 1681a (p).
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу же после обнаружения нарушения
Нарушенные государственные органы должны представить письменный отчет в законодательный орган в течение 20 дней с момента обнаружения нарушения.
Медицинские организации, соблюдающие HIPAA, считаются соблюдающими этот закон, так же как и финансовые учреждения, соблюдающие Федеральные межведомственные руководящие программы по несанкционированному доступу к информации о клиентах и Уведомление о клиентах.
За каждое нарушение предусмотрены штрафы в размере до 2500 долларов США. Компании также могут нести ответственность за любой фактический ущерб, понесенный физическими лицами.

Подробнее о соответствии >>

Вернуться к началу

Айдахо

Код Айдахо 28-51-104

Принятый в 2006 году закон об уведомлении об утечке данных требует, чтобы организации, ведущие бизнес в Айдахо и владеющие компьютеризированной личной информацией жителей Айдахо или лицензирующие ее, уведомляли затронутых лиц о незаконном получении незашифрованных компьютеризированных данных, которые существенно ставят под угрозу безопасность. конфиденциальность или целостность личной информации.
Уведомление должно быть сделано в наиболее целесообразный срок и без необоснованной задержки, в соответствии с любыми мерами, необходимыми для определения объема нарушения, идентификации затронутых лиц и восстановления разумной целостности системы (систем) данных. Агентства штата должны проинформировать офис генерального прокурора Айдахо в течение 24 часов с момента обнаружения утечки данных.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу же после обнаружения нарушения, если злоупотребление личной информацией о жителе Айдахо имело место или разумно вероятно.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Субъекты, которые намеренно не направляют уведомление, подлежат штрафу в размере до 25 000 долларов за каждое нарушение.
Государственные служащие, умышленно раскрывающие личную информацию, подлежат штрафу в размере до 2000 долларов и / или тюремному заключению сроком до одного года.

Подробнее о соответствии >>

Вернуться к началу

Иллинойс

815 ILCS 530: Закон о защите личной информации

Принятый в 2005 году закон штата Иллинойс об уведомлении об утечке данных требует от организаций, которые владеют или лицензируют личную информацию, касающуюся жителей Иллинойса, уведомлять затронутых лиц о любом несанкционированном получении их незашифрованной и неотредактированной личной информации.
Уведомление должно быть сделано в наиболее подходящий срок и без необоснованной задержки.
Взломанные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу после обнаружения.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Государственные агентства, которые собирают личную информацию, должны представить письменный отчет Генеральной Ассамблее в течение пяти рабочих дней с момента обнаружения нарушения или уведомления о нем.

Подробнее о соответствии >>

Вернуться к началу

Индиана

Кодекс Индии, §§ 4-1-11 и след., 24-4.9 и след.

Принятый в 2005 году закон штата Индиана об уведомлении об утечке данных требует, чтобы организации, владеющие компьютеризированной личной информацией или лицензирующие ее, уведомляли жителей Индианы о любом несанкционированном получении их незашифрованной или неотредактированной личной информации, если это может привести к краже личных данных или мошенничеству.
Уведомление должно быть сделано без необоснованной задержки. Владельцы баз данных также должны сообщить о нарушении Генеральному прокурору.
Если более 1000 человек должны быть уведомлены о нарушении, нарушенные организации должны также проинформировать все агентства по информированию потребителей, которые собирают и хранят файлы о потребителях на общенациональной основе, как определено в 15 USC Section 1681a (p).
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Организации, соблюдающие HIPAA, GLBA, Закон США PATRIOT Act и другие названные законы, считаются соблюдающими этот закон.
Сознательное или преднамеренное несоблюдение обязательств по обслуживанию базы данных подлежит иску только Генеральным прокурором штата со штрафом до 150 000 долларов за нарушение.

Подробнее о соответствии >>

Вернуться к началу

Айова

Код Айовы 715C.1

Принятый в 2008 году закон штата Айова об уведомлении об утечке данных требует, чтобы организации, владеющие компьютеризированной личной информацией о резидентах Айовы или лицензирующие ее, уведомляли затронутых лиц о любом несанкционированном получении их незашифрованной и неотредактированной личной информации.
Уведомление должно быть сделано как можно быстрее и без необоснованной задержки.
Если более 500 человек должны быть уведомлены о нарушении, нарушенные организации также должны уведомить директора отдела защиты потребителей Генеральной прокуратуры в течение пяти дней с момента направления уведомления затронутым лицам.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов.
Уведомление не требуется, если после соответствующего расследования или консультации с соответствующими государственными органами организация определяет отсутствие разумной вероятности финансового ущерба пострадавшим лицам, возникшего или возникшего в результате нарушения.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Организации, соблюдающие GLBA, и те, которые соответствуют требованиям об уведомлении, которые обеспечивают большую защиту личной информации, считаются соблюдающими этот закон.

Подробнее о соответствии >>

Вернуться к началу

Канзас

Закон Канзаса 50-7a01

Закон Канзаса об уведомлении об утечке данных, принятый в 2006 году, требует, чтобы организации, ведущие бизнес в Канзасе и владеющие компьютеризированной личной информацией или лицензирующие ее, уведомляли жителей Канзаса о любом несанкционированном получении их незашифрованной и неотредактированной личной информации.
Уведомление должно быть направлено без необоснованной задержки. Уведомление не требуется, если в результате добросовестного, разумного и своевременного расследования будет установлено, что личная информация не использовалась и не будет использоваться неправомерно.
Если более 1000 человек должны быть уведомлены о нарушении, нарушенные организации должны также проинформировать все агентства по информированию потребителей, которые собирают и хранят файлы о потребителях на общенациональной основе, как определено в 15 USC Section 1681a (p).
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов после обнаружения нарушения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.

Подробнее о соответствии >>

Вернуться к началу

Кентукки

KY Rev.Стат. §365.732

Принятый в 2014 году закон штата Кентукки об уведомлении об утечке данных требует, чтобы организации, ведущие свою деятельность в Кентукки, уведомляли жителей Кентукки о любом несанкционированном получении их незашифрованной личной информации.
Уведомление должно быть сделано без необоснованной задержки.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных, как только это станет практически возможным, после обнаружения нарушения.
Если более 1000 человек должны быть уведомлены о нарушении, взломанные организации также должны уведомить все агентства по информированию потребителей, которые собирают и поддерживают файлы о потребителях на общенациональной основе, как определено в 15 USC Section 1681a (p).
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Юридические лица, соответствующие требованиям GLBA, HIPAA или иного указанного законодательства, считаются соблюдающими этот закон.

Подробнее о соответствии >>

Вернуться к началу

Луизиана

Пересмотренный Статут штата Луизиана 51: 3071 и Административный кодекс Луизианы (Раздел 16, Часть III, Глава 7, Раздел 701)

Принятый в 2005 году закон Луизианы об уведомлении об утечке данных требует, чтобы организации, ведущие бизнес в Луизиане или владеющие компьютеризированной личной информацией жителей Луизианы или лицензирующие ее, уведомляли затронутых лиц о любом несанкционированном получении их незашифрованной и неотредактированной личной информации.
Уведомление должно быть направлено без необоснованной задержки, но не позднее, чем через 60 дней после обнаружения нарушения.
Уведомление не требуется, если расследование определяет отсутствие разумной вероятности причинения вреда пострадавшим лицам.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов, если личная информация была или есть основания полагать, что она была получена неуполномоченным лицом.
Если требуется уведомление жителей Луизианы, письменное уведомление также должно быть направлено в Отдел защиты потребителей Генеральной прокуратуры.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Организации, соблюдающие Федеральные межведомственные программы реагирования на несанкционированный доступ к информации для потребителей и Уведомления для клиентов, считаются соблюдающими этот закон.
Нарушенные организации, которые не уведомили генерального прокурора в течение 10 дней после уведомления затронутых лиц, могут быть оштрафованы на сумму до 5000 долларов в день. Также могут быть возбуждены гражданские иски о взыскании фактического ущерба.

Подробнее о соответствии >>

Вернуться к началу

Мэн

10 Me. Rev. Stat. § 1346 и последующие

Принятый в 2005 году закон штата Мэн об уведомлении об утечке данных требует, чтобы организации, которые хранят компьютеризированную личную информацию, касающуюся жителей штата Мэн, уведомляли затронутых лиц о несанкционированном получении их незашифрованной и неотредактированной личной информации.
Уведомление должно быть сделано без необоснованной задержки. Соответствующие государственные регулирующие органы или генеральный прокурор штата также должны быть проинформированы.
Уведомление не требуется, если организация проводит расследование, которое определяет отсутствие разумной вероятности неправомерного использования личной информации.
Если более 1000 человек должны быть уведомлены о нарушении, взломанные организации также должны уведомить все агентства по информированию потребителей, которые собирают и поддерживают файлы о потребителях на общенациональной основе, как определено в 15 USC Section 1681a (p).
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Предусмотрены гражданские штрафы в размере 500 долларов за нарушение, но не более 2500 долларов в день.

Подробнее о соответствии >>

Вернуться к началу

Мэриленд

Торговый код Мэриленда 14-3501

Принятый в 2007 году закон штата Мэриленд об уведомлении об утечке данных требует, чтобы организации, которые владеют компьютеризированной личной информацией, касающейся жителей Мэриленда, или лицензируют ее, уведомлять затронутых лиц о несанкционированном получении их незашифрованной и неотредактированной личной информации, если расследование установит, что существует разумная вероятность такой личной информации. информация используется не по назначению.
Уведомление должно быть сделано как можно скорее, но не позднее, чем через 45 дней после любого внутреннего расследования.
Генеральная прокуратура должна быть уведомлена до пострадавших лиц.
Если необходимо уведомить более 1000 человек, взломанные организации также должны уведомить все агентства по информированию потребителей, которые собирают и поддерживают файлы о потребителях на общенациональной основе, как определено в 15 USC Section 1681a (p).
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов, если есть вероятность, что нарушение привело или приведет к неправомерному использованию личной информации жителя Мэриленда.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Организации, соблюдающие GLBA или соответствующие федеральные или государственные постановления, считаются соблюдающими этот закон.

Подробнее о соответствии >>

Вернуться к началу

Массачусетс

Общие законы штата Массачусетс 93H, раздел 1

Закон штата Массачусетс об уведомлении о взломе данных, принятый в 2007 году, требует, чтобы организации, которые владеют, лицензируют, поддерживают или хранят личную информацию жителей Массачусетса, уведомляли их о несанкционированном получении или использовании незашифрованных / расшифрованных данных, что создает существенный риск мошенничества с использованием личных данных или кража.
Уведомление должно быть направлено без необоснованной задержки, если организация знает или имеет основания знать о нарушении.
Нарушенные организации также должны проинформировать генерального прокурора и директора по делам потребителей и регулированию бизнеса, которые затем передадут любую соответствующую информацию агентствам по информированию потребителей и государственным агентствам.
Нарушенные третьи стороны должны уведомить и сотрудничать с соответствующими владельцами данных или лицензиатами без необоснованной задержки
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Юридические лица, которые соблюдают соответствующие государственные или федеральные постановления, считаются соблюдающими этот закон.

Подробнее о соответствии >>

Вернуться к началу

Мичиган

Mich. Comp. Законы §§ 445.63, 445.72

Принятый в 2006 году закон штата Мичиган об уведомлении об утечке данных требует от любой организации, которая владеет или лицензирует личную информацию жителей штата Мичиган, уведомлять затронутых лиц о несанкционированном получении их незашифрованной и неотредактированной личной информации.
Уведомление должно быть направлено без необоснованной задержки, если нарушенная организация не решит, что нарушение безопасности не приведет к значительным убыткам или травмам или не приведет к краже личных данных в отношении одного или нескольких жителей Мичигана.
достигнутые третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов.
Если необходимо уведомить более 1000 человек, взломанные организации также должны уведомить все агентства по информированию потребителей, которые собирают и поддерживают файлы о потребителях на общенациональной основе, как определено в 15 USC Section 1681a (p), если только они не подпадают под действие Раздела V GLBA.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Ложное уведомление с намерением обмана является уголовным правонарушением, наказуемым денежным штрафом или тюремным заключением.
Непредоставление надлежащего уведомления также может повлечь за собой гражданский штраф в размере до 250 долларов за нарушение, вплоть до максимального штрафа в 750 000 долларов за нарушение.
Субъекты, соблюдающие Федеральные межведомственные программы реагирования на несанкционированный доступ к информации для потребителей и уведомлениям клиентов, а также субъекты, на которые распространяется действие HIPAA, считаются соблюдающими этот закон.

Подробнее о соответствии >>

Вернуться к началу

Миннесота

Статут Миннесоты 325E.61

Принятый в 2005 году закон Миннесоты об уведомлении об утечке данных требует от организаций, ведущих бизнес в Миннесоте и владеющих или лицензирующих личную информацию, уведомлять жителей Миннесоты о любом несанкционированном получении их незашифрованной личной информации.
Уведомление должно быть направлено без необоснованной задержки
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу же после обнаружения нарушения
Если необходимо уведомить более 500 человек, взломанные организации также должны уведомить все агентства по работе с потребителями, которые собирают и поддерживают файлы о потребителях на общенациональной основе, как определено в 15 USC Section 1681a, в течение 48 часов.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой. Организации, подпадающие под действие закона HIPAA, считаются соблюдающими этот закон.

Подробнее о соответствии >>

Вернуться к началу

Миссисипи

Миссисипи Код 75-24-29

Принятый в 2010 году закон Миссисипи об уведомлении об утечке данных требует, чтобы организации, ведущие бизнес в Миссисипи и владеющие, лицензирующие или поддерживающие личную информацию жителей Миссисипи, уведомляли затронутых лиц о несанкционированном получении их незащищенной личной информации.
Уведомление должно быть направлено без необоснованной задержки при условии завершения соответствующего расследования.
Уведомление не требуется, если в ходе расследования выясняется, что у пострадавших нет разумной вероятности причинить вред в результате потери информации.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов как можно скорее после обнаружения нарушения. Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Субъекты, которые соблюдают федеральные правила о нарушениях, считаются соблюдающими этот закон.

Подробнее о соответствии >>

Вернуться к началу

Миссури

Пересмотренные законодательные акты штата Миссури 407.1500

Принятый в 2009 году закон штата Миссури об уведомлении об утечке данных требует от организаций, которые владеют или лицензируют личную информацию жителей Миссури, уведомлять их о любом несанкционированном получении их незашифрованной или неотредактированной личной информации
Уведомление должно быть направлено без необоснованной задержки после обнаружения нарушения.
Уведомление не требуется, если после соответствующего расследования или консультации с соответствующими государственными органами организация определяет, что разумная вероятность кражи личных данных или мошенничества отсутствует. Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу же после обнаружения нарушения.
Если необходимо уведомить более 1000 человек, взломанные организации также должны уведомить Генеральную прокуратуру и все агентства по информированию потребителей, которые собирают и хранят файлы о потребителях на общенациональной основе, как определено в 15 USC Section 1681a (p).
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Субъекты, соответствующие другим законам штата или федеральным законам, касающимся безопасности данных, считаются соблюдающими этот закон, как и финансовые учреждения, подпадающие под действие другого соответствующего законодательства, включая GLBA.

Подробнее о соответствии >>

Вернуться к началу

Монтана

Монтана Код 30-14-1704

Принятый в 2006 году закон штата Монтана об уведомлении об утечке данных требует, чтобы организации, ведущие бизнес в Монтане и владеющие компьютеризированной личной информацией или лицензирующие ее, уведомляли жителей Монтаны о любом несанкционированном получении их незашифрованной личной информации.
Уведомление должно быть сделано без необоснованной задержки. Электронная копия уведомления вместе с подтверждающей информацией также должна быть отправлена в Генеральную прокуратуру по защите прав потребителей.
Взломанные организации должны при необходимости согласовывать уведомление с агентствами по информированию потребителей.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу же после обнаружения нарушения.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.

Подробнее о соответствии >>

Вернуться к началу

Небраска

Пересмотренные законодательные акты штата Небраска 87-801

Принятый в 2006 году закон штата Небраска об уведомлении об утечке данных требует от организаций, которые ведут бизнес в Небраске и владеют компьютеризированной личной информацией жителей Небраски или лицензируют ее, сообщать затронутым лицам о любом несанкционированном получении незашифрованной личной информации.
Уведомление должно быть направлено без необоснованной задержки, если в результате расследования не будет установлено, что личная информация будет использоваться в несанкционированных целях маловероятно.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов и сотрудничать с ними, когда им станет известно о нарушении.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Юридические лица, которые поддерживают процедуры безопасности в соответствии с другими законами штата или федеральными законами, считаются соблюдающими этот закон.

Подробнее о соответствии >>

Вернуться к началу

Невада

Пересмотренные законодательные акты Невады 603A.010

Принятый в 2005 году закон штата Невада об уведомлении об утечке данных требует от организаций, которые владеют компьютеризированной личной информацией или лицензируют ее, сообщать жителям Невады о любом несанкционированном получении их незашифрованной личной информации.
Уведомление должно быть направлено без необоснованной задержки
Если необходимо уведомить более 1000 человек, взломанные организации также должны уведомить все агентства, сообщающие о потребителях.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу после обнаружения нарушения.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.

Подробнее о соответствии >>

Вернуться к началу

Нью-Гэмпшир

Пересмотренный закон штата Нью-Гэмпшир 359-C: 20

Принятый в 2006 году закон штата Нью-Гэмпшир об уведомлении об утечке данных требует, чтобы организации, ведущие бизнес в Нью-Гэмпшире, которые владеют или лицензируют компьютеризированную личную информацию, уведомляли затронутых лиц о любом несанкционированном получении личной информации, когда злоупотребление информацией имело место или с большой вероятностью может произойти. .
Уведомление должно быть сделано как можно скорее.
Организации, занимающиеся торговлей или коммерцией в Нью-Гэмпшире, должны уведомить соответствующий регулирующий орган; все другие организации должны сообщить об этом Генеральному прокурору.
Нарушенные третьи стороны должны уведомить и сотрудничать с соответствующими владельцами данных или лицензиатами сразу после обнаружения нарушения.
Если более 1000 человек должны быть уведомлены о нарушении, нарушенные организации должны также уведомить все агентства по информированию потребителей, которые собирают и поддерживают файлы о потребителях на общенациональной основе, как определено в 15 USC Section 1681a (p), если только они не подпадают под действие Раздел V GLBA.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с другими законами штата или федеральными законами, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.

Подробнее о соответствии >>

Вернуться к началу

Нью-Джерси

Закон штата Нью-Джерси 56: 8-163: Закон о предотвращении кражи личных данных

Принятый в 2005 году закон штата Нью-Джерси об уведомлении о нарушении данных требует, чтобы любая организация, которая собирает или хранит компьютеризированную личную информацию, уведомляла затронутых лиц о несанкционированном доступе к незашифрованной или незащищенной личной информации.
Уведомление должно быть направлено без необоснованной задержки, если только организация не решит, что неправомерное использование личной информации невозможно. Раскрытие информации не требуется, если организация устанавливает, что неправомерное использование информации невозможно.
До раскрытия информации организация должна сообщить о нарушении в Отдел государственной полиции Департамента права и общественной безопасности для расследования или рассмотрения, которое может включать распространение или передачу в другие соответствующие правоохранительные органы.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу же после обнаружения нарушения.
Если необходимо уведомить более 1000 человек, взломанные организации также должны уведомить все агентства по информированию потребителей, которые собирают и поддерживают файлы о потребителях на общенациональной основе, как определено в 15 USC Section 1681a.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.

Подробнее о соответствии >>

Вернуться к началу

Нью-Мексико

Закон штата Нью-Мексико о защите данных — HB 15

Принятый в 2017 году закон штата Нью-Мексико об уведомлении об утечке данных требует, чтобы организации, которые владеют или лицензируют личную информацию резидента Нью-Мексико, уведомляли затронутых лиц о любом несанкционированном получении незашифрованных / расшифрованных компьютеризированных данных.
Уведомление должно быть сделано не позднее 45 календарных дней после обнаружения нарушения. Нарушенные третьи стороны также должны уведомить соответствующих владельцев данных или лицензиатов в течение 45 дней.
Если уведомление должно быть направлено более чем 1 000 жителей Нью-Мексико, уведомление должно быть также направлено генеральному прокурору и всем агентствам по информированию потребителей, которые собирают и хранят файлы о потребителях по всей стране. Уведомление должно включать количество пострадавших жителей Нью-Мексико и копию уведомления, которое было отправлено пострадавшим жителям.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Организации освобождаются от требований законодательства, если они соблюдают Закон Грэмма-Лича-Блайли или Закон о переносимости и подотчетности медицинского страхования (HIPAA).

Подробнее о соответствии >>

Вернуться к началу

Нью-Йорк

Общий деловой закон штата Нью-Йорк 899-aa и Закон штата о технологиях 208

Принятый в 2005 году закон Нью-Йорка об уведомлении об утечке данных требует, чтобы организации, ведущие бизнес в Нью-Йорке и владеющие компьютеризированной частной информацией или лицензирующие ее, уведомляли жителей Нью-Йорка о любом несанкционированном получении их компьютеризированной личной информации.
Уведомление должно быть сделано без необоснованной задержки.Также необходимо уведомить генерального прокурора, Департамент защиты прав потребителей, Управление государственной полиции штата Нью-Йорк и Управление информационных технологий.
Если необходимо уведомить более 5000 жителей Нью-Йорка, взломанные организации также должны уведомить агентства по информированию потребителей.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу после обнаружения нарушения.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.

Подробнее о соответствии >>

Вернуться к началу

Северная Каролина

Общие статуты Северной Каролины 75-61 и 75-65

Принятый в 2005 году закон Северной Каролины об уведомлении о нарушении данных требует, чтобы организации, которые владеют или лицензируют личную информацию жителей Северной Каролины, сообщали им о несанкционированном получении их незашифрованной и неотредактированной личной информации, когда незаконное использование личной информации имело место или обоснованно. может произойти или создает материальный риск причинения вреда потребителю.
Уведомление должно быть сделано без необоснованной задержки. Уведомление также необходимо направить в Отдел защиты прав потребителей Генеральной прокуратуры штата.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу же после обнаружения нарушения.
Если необходимо уведомить более 1000 жителей Северной Каролины, взломанные организации должны также уведомить все агентства по информированию потребителей, которые собирают и поддерживают файлы о потребителях на общенациональной основе, как определено в 15 USC Section 1681a (p).
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Финансовые учреждения, соответствующие Федеральным межведомственным программам реагирования на несанкционированный доступ к информации о потребителях и уведомлениям для клиентов, считаются соблюдающими этот закон.

Подробнее о соответствии >>

Вернуться к началу

Северная Дакота

Северная Дакота. Код столетия 51-30-01

Принятый в 2005 году закон Северной Дакоты об уведомлении об утечке данных требует, чтобы организации, ведущие бизнес в Северной Дакоте и владеющие компьютеризированной личной информацией или лицензирующие ее, уведомляли затронутых лиц о любом несанкционированном получении их незашифрованной личной информации.
Уведомление должно быть сделано без необоснованной задержки. Генеральный прокурор должен быть уведомлен, если затронуты более 250 жителей Северной Дакоты.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу же после обнаружения нарушения.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Финансовые учреждения, соблюдающие Федеральные межведомственные программы реагирования на несанкционированный доступ к информации для потребителей и уведомлениям клиентов, а также организации, подпадающие под действие раздела 45 Свода федеральных нормативных актов, подраздел D, часть 164, считаются соблюдающими этот закон.

Подробнее о соответствии >>

Вернуться к началу

Огайо

Пересмотренный кодекс штата Огайо 1349.19

Принятый в 2005 году закон штата Огайо об уведомлении об утечке данных требует, чтобы организации, ведущие бизнес в Огайо и владеющие компьютеризированной личной информацией или лицензирующие ее, уведомляли жителей Огайо о любых нарушениях данных, которые приводят или могут привести к несанкционированному доступу и получению их незашифрованных данных. или неотредактированная личная информация, которая может вызвать риск кражи личных данных или мошенничества.
Уведомление должно быть сделано в наиболее удобное время, не позднее чем через 45 дней после обнаружения нарушения или уведомления о нем. Нарушенные третьи стороны также должны уведомить соответствующих владельцев данных или лицензиатов.
Если более 1000 человек должны быть уведомлены о нарушении, взломанные организации должны также уведомить все агентства по информированию потребителей, которые собирают и поддерживают файлы о потребителях на общенациональной основе, если только они не подпадают под действие HIPAA.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Финансовые учреждения, соответствующие Федеральным межведомственным программам реагирования на несанкционированный доступ к информации о потребителях и уведомлениям для клиентов, считаются соблюдающими этот закон.

Подробнее о соответствии >>

Вернуться к началу

Оклахома

24 Okla. Stat. § 161 и след.

Принятый в 2008 году закон штата Оклахома об уведомлении о нарушении данных требует, чтобы организации, которые владеют компьютеризированной личной информацией жителей Оклахомы или лицензируют ее, уведомляли их о любом нарушении данных, которое приводит к несанкционированному доступу и получению их незашифрованной или неотредактированной личной информации, которая может вызвать риск кражи личных данных или мошенничества.
Уведомление должно быть сделано без необоснованной задержки.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов как можно скорее.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Финансовые учреждения, соответствующие Федеральным межведомственным программам реагирования на несанкционированный доступ к информации о потребителях и уведомлениям клиентов, считаются соблюдающими этот закон, как и организации, которые соблюдают соответствующие требования федеральных регулирующих органов об уведомлении.
Генеральный прокурор штата или окружной прокурор может получить фактический ущерб за нарушение этого закона или гражданский штраф в размере до 150 000 долларов за нарушение.

Подробнее о соответствии >>

Вернуться к началу

Орегон

Пересмотренный закон штата Орегон 646A.600: Закон штата Орегон о защите от кражи личных данных

Принятый в 2007 году закон штата Орегон об уведомлении об утечке данных требует, чтобы организации, которые владеют, лицензируют или владеют личной информацией, используемой в ходе ее деятельности, уведомляли затронутых лиц о любом несанкционированном получении незашифрованной или неотредактированной личной информации.
Уведомление должно быть сделано максимально оперативным образом и без необоснованной задержки не позднее, чем через 45 дней после обнаружения или получения уведомления о нарушении.По крайней мере, одна копия уведомления должна быть отправлена Генеральному прокурору или другому основному регулирующему органу.
Если необходимо уведомить более 250 человек, нарушенные организации также должны уведомить Генерального прокурора таким же образом, как и потребители.
Если необходимо уведомить более 1000 человек, взломанные организации должны также уведомить все агентства по работе с клиентами, которые собирают и хранят файлы о потребителях по всей стране.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов как можно скорее после обнаружения нарушения.
Уведомление не требуется, если в результате расследования или консультации с соответствующими органами установлено, что потерянная информация вряд ли пострадает от потери информации.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые соответствуют требованиям GLBA, требованиям к уведомлению своих федеральных регулирующих органов или законам штата или федеральным законам, которые обеспечивают более надежную защиту личной информации, считаются соблюдающими этот закон.

Подробнее о соответствии >>

Вернуться к началу

Пенсильвания

Закон

Пенсильвании 73-2301: Нарушение Закона об уведомлении о личной информации

Принятый в 2006 году закон штата Пенсильвания об уведомлении об утечке данных требует, чтобы организации, ведущие бизнес в Пенсильвании, которые обслуживают, хранят или управляют компьютеризированной личной информацией жителей Пенсильвании, уведомляли затронутых лиц о любых нарушениях данных, которые приводят или могут привести к несанкционированному получению их незашифрованных данных. и неотредактированная личная информация.
Уведомление должно быть направлено без необоснованной задержки
Если необходимо уведомить более 1000 человек, взломанные организации должны также уведомить все агентства по работе с клиентами, которые собирают и хранят файлы о потребителях по всей стране.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Финансовые учреждения, соответствующие Федеральным межведомственным программам реагирования на несанкционированный доступ к информации о потребителях и уведомлениям клиентов, считаются соблюдающими этот закон, как и организации, которые соблюдают соответствующие требования федеральных регулирующих органов об уведомлении.

Подробнее о соответствии >>

Вернуться к началу

Род-Айленд

Общие законы штата Род-Айленд 11-49.3

Принятый в 2006 году закон штата Род-Айленд об уведомлении о нарушении данных требует, чтобы организации, которые хранят, владеют, собирают, обрабатывают, поддерживают, приобретают, используют или лицензируют личную информацию, уведомляли жителей Род-Айленда о любом несанкционированном доступе или получении их незашифрованной личной информации, которая представляет собой значительный риск кражи личных данных.
Уведомление должно быть сделано в наиболее удобное время, но не позднее 45 календарных дней после подтверждения нарушения.
Если необходимо уведомить более 500 жителей Род-Айленда, необходимо уведомить генерального прокурора, а также основные агентства кредитной информации.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Финансовые учреждения, соответствующие Федеральным межведомственным программам реагирования на несанкционированный доступ к информации о потребителях и уведомлениям клиентов, считаются соответствующими этому закону, как и организации, покрытые HIPAA, и организации, которые соблюдают соответствующие требования к уведомлению федеральных регулирующих органов.

Подробнее о соответствии >>

Вернуться к началу

Южная Каролина

Южная Каролина Код 39-1-90

Принятый в 2008 году закон Южной Каролины об уведомлении об утечке данных требует, чтобы организации, ведущие бизнес в Южной Каролине и владеющие компьютеризированной личной информацией или лицензирующие ее, уведомляли жителей Южной Каролины о несанкционированном доступе и получении незашифрованной или неотредактированной личной информации в случае незаконного использования. информации создает материальный риск причинения вреда.
Уведомление должно быть сделано без необоснованной задержки.
Если необходимо уведомить более 1000 человек, взломанные организации должны уведомить Отдел защиты потребителей Департамента по делам потребителей и все агентства по информированию потребителей, которые собирают и хранят файлы о потребителях по всей стране.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу же после обнаружения нарушения.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Финансовые организации, соответствующие требованиям GLBA, считаются соблюдающими этот закон, так же как и те, которые соответствуют Федеральным межведомственным программам реагирования на несанкционированный доступ к информации для потребителей и уведомлениям о клиентах.
Департамент по делам потребителей может наложить административные штрафы в размере до 1000 долларов на каждого пострадавшего жителя Южной Каролины для организаций, которые сознательно и умышленно нарушают этот закон.

Подробнее о соответствии >>

Вернуться к началу

Южная Дакота

Законопроект Сената Южной Дакоты 62

Принятый в 2018 году закон Южной Дакоты об уведомлении об утечке данных требует, чтобы организации, ведущие бизнес в Южной Дакоте и владеющие компьютеризированной личной информацией жителей Южной Дакоты или лицензирующие ее, уведомляли затронутых лиц о несанкционированном получении их незашифрованной личной информации.
Уведомление должно быть сделано в течение 60 дней с момента обнаружения нарушения. Агентства по отчетности потребителей и любые кредитные бюро должны быть уведомлены без необоснованной задержки.
Если необходимо уведомить более 250 жителей Южной Дакоты, нарушенные организации также должны уведомить Генерального прокурора.
Уведомление не требуется, если после соответствующего расследования и уведомления генерального прокурора организация обоснованно полагает, что нарушение не нанесет вреда пострадавшим лицам.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, соблюдающие соответствующие федеральные нормы и правила штата, HIPAA или GLBA, считаются соблюдающими этот закон.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Финансовые организации, соответствующие требованиям GLBA, считаются соблюдающими этот закон, так же как и те, которые соответствуют Федеральным межведомственным программам реагирования на несанкционированный доступ к информации для потребителей и уведомлениям о клиентах.
Генеральный прокурор имеет право налагать штрафы до 10 000 долларов в день за каждое нарушение.

Подробнее о соответствии >>

Вернуться к началу

Теннесси

Код Теннесси 47-18-2107

Принятый в 2005 году закон штата Теннесси об уведомлении об утечке данных требует, чтобы организации, ведущие бизнес в Теннесси и владеющие компьютеризированной личной информацией или лицензирующие ее, уведомляли жителей Теннесси о несанкционированном получении их незашифрованной личной информации.
Уведомление должно быть сделано немедленно, но не позднее, чем через 45 дней после обнаружения нарушения или уведомления о нем. Нарушенные третьи стороны также должны уведомить соответствующих владельцев данных или лицензиатов в течение 45 дней.
Если необходимо уведомить более 1000 человек, взломанные организации должны уведомить все агентства по информированию потребителей, которые собирают и хранят файлы о потребителях по всей стране.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Юридические лица, подпадающие под действие положений Раздела V Закона GLBA, считаются соблюдающими этот закон.

Подробнее о соответствии >>

Вернуться к началу

Техас

Кодекс коммерции и бизнеса Техаса 521.002 и 521.053

Принятый в 2007 году закон Техаса об уведомлении об утечке данных требует, чтобы организации, ведущие бизнес в Техасе и владеющие компьютеризированной личной информацией или лицензирующие ее, уведомляли затронутых лиц о несанкционированном получении их личной информации.
Уведомление должно быть сделано как можно быстрее.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу после обнаружения нарушения.
Если необходимо уведомить более 10 000 человек, взломанные организации должны также уведомить все агентства по информированию потребителей, которые собирают и хранят файлы о потребителях по всей стране.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Генеральный прокурор уполномочен применять гражданские штрафы в размере не менее 2 000 долларов США, но не более 50 000 долларов США за каждое нарушение.Гражданские штрафы за несоблюдение требований об уведомлении составляют 100 долларов США на человека, которому необходимо уведомить, в день, но не более 250 000 долларов за нарушение.

Подробнее о соответствии >>

Вернуться к началу

Юта

Код Юты 13-44-101, 13-44-202 и 13-44-301: Закон о защите личной информации

Принятый в 2006 году закон штата Юта об уведомлении об утечке данных требует, чтобы организации, владеющие компьютеризированной личной информацией, касающейся жителей Юты, или лицензирующие ее, уведомляли их о несанкционированном получении их личной информации.
Уведомление должно быть направлено без необоснованной задержки, но уведомление не требуется, если разумное расследование определяет маловероятно, что личная информация была или будет использована неправомерно для кражи личных данных или мошенничества.
Нарушенные третьи стороны должны уведомить и сотрудничать с соответствующими владельцами данных или лицензиатами сразу же после обнаружения нарушения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Гражданско-правовые санкции включают штрафы в размере не более 2 500 долларов США за нарушение (я) в отношении конкретного потребителя и не более 100 000 долларов США в совокупности за связанные нарушения, касающиеся более чем одного потребителя.

Подробнее о соответствии >>

Вернуться к началу

Вермонт

Уставы штата Вермонт, аннотированные 9-2430 и 2435

Принятый в 2006 году закон штата Вермонт об уведомлении об утечке данных требует от юридических лиц, которые владеют компьютеризированной личной информацией, касающейся лиц, проживающих в Вермонте, или лицензируют ее, уведомлять их о несанкционированном получении их личной информации.
Уведомление должно быть направлено без необоснованной задержки не позднее, чем через 45 дней после обнаружения нарушения или уведомления о нем.
Генеральный прокурор или Департамент финансового регулирования должны быть уведомлены о любом нарушении в течение 14 дней с момента его обнаружения или даты уведомления затронутых лиц.
Уведомление не требуется, если организация устанавливает, что неправомерное использование личной информации не является разумно возможным, и организация предоставляет это определение вместе с подробным объяснением этого решения Генеральному прокурору или Департаменту банковского дела, страхования, ценных бумаг и Управление здравоохранения.
Если необходимо уведомить более 1000 жителей Вермонта, взломанные организации также должны уведомить все агентства по информированию потребителей, которые собирают и хранят файлы о потребителях на общенациональной основе.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу после обнаружения нарушения.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Финансовые учреждения, соответствующие Федеральным межведомственным программам реагирования на несанкционированный доступ к информации о потребителях и уведомлениям клиентов, считаются соответствующими этому закону, как и те, на которые распространяется Заключительное руководство Национального управления кредитных союзов по программам реагирования на несанкционированный доступ к участникам. Информация и уведомление для участников.

Подробнее о соответствии >>

Вернуться к началу

Вирджиния

Код Вирджинии 18.2-186.6 и 32.1-127.1: 05

Закон об уведомлении об утечке данных, принятый в Вирджинии в 2008 году, требует, чтобы организации, которые владеют компьютеризированной личной информацией или лицензируют ее, уведомляли жителей Вирджинии о любом несанкционированном получении их незашифрованной и неотредактированной личной информации, которое может привести к краже личных данных или мошенничеству.
Уведомление должно быть сделано без необоснованной задержки.Также необходимо уведомить генерального прокурора.
Если речь идет о медицинской информации, необходимо также уведомить Уполномоченного по здравоохранению.
Если необходимо уведомить более 1000 человек, нарушенные организации также должны уведомить все агентства по информированию потребителей и генерального прокурора об уведомлении.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов без необоснованной задержки после обнаружения нарушения.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Субъекты, которые соблюдают HIPAA, GLBA или соответствующие федеральные или государственные постановления, также считаются соответствующими этому закону.
Генеральный прокурор может наложить гражданский штраф в размере не более 150 000 долларов за каждое нарушение, обнаруженное в ходе одного расследования.(Это положение не применяется к утечкам информации о здоровье.)

Подробнее о соответствии >>

Вернуться к началу

Вашингтон

Вашингтонский пересмотренный кодекс 19.255.010

Закон Вашингтона об уведомлении об утечке данных, принятый в 2005 году, требует от организаций, которые владеют или лицензируют личную информацию, уведомлять жителей Вашингтона о несанкционированном получении незащищенной личной информации.
Уведомление должно быть направлено без необоснованной задержки не позднее, чем через 45 календарных дней после обнаружения нарушения.
Уведомление не требуется, если нарушение не имеет достаточной вероятности подвергнуть потребителей риску причинения вреда.
Если необходимо уведомить более 500 жителей Вашингтона, организация должна также отправить в электронном виде образец уведомления о нарушении Генеральному прокурору вместе с количеством потребителей штата Вашингтон, пострадавших от нарушения. Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов сразу же после обнаружения нарушения.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Организации, на которые распространяется действие HIPAA, и организации, которые поддерживают свои собственные процедуры уведомления, считаются соответствующими требованиям настоящего закона об уведомлении.

Подробнее о соответствии >>

Вернуться к началу

Западная Вирджиния

Западная Вирджиния Код 46A-2A-101

Закон Западной Вирджинии об уведомлении о взломе данных, принятый в 2008 году, требует, чтобы организации, которые владеют компьютеризированной личной информацией или лицензируют ее, должны информировать жителей Западной Вирджинии о несанкционированном доступе и получении их незашифрованной и неотредактированной личной информации, которая может привести к краже личных данных или мошенничеству.
Уведомление должно быть сделано без необоснованной задержки.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов как можно скорее после обнаружения нарушения.
Если необходимо уведомить более 1000 человек, взломанные организации также должны уведомить все агентства, сообщающие о потребителях.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, которые поддерживают свои собственные процедуры уведомления в рамках политики информационной безопасности в соответствии с законодательством штата, считаются соответствующими требованиям настоящего закона в отношении уведомлений, если субъект направляет уведомления в соответствии со своей политикой.
Финансовые учреждения, соответствующие Федеральным межведомственным программам реагирования на несанкционированный доступ к информации о потребителях и Уведомлениям о клиентах, считаются соблюдающими этот закон, как и те, которые соответствуют соответствующим нормативным актам.

Подробнее о соответствии >>

Вернуться к началу

Висконсин

Статуты штата Висконсин 134.98

Принятый в 2006 году закон штата Висконсин об уведомлении о нарушении данных требует от организаций, которые хранят или лицензируют личную информацию в Висконсине, прилагать разумные усилия для уведомления затронутых лиц о несанкционированном получении их незашифрованной и неотредактированной личной информации, если существует материальный риск кражи личных данных или мошенничество с пострадавшим.
Уведомление должно быть сделано в разумные сроки, не превышающие 45 дней после обнаружения нарушения.
Если необходимо уведомить более 1000 человек, взломанные организации должны также уведомить все агентства по работе с клиентами, которые собирают и хранят файлы о потребителях по всей стране.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов как можно скорее
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Субъекты, на которые распространяется действие HIPAA, и те, которые соответствуют Разделу V GLBA, считаются соответствующими этому закону.

Подробнее о соответствии >>

Вернуться к началу

Вайоминг

Устав штата Вайоминг 40-12-501

Закон об уведомлении о нарушении данных, принятый в 2007 году, требует, чтобы организации, ведущие бизнес в Вайоминге и владеющие или лицензирующие компьютеризированную личную информацию, касающуюся жителей Вайоминга, уведомляли затронутых лиц о любом несанкционированном получении личной информации, которое может привести к потере или травме резидента. .
Уведомление должно быть направлено без необоснованной задержки и как можно скорее после того, как расследование установит, что личная информация использовалась или имеет разумную вероятность неправомерного использования.
Нарушенные третьи стороны должны уведомить соответствующих владельцев данных или лицензиатов как можно скорее. Если нарушенные третьи стороны не соглашаются уведомить затронутых лиц, ответственность за уведомление ложится на владельца данных или лицензиата.
Замещающее уведомление разрешено в определенных обстоятельствах, и уведомление может быть отложено в целях правоприменения.
Финансовые учреждения, которые поддерживают процедуры уведомления в соответствии с некоторыми другими законами, считаются соответствующими этому закону.
Медицинские организации, соблюдающие HIPAA, считаются соблюдающими этот закон.

Подробнее о соответствии >>

Вернуться к началу

Примечание об агентствах по информированию потребителей

15 U.S.C. Раздел 1681a (p) цитируется законами многих штатов. В нем указано:

Термин «агентство по информированию потребителей, которое собирает и ведет файлы о потребителях на общенациональной основе» означает агентство по информированию потребителей, которое регулярно занимается сбором, оценкой и поддержкой с целью предоставления отчетов о потребителях третьим сторонам, имеющим отношение к кредитоспособность, кредитоспособность или кредитоспособность потребителя, каждое из следующих значений в отношении потребителей, проживающих по всей стране:

Общедоступная информация.
Информация о кредитных счетах от лиц, которые предоставляют эту информацию регулярно и в ходе обычной деятельности.

Соответствие

Соблюдение многих государственных законов об уведомлении об утечке данных может быть сложной задачей. Однако внедрение и поддержка Системы управления информационной безопасностью (СМИБ), изложенной в международном стандарте управления информационной безопасностью ISO 27001, поможет организациям достичь соответствия множеству соответствующих законодательных и нормативных требований.

Последняя версия стандарта ISO 27001: 2013 проста в использовании и разработана с учетом потребностей бизнеса. В нем представлен комплексный и логический подход к разработке, внедрению и управлению СМИБ, а также даны соответствующие рекомендации по проведению оценок рисков и применению необходимых обработок рисков. Кроме того, ISO 27001: 2013 был разработан с целью гармонизации с другими стандартами ISO, поэтому процесс аудита будет интегрированным и плавным и устранит необходимость в нескольких аудитах.

Кроме того, дополнительная внешняя проверка, продемонстрированная аккредитованной регистрацией в соответствии с ISO 27001, улучшит состояние кибербезопасности организации, одновременно обеспечивая более высокий уровень доверия клиентов и заинтересованных сторон, что важно для обеспечения определенных глобальных и государственных контрактов.

Компания

IT Governance, специалист в области информационной безопасности, создала пакетные решения ISO 27001, чтобы предоставить американским организациям онлайн-доступ к опыту мирового уровня.

Каждое решение с фиксированной ценой представляет собой комбинацию продуктов и услуг, которая позволит вам внедрить ISO 27001 со скоростью и бюджетом, соответствующими вашим индивидуальным потребностям.

Алан Колдер, основатель и исполнительный председатель отдела управления ИТ, прокомментировал: «При правильном понимании и применении ISO 27001 может помочь рационализировать расходы на безопасность и снизить влияние киберпреступности, одновременно давая бизнесу конкурентное преимущество».

что проверяют и как подготовиться

На какие документы опираться работодателю

Что проверяет Роскомнадзор

Постановка на учет

Ответственный за организацию работы с персональными данными

Внутренняя политика по персональным данным

Локальные нормативные акты

Хранение и уничтожение персональных данных

Информационные системы

Жалобы о нарушении прав субъектов персональных данных

Вместо заключения

Шпаргалка

Ответственность за разглашение персональных данных работника

Утечки персональных данных: громкие кейсы и ответственность

Штрафы GDPR с января по май 2020

Три года GDPR: самые большие штрафы на сегодняшний день

Для воспроизведения этого видео вам необходимо включить JavaScript в вашем браузере.

1.

2. H&M (35,3 млн евро / 32,1 млн фунтов стерлингов)

3. Tim — Telecom Italia (27,8 млн евро / 24 млн фунтов стерлингов)

4. British Airways (20 млн фунтов стерлингов)

5. Marriott International Hotels (18,4 млн фунтов стерлингов)

Куда уходят деньги GDPR?

Подробнее об этой истории

Крупнейшие штрафы GDPR 2021 года

20 крупнейших штрафов GDPR в 2021 году

Подробно о самых крупных штрафах в соответствии с GDPR 2021 года

1.

2. WhatsApp Ireland — штраф в размере 225 млн евро

3. Notebooksbilliger.de — штраф 10,4 млн евро

4. Почта Австрии — штраф 9,5 млн евро

5. Vodafone España — штраф в размере 8,15 млн евро

6. Caixabank SA — штраф 6 млн евро

7. Fastweb SpA — штраф 4,5 млн евро

8. Sky Italia — штраф 3,3 млн евро

9. Caixabank Payments & Consumer EFC — штраф 3 млн евро

10. Ирен Меркато — штраф 2,9 млн евро

11. Foodinho — штраф 2,6 млн евро

12. Mercadona — штраф 2,52 млн евро

13. Deliveroo Italy — штраф 2,5 евро

14. Unser Ö-Bonus Club — штраф 2 млн евро

15. SGAM AG2R La Mondiale — штраф 1,75 млн евро

16. Storstockholms Lokaltrafik — штраф 1,6 млн евро

17. EDP Energía — штраф 1,5 млн евро

18. EDP Comercializadora — штраф 1,5 млн евро

19. MedHelp — штраф 1,2 млн евро

20. Equifax Iberica — штраф в размере 1 млн евро

21. WS WiSpear Systems Ltd — штраф 925 000 евро

Что мы можем узнать из этих штрафов GDPR?

Хотите узнать больше о GDPR?

Крупнейшие штрафы GDPR 2020 года

Отсчет крупнейших штрафов GDPR в 2020 году

1. H&M — оштрафовано на 35,3 млн евро

2. ТИМ — оштрафован на 27,8 млн евро

3. British Airways

4. Marriott International Inc — оштрафован на 20 млн евро

5. Wind Tre — оштрафовано на 16,7 млн ​​евро

6. Deutsche Wohnen — оштрафован на 14,5 млн евро

7. Vodafone Italia — оштрафован на 12,25 млн евро

8. Eni Gas e Luce — оштрафована на 11,5 млн евро

Другие значительные штрафы за нарушение данных в Великобритании в 2020 году

Хотите узнать больше о GDPR?

Недавние штрафы GDPR против Amazon и WhatsApp установили новые рекорды | Epiq

Последние штрафы

Влияние на глобальную конфиденциальность

Штрафы / пени — Общий регламент по защите данных (GDPR)

Внешние ссылки

Отслеживание правоприменения и нарушений | DataGuidance

Государственных законов об уведомлении о взломе данных

50 законов штата об уведомлении об утечке данных по штату

Алабама

Аляска

Аризона

Арканзас

Калифорния

Колорадо

Коннектикут

Делавэр

Флорида

Грузия

5. Wind Tre — оштрафовано на 16,7 млн евро