Prywatność danych: koszt niewłaściwego postępowania

Opublikowany: 2022-10-12

Kiedy europejskie ogólne rozporządzenie o ochronie danych (RODO) weszło w życie w maju 2018 r., ustanowiło ono podstawę dla nowej generacji przepisów dotyczących prywatności danych, które zapewniają większą ochronę konsumentom. Podstawowe zasady, takie jak jednoznaczna zgoda, minimalizacja danych, ograniczenie celu i prawo do sprzeciwu, skutecznie wpisały w prawo ustanowione najlepsze praktyki dotyczące danych.

Od tego czasu na całym świecie przyjęto przepisy dotyczące prywatności w stylu RODO. Kalifornijska CCPA nadała kulę w Stanach Zjednoczonych, a wiele innych stanów poszło za nimi (Kolorado, Connecticut, Utah i Wirginia) lub jest w trakcie naśladowania (Michigan, New Jersey, Ohio i Pensylwania). Na całym świecie widzieliśmy również wprowadzenie LGPD w Brazylii i PIPL w Chinach, żeby wymienić tylko dwa.

Wyzwaniem stojącym obecnie przed administratorami danych i podmiotami przetwarzającymi dane jest niejednoznaczność. To znaczy, co tak naprawdę oznaczają kluczowe klauzule w tych nowych aktach prawnych? Często muszą zostać przetestowani w sądach, aby wyjaśnić ich prawdziwą intencję i ustanowić precedens prawny. Dzieje się to teraz w Europie, a praktycy z innych krajów mogą wyciągnąć wnioski z tych przypadków i zastosować odkrycia, zanim wpadną w nie w swoich krajach.

Europa walczy z prywatnością danych

W 2022 r. europejscy regulatorzy zdecydowanie szczerzyli zęby.

Clearview AI, firma zajmująca się rozpoznawaniem twarzy, została ukarana grzywną w wysokości 20 mln euro przez włoską agencję ochrony danych i kolejne 9 mln euro przez brytyjskie Biuro Komisarza ds. Informacji (ICO) za nielegalne przetwarzanie danych osobowych biometrycznych i geolokalizacyjnych.

Irlandzki regulator nałożył na Meta (Facebook) 17 mln euro za brak odpowiednich środków technicznych i organizacyjnych.

W Hiszpanii firma Google została ukarana grzywną w wysokości 10 mln euro za zmuszanie użytkowników do zaakceptowania przekazywania żądań usunięcia treści do strony trzeciej.

Ostatnio, w wyniku braku ochrony prywatności dzieci podczas korzystania z platformy, TikTok może zostać ukarany grzywną w wysokości 27 milionów funtów w związku z potencjalnym naruszeniem brytyjskich przepisów o ochronie danych.

Wspólnym tematem przewijającym się w tych sprawach są podstawowe zasady „zgodności z prawem, uczciwości i przejrzystości”, co oznacza, że ​​​​przedsiębiorstwa muszą jasno informować osoby fizyczne o tym, jak ich dane osobowe będą przetwarzane, oraz że ustanowiono odpowiednią podstawę prawną do tego.

W Wielkiej Brytanii działania egzekucyjne w 2022 r. koncentrowały się w dużej mierze na nieautoryzowanym wysyłaniu wiadomości marketingowych. Nowe przepisy dotyczące prywatności danych, takie jak RODO, wymagają podstawy prawnej — zazwyczaj zgody lub uzasadnionego interesu — do przetwarzania danych osobowych, w tym działań marketingowych.

Ostatnie przypadki* pokazują, że ten wymóg nadal nie jest jasno zrozumiany (lub jest celowo ignorowany!):

  • Finance Giant Ltd ( 60 000 GBP ): Zainicjował wysłanie potwierdzonych łącznie 505 759 niechcianych wiadomości marketingu bezpośredniego.
  • Bizfella Limited ( 30 000 funtów ): nakłoniła do wysłania 224 550 niechcianych wiadomości SMS w ramach marketingu bezpośredniego.
  • H&L Business Consulting Limited ( 80 000 GBP ): Nakłoniła do wysłania 451.705 niechcianych wiadomości SMS w celach marketingu bezpośredniego.

*Czytelnicy mogą uzyskać pełne teksty wszystkich orzeczeń ze strony internetowej ICO, a także zapisać się, aby otrzymywać biuletyn „Egzekwowanie działań” ICO.

Konsumenci chcą wiedzieć, jak wykorzystywane są ich dane

Ważnym tematem przewijającym się we wszystkich tych sprawach (i innych) jest to, że zostały one pierwotnie ujawnione przez skargi konsumentów. Konsumenci mają teraz większą wiedzę na temat swoich praw do prywatności danych i są gotowi skorzystać z tych praw, jeśli uważają, że ich dane osobowe są niewłaściwie wykorzystywane.

Obchodząc się z danymi konsumentów, należy pamiętać:

  • Ważna zgoda wymaga, aby osoby miały rzeczywisty wybór i kontrolę.
  • Osoby fizyczne powinny być wyraźnie poinformowane, że będą otrzymywać wiadomości marketingowe.
  • Zgoda powinna być oddzielona od innych polityk prywatności i/lub warunków nadawcy.
  • Zgoda pośrednia może być ważna tylko wtedy, gdy jest wystarczająco jasna i konkretna.
  • Osoby fizyczne muszą mieć prosty sposób odmowy wykorzystania ich danych kontaktowych.

Niektóre firmy wpadły w inne pułapki związane z prywatnością

Po migracji do nowego systemu CRM firma Reed Online nieumyślnie zaplanowała e-maile marketingowe do klientów, którzy wcześniej zostali wypisani z subskrypcji/wstrzymani.

Tuckers Solicitors doświadczyli ataku ransomware, w wyniku którego doszło do naruszenia danych osobowych. ICO orzekło, że niewdrożenie przez firmę odpowiednich środków technicznych i organizacyjnych naraziło ją na atak.

Gabinet rządu Wielkiej Brytanii ujawnił w Internecie adresy pocztowe osób, które otrzymały nagrody noworoczne w 2020 r., co nie zapobiegło nieuprawnionemu ujawnieniu danych osób.

Wiele incydentów dotyczących prywatności danych nie trafia na nagłówki gazet

Podczas gdy głośne włamania trafiają na nagłówki gazet, wiele incydentów jest znacznie bardziej przyziemnych.

ICO publikuje kwartalny raport o bezpieczeństwie danych, zawierający najnowsze problemy „niecyberne” (tj. z własnej winy), w tym:

  • Dane wysłane do nieprawidłowego odbiorcy ( 22 procent )
  • Nieautoryzowany dostęp ( 14% )
  • Dane wysłane lub przesłane faksem do niewłaściwego odbiorcy ( 13 procent )
  • Utrata/kradzież dokumentów lub danych pozostawionych w niezabezpieczonej lokalizacji ( 8 procent )
  • Brak redakcji ( 6 proc .)

Trendy te wskazują w dużej mierze na błędy ludzkie i/lub nieodpowiednie szkolenia i stanowią przekonujący argument za wdrożeniem praktyk „prywatności już w fazie projektowania”, gdzie solidne procesy minimalizują możliwości niezgodności.

Wciąż nie widzimy tak naprawdę „czterech procent globalnych przychodów”, które teoretycznie można by nałożyć, chociaż nie oznacza to, że tak się nie stanie. Grzywna British Airways (BA) – zgodnie z propozycją – zbliżyła się, zanim została zmniejszona z powodu szeregu czynników łagodzących, w tym wpływu kryzysu Covid-19 na finanse BA. Chociaż żadna firma nie chce zajmować się naruszeniem prywatności, istnieją czynniki łagodzące, które zostaną wzięte pod uwagę, jeśli tak się stanie, w tym:

  • Czy było to pierwsze naruszenie?
  • Waga naruszenia
  • Niezależnie od tego, czy było to celowe, czy przypadkowe
  • Proaktywne powiadomienie organu nadzorczego
  • Działania podjęte w celu zmniejszenia wpływu na osoby, których dane dotyczą

Organy regulacyjne będą na ogół bardziej pobłażliwe w stosunku do firm, które mają jasność co do tego, co poszło nie tak, współpracują ze sobą w dochodzeniu i szybko wprowadzają środki, które zapobiegną ponownemu wystąpieniu.

To tylko początek…

Na ten temat można powiedzieć o wiele więcej. Chcesz dowiedzieć się więcej o przepisach dotyczących prywatności danych na całym świecie? Zapoznaj się z naszym Przewodnikiem po globalnych przepisach dotyczących prywatności i zgodności .

Pobierz przewodnik