Οι οικονομικές κυρώσεις για την παραβίαση του κανονισμού του GDPR για το 2021 είναι μεγάλες και ανέρχονται σε εκατοντάδες εκατομμύρια ευρώ.
Ο Ευρωπαϊκός Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) θεωρείται ένας από τους πιο σκληρούς νόμους περί απορρήτου και ασφάλειας παγκοσμίως. Από τις 25 Μαΐου 2018 που τέθηκε σε ισχύ, ο κανονισμός επιβάλλει υποχρεώσεις σε οργανισμούς οπουδήποτε στον κόσμο. Συγκεκριμένα αυτές οι υποχρεώσεις αφορούν, όσους στοχεύουν ή συλλέγουν δεδομένα που σχετίζονται με άτομα στην ΕΕ.
Η πολυπλοκότητα του GDPR τον έχουν μετατρέψει σε κάτι το «τρομακτικό» για τα τμήματα συμμόρφωσης, αν και η διαθεσιμότητα καινοτόμων λύσεων λογισμικού έχει βοηθήσει στην ελάφρυνση του φόρτου εκείνου. Ωστόσο, οι παραβιάσεις είναι σοβαρές και οι οικονομικές κυρώσεις μπορούν να ανέλθουν σε εκατοντάδες εκατομμύρια ευρώ.
Σε αυτό το άρθρο θα εξετάσουμε τα μεγαλύτερα GDPR πρόστιμα που επιβλήθηκαν μέσα στο 2021, δύο από τα οποία ήταν ποσά ρεκόρ.
Η λίστα με τα 10 μεγαλύτερα GDPR πρόστιμα για το 2021
1. Amazon: 746 εκατ. ευρώ
Η Εθνική Επιτροπή Προστασίας Δεδομένων του Λουξεμβούργου επέβαλε στην Amazon τον Ιούλιο του 2021 πρόστιμο ύψους 746 εκατομμυρίων ευρώ για παραβίαση του Κανονισμού Προστασίας Προσωπικών Δεδομένων της ΕΕ. Ο κολοσσός του διαδικτυακού λιανικού εμπορίου έχει τη βάση του στην ΕΕ στο Λουξεμβούργο και έχει τεθεί υπό έλεγχο τα τελευταία χρόνια για τη συλλογή δεδομένων για τους πελάτες και τους συνεργάτες του.
Η Amazon άσκησε έφεση κατά του προστίμου, δηλώνοντας ότι διαφωνεί «εντελώς» με τα πορίσματα της Επιτροπής. Δεν είναι η πρώτη φορά που η Amazon παραβιάζει τους κανονισμούς προστασίας δεδομένων. Η Γαλλική Αρχή Προστασίας Δεδομένων (CNIL) επέβαλε στην εταιρεία πρόστιμο 35 εκατομμυρίων ευρώ στα τέλη του 2020 για την εικαζόμενη παράλειψή της να ζητήσει συγκατάθεση για cookies και σχετικές πληροφορίες των επισκεπτών στον ιστότοπο της.
2. WhatsApp: 225 εκατ. ευρώ
To δεύτερο υψηλότερo πρόστιμο, επιβλήθηκε στην WhatsApp. Το ποσό ήταν της τάξεως των 225 εκατομμυρίων ευρώ τον Αύγουστο του 2021 και το επέβαλε η Επιτροπή Προστασίας Δεδομένων της Ιρλανδίας. Αυτό συνέβη ως αποτέλεσμα παραβιάσεων της διαφάνειας και των υποχρεώσεων παροχής πληροφοριών στο υποκείμενο των δεδομένων σύμφωνα με τα άρθρα 12, 13 και 14 του GDPR.
Συγκεκριμένα, το WhatsApp δεν παρείχε πληροφορίες στα υποκείμενα των δεδομένων «σε μια συνοπτική, διαφανή, κατανοητή και εύκολα προσβάσιμη μορφή, χρησιμοποιώντας σαφή και απλή γλώσσα» και «τους σκοπούς της επεξεργασίας για τους οποίους προορίζονται τα προσωπικά δεδομένα καθώς και η νομική βάση για την επεξεργασία». Όπως συνέβη με την Amazon, η WhatsApp αποφάσισε επίσης να ασκήσει έφεση σε αυτήν την απόφαση.
3. Notebooksbilliger.de: 10.4 εκατ. ευρώ
Το 2021 είχε ξεκινήσει με ένα σημαντικό πρόστιμο για το γερμανικό ηλεκτρονικό κατάστημα ηλεκτρονικών ειδών της notebooksbillger.de. Στις 8 Ιανουαρίου, ο επίτροπος προστασίας δεδομένων του γερμανικού κρατιδίου της Κάτω Σαξονίας ανακοίνωσε ότι η εταιρεία θα υπόκειται σε πρόστιμο 10,4 εκατομμυρίων ευρώ για παραβίαση των κανόνων προστασίας δεδομένων του GDPR.
Για περισσότερα από δύο χρόνια, η notebooksbilliger.de παρακολουθούσε τους υπαλλήλους και τους πελάτες της με κάμερες ασφαλείας κλειστού κυκλώματος. Οι εγγραφές αυτές, αποθηκεύονταν για έως και 60 ημέρες. Ο GDPR δεν απαγορεύει τη χρήση CCTV. Ωστόσο, η επιτήρηση πρέπει να ανταποκρίνεται και να διεξάγεται κάτω από την προβλεπόμενη νομική βάση.
Αξίζει να σημειωθεί πως μια παρόμοια περίπτωση υπήρξε και στην Ελλάδα, με χαμηλότερο πρόστιμο.
4. Austrian Post: 9.5 εκατ. ευρώ
Τον Σεπτέμβριο σημειώθηκε το μεγαλύτερο πρόστιμο GDPR στην ιστορία της Αυστρίας,. Συγκεκριμένα, επιβλήθηκε πρόστιμο 9,5 εκατομμυρίων ευρώ στην Εθνική Ταχυδρομική Υπηρεσία της χώρας. Οι κυρώσεις έλαβαν χώρα, καθώς η ταχυδρομική υπηρεσία δεν είχε επιτρέψει να γίνουν έρευνες για αποθηκευμένα προσωπικά δεδομένα μέσω email.
Αυτό συνέβη παρά το γεγονός ότι η Austrian Post το έχει ήδη κάνει δυνατό μέσω πολλών μέσων όπως επιστολές, ηλεκτρονικές φόρμες και εξυπηρέτηση πελατών. Ωστόσο, η Αυστριακή Αρχή Προστασίας Δεδομένων δήλωσε ότι η ταχυδρομική υπηρεσία θα έπρεπε να είχε επιτρέψει την αποστολή αιτημάτων για δικαιώματα από οποιοδήποτε επιθυμητό μέσο, συμπεριλαμβανομένου του email.
5. Vodafone España: 8.5 εκατ. ευρώ
Η Ισπανική Αρχή Προστασίας Δεδομένων (AEPD) επέβαλε πρόστιμο 8,15 εκατομμυρίων ευρώ στη Vodafone España στις 11 Μαρτίου 2021. Αυτό είναι και το μεγαλύτερο πρόστιμο GDPR της χώρας μέχρι σήμερα. Το ποσό είναι στην πραγματικότητα μια συγχώνευση τεσσάρων χωριστών προστίμων. Αυτά τα πρόστιμα αφορούν διάφορες δραστηριότητες που περιλαμβάνουν μάρκετινγκ και αναζητήσεις μέσω τηλεφωνικών και ηλεκτρονικών επικοινωνιών. Για παράδειγμα, ορισμένα από τα μέτρα που χρησιμοποιήθηκαν δεν είχαν προηγούμενη γραπτή εξουσιοδότηση.
Επίσης μια διεθνής μεταφορά δεδομένων δεν έλαβε επαρκή μέτρα που απαιτούνται βάσει του GDPR. Τέλος, είχε γίνει μια επικοινωνία με άτομα και έγινε επεξεργασία των δεδομένων τους, παρόλο που τα υποκείμενα δεν είχαν δώσει τη συγκατάθεση τους.
6. Grindr: 6.3 εκατ. ευρώ
Τον Ιανουάριο του 2021, η Αρχή Προστασίας Δεδομένων της Νορβηγίας ενημέρωσε την Grindr για την επιβολή προστίμου της τάξεως των 6,3 εκατομμυρίων ευρώ για μη συμμόρφωση με τους κανόνες συναίνεσης GDPR. Η εφαρμογή γνωριμιών βάσει τοποθεσίας για άτομα της LGBT κοινότητας, φέρεται να μοιράστηκε παρανόμως, δεδομένα χρηστών με έναν αριθμό τρίτων εταιρειών. Χρειαζόταν συναίνεση πριν από την κοινή χρήση αυτών των δεδομένων και οι συναινέσεις του Grindr δεν ήταν έγκυρες.
Η Νορβηγική Αρχή Προστασίας Δεδομένων επεσήμανε πως η χρήση της πλατφόρμας βασίζεται στον σεξουαλικό προσανατολισμό. Αυτό, έκανε το αδίκημα να αφορά κατά αυτής της ειδικής κατηγορίας που αξίζει ιδιαίτερης προστασίας.
7. Caixabank S.A.: 6 εκατ. ευρώ
Η Ισπανική Αρχή Προστασίας Δεδομένων (AEPD) είχε επιβάλει πρόστιμο 6 εκατομμυρίων ευρώ στην Caixabank S.A. τον Ιανουάριο του 2021. Αυτό είχε σπάσει το προηγούμενο ρεκόρ της Ισπανίας. Η αφορμή προκλήθηκε από την αποτυχία της εταιρείας να παράσχει μηχανισμό συλλογής της συγκατάθεσης του υποκειμένου των δεδομένων. Επίσης διαπιστώθηκε η έλλειψη της αιτιολόγησης για τις δραστηριότητες εκείνης της επεξεργασίας.
Όλα τα προηγούμενα συνιστούσαν παραβίαση του άρθρου 6 του GDPR και διοικητικό πρόστιμο αξίας 4 εκατομμυρίων ευρώ. Η υπόλοιπη ποινή των 2 εκατομμυρίων ευρώ οφείλεται στην έλλειψη διαφάνειας σύμφωνα με τα άρθρα 13 και 14 του GDPR, ιδίως τη νομική βάση πίσω από τους σκοπούς της επεξεργασίας προσωπικών δεδομένων.
8. Fastweb: 4.5 εκατ. ευρώ
Η Αρχή Προστασίας Δεδομένων της Ιταλίας, ανακοίνωσε πρόστιμο 4,5 εκατομμυρίων ευρώ για την εταιρεία τηλεπικοινωνιών Fastweb στις 2 Απριλίου του 2021. Η Αρχή είχε ξεκινήσει έρευνα για την Fastweb μετά από εκατοντάδες καταγγελίες που ελήφθησαν από χρήστες. Οι χρήστες αυτοί, είχαν λάβει διαφημιστικές κλήσεις χωρίς τη συγκατάθεσή τους. Οι εν λόγω κλήσεις φέρεται να προέρχονταν από μη καταχωρημένους αριθμούς. Το ζήτημα αυτό επηρέασε ολόκληρη τη βάση πελατών της εταιρείας.
Δεν είναι η πρώτη φορά που η Fastweb τιμωρείται για αδικήματα τηλεμάρκετινγκ που παραβιάζουν τον GDPR. Για παρόμοιες παραβάσεις της είχαν επιβληθεί πρόστιμα το 2012 και το 2018. Μετά το τελευταίο περιστατικό, η Αρχή διέταξε τη Fastweb να ενισχύσει τα μέτρα ασφαλείας της για να αποτρέψει τη μη εξουσιοδοτημένη χρήση των βάσεων δεδομένων της. Επίσης έπρεπε να διακόψει τη χρήση δεδομένων που ελήφθησαν από τρίτα μέρη χωρίς συναίνεση και να αναθεωρήσει τις πρακτικές τηλεμάρκετινγκ.
9. Sky Italia: 3.3 εκατ. ευρώ
Τον Οκτώβριο, η Αρχή Προστασίας Δεδομένων της Ιταλίας ανακοίνωσε άλλο ένα βαρύ πρόστιμο GDPR για επιθετικό τηλεμάρκετινγκ. Η Sky Italia έλαβε πρόστιμο 3,3 εκατομμυρίων ευρώ για εικαζόμενη κατάχρηση δεδομένων πελατών με σκοπό την πραγματοποίηση ανεπιθύμητων διαφημιστικών κλήσεων. Αν και αυτό είναι το έκτο μεγαλύτερο πρόστιμο που ανακοίνωσε η Ιταλική Αρχή. Ωστόσο αξίζει να σημειωθεί πως αντιπροσώπευε μόλις το 2,5% της μέγιστης ποινής που ισχύει στην υπόθεση.
Αυτό αναπτύχθηκε όταν δεκάδες πελάτες παραπονέθηκαν μετά από ανεπιθύμητες τηλεφωνικές κλήσεις που προωθούν τις υπηρεσίες της Sky Italia. Αυτό συνέβη τόσο άμεσα όσο και μέσω της χρήσης τηλεφωνικών κέντρων τρίτων. Η Αρχή ισχυρίζεται ότι οι κλήσεις έγιναν χωρίς συγκατάθεση. Οι λίστες που χρησιμοποιήθηκαν δεν είχαν επαληθευτεί και αποκτήθηκαν από άλλους οργανισμούς.
10. Caixabank Payments & Consumer EFC, EP, S.A.U.: 3 εκατ. ευρώ
Στις 21 Οκτωβρίου 2021, η Ισπανική Αρχή (AEPD) επέβαλε πρόστιμο στην Caixabank Payments & Consumer EFC, EP, S.A.U. 3 εκατ. ευρώ για παράνομη επεξεργασία προσωπικών δεδομένων, σύμφωνα με το άρθρο 6 του GDPR.
Η έρευνα ξεκίνησε το 2018 μετά από καταγγελία πελάτη. Η εταιρεία είχε ζητήσει πληροφορίες για το πρόσωπο του, από φάκελο φερεγγυότητας χωρίς και τα δύο μέρη να έχουν συμβόλαιο ενώ συμπεριλήφθηκε επίσης σε εμπορική καμπάνια για προχορηγούμενη πίστωση. Το πρόστιμο επιβλήθηκε λόγω έλλειψης πληροφοριών και έλλειψης νομικής βάσης για επεξεργασία δεδομένων και δημιουργία προφίλ.
GDPR πρόστιμα για το 2021: Εν κατακλείδι
Τα πρόστιμα GDPR είναι σχεδιασμένα για να κάνουν τη μη συμμόρφωση γύρω από την ασφάλεια των δεδομένων ένα δαπανηρό λάθος. Μπορούν να χωριστούν σε δύο επίπεδα. Οι λιγότερο σοβαρές παραβάσεις μπορεί να επιφέρουν πρόστιμο 10 εκατομμυρίων ευρώ ή 2% των ετήσιων εσόδων μιας επιχείρησης από το προηγούμενο οικονομικό έτος, ανάλογα με το ποσό που είναι υψηλότερο.
Οι πιο σοβαρές παραβάσεις μπορεί να επιφέρουν πρόστιμο έως και 20 εκατ. ευρώ ή 4% των ετήσιων εσόδων μιας επιχείρησης από το προηγούμενο έτος, ανάλογα με το υψηλότερο.
Τόσο η αύξηση των GDPR παραβάσεων όσο και τα πρόστιμα-ρεκόρ που επιβλήθηκαν το 2021 υπογραμμίζουν την αυξανόμενη έλλειψη συναίνεσης και διαφάνειας.
Παρά αυτή την ανησυχητική τάση, ήταν καθησυχαστικό να βλέπουμε πως οι Ευρωπαϊκές Ρυθμιστικές Αρχές επέβαλλαν ενεργά τον νόμο μέσω προστίμων σε ποσοστό που δεν είχε ξανασυμβεί.
Πριν από το 2021, το μεγαλύτερο από τα GDPR πρόστιμα που έχει καταγραφεί επιβλήθηκε το 2019. Τότε, η Google τιμωρήθηκε με 50 εκατομμύρια ευρώ για τον τρόπο με τον οποίο κοινοποίησε το απόρρητο στους χρήστες της, καθώς και για διάφορα αδικήματα επεξεργασίας δεδομένων. Όπως φαίνεται από τα παραπάνω, αυτό το ποσό ξεπεράστηκε κατά πολύ, τόσο από την Amazon όσο και από το WhatsApp τη χρονιά που μας πέρασε.
Θα έχει ιδιαίτερο ενδιαφέρον να δούμε πώς θα εξελιχθεί αυτή η τάση, μέσα στο 2022.