Отзыв персональных данных из банка образец 2020: Отзыв согласия на обработку персональных данных: как составить, образец

Содержание

Отзыв согласия на обработку персональных данных: как составить, образец

Отзыв согласия на обработку персональных данных позволяет наложить запрет на работу оператора с личными сведениями о человеке. Как запретить обработку индивидуальной информации и в каких случаях запрет невозможен, читатель узнает из этой статьи.

Когда можно отозвать согласие

Порядок работы с личными сведениями установлен законом «О персональных данных» от 27.07.2006 № 152-ФЗ. Из ст. 3 закона следует, что к индивидуальным данным лица относится любая информация о нем, позволяющая его идентифицировать.

В том числе к таким сведениям можно отнести:

  • Ф. И. О.;
  • адрес проживания;
  • паспортные данные;
  • сведения о месте рождения;
  • прочие данные.

Полного перечня сведений закон не содержит, соответственно, в каждом конкретном случае необходимо анализировать, можно с помощью получаемой от человека информации его идентифицировать или нет. Часто отдельные данные не являются персональными, поскольку понять, кому конкретно они принадлежат, невозможно. Однако если совокупность сведений позволяет узнать, к какому человеку они относятся, то это персональные данные.

Персональные данные без штрафов Время прохождения около 5 мин. Пройти тест

Работа с личной информацией осуществляется на основании письменного согласия гражданина, чьи сведения будут обрабатываться. Установленного бланка нет, каждая организация самостоятельно разрабатывает форму соглашения на обработку личных материалов, которое подписывает гражданин. Только после подписания субъектом такого бланка учреждение имеет право начать работу с информацией о клиенте.

Согласие на обработку может быть получено в электронном виде с применением простой электронной подписи.

Гражданин имеет право отозвать свое согласие на обработку личных сведений в любое время (п.  2 ст. 9 закона № 152-ФЗ). Причем законодатель не связывает отзыв персональных данных с какими-либо условиями или событиями. Из чего следует, что отказ от обработки персональных данных не требует обоснований.

Каков срок уничтожения персональных данных оператором при достижении цели обработки персональных данных либо при отзыве согласия на их обработку? Ответ на данный вопрос есть в КонсультантПлюс. Изучите материал, получив пробный доступ к системе К+ бесплатно.

Когда отзыв согласия не имеет значения для оператора персональных данных

Между тем оператор может продолжить работу с личными инфоматериалами субъекта даже при отзыве последним своего согласия. Перечень случаев, когда у него есть такое право, прописан в пп. 2–11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 закона № 152-ФЗ. В частности, использовать информацию о человеке могут:

  • суды при участии гражданина в судопроизводстве;
  • приставы при исполнении судебного акта;
  • государственные органы при исполнении своих полномочий;
  • стороны гражданско-правовых договоров, заключенных с субъектом персональных данных;
  • любые субъекты при необходимости защиты жизни или здоровья носителя персональной информации;
  • журналисты, если работа с личной информацией связана с их профессиональной деятельностью;
  • субъекты, участвующие в реализации международных договоров;
  • органы статистики, если личные данные обезличиваются.

Правомерна ли обработка персональных данных налоговыми органами без согласия субъекта персональных данных, узнайте в КонсультантПлюс. Если у вас нет доступа к системе К+, получите пробный онлайн-доступ бесплатно.

Порядок отзыва индивидуальных данных

Поскольку с выдачей разрешения на работу с личной информацией граждане сталкиваются очень часто, закономерен вопрос, как отозвать согласие на обработку персональных данных.

Поэтапный порядок в законодательстве не прописан. Поскольку разрешение на обработку сведений дается письменно, то и отзывать согласие нужно, подав оператору письменное заявление.

Отказ от согласия на обработку персональных данных готовится в свободной форме. Передать заявление в учреждение можно:

  1. Лично в канцелярию или приемную организации. В этом случае необходимо подготовить два экземпляра документа. На одном из них организация при приеме поставит отметку о получении.
  2. Почтовой корреспонденцией (заказным письмом с уведомлением). В этом случае подтверждать получение будет уведомление, вернувшееся отправителю.
  3. В электронной форме. Например, если отзывается согласие на использование личной информации, которую пользователь передал оператору через интернет (например, на сайте).

ВНМАНИЕ! Если вы разрешили обработку ваших данных на каком-либо сайте, по каждому из них надо писать заявление в ту организацию, который Вы дали согласие на такую обработку. То есть нужно перейти в контакты (они обычно есть на любом сайте) либо через форму обратной связи письменно попросить админа удалить  из базы ваши данные.

Некоторые сайты запрашивают данные через доступ к сведениям учетной записи на сайте «Госуслуги». В этом случае нужно перейти в меню «Профиль» далее «Согласия и доверенности», вы увидите ваши согласия. Нажав на кнопку «Отозвать согласие», вы отзываете согласие на обработку ваших персданных.

Подтвердить дату получения оператором обращения очень важно, так как с этого момента будет отсчитываться период, в течение которого оператор по обработке индивидуальных сведений должен будет прекратить работу с заявленной информацией.

Образец заявления на отзыв

Заявление на отзыв персональных данных составляется следующим образом:

  1. В правом верхнем столбце указывается наименование получателя и его адрес, данные отправителя.
  2. Ниже посередине — название документа.
  3. С красной строки — основной текст.
  4. В конце документа — дата и подпись.

Образец отзыва персональных данных из банка может выглядеть так:

Руководителю Центрально-Черноземного банка ПАО «Банк»

Воронеж, ул. 9 Января, 28

от Держаева Виктора Петровича

Воронеж, ул. Комарова, 28, 15

Заявление

Я, Держаев В. П., паспорт серия 0000 № 000 000, выдан РОВД Советского района г. Воронежа __ __ ___, в соответствии со ст. 9 закона № 152-ФЗ отзываю согласие на обработку персональных данных, данное мной при заключении кредитного договора № 377-2010 от __ __ ____.

Держаев В. П. /Держаев/

Дата: __ __ ____

Последствия отзыва

Согласно п.  5 ст. 21 закона № 152-ФЗ, если человек отозвал согласие на работу со своей индивидуальной информацией, оператор обязан прекратить это делать. На это ему дается 30 дней со дня получения обращения. В этот же срок оператор должен уничтожить или обеспечить уничтожение информации.

Однако закон разъясняет, что если дальнейшая работа с индивидуальными сведениями о человеке необходима для достижения целей, предусмотренных законодательством, то хранение информации может быть продолжено.

Например, выполнить требование субъекта персональных данных об отзыве согласия на их обработку не могут банки.

Так, в соответствии с п. 4 ст. 7 закона «О противодействии легализации (отмыванию) доходов…» от 07.08.2001 № 115-ФЗ банковские организации должны сохранять личную информацию о клиентах не менее 5 лет со дня прекращения отношений. Соответственно, если разрешение на работу с индивидуальными сведениями было отозвано, операции с информацией должны быть прекращены, но сами материалы не уничтожаются и могут быть выданы по запросу суда, прокуратуры и иных уполномоченных учреждений (апелляционное определение Московского городского суда от 14. 06.2019 по делу № 33-25479).

Итоги

Таким образом, отозвать свои индивидуальные сведения из обработки тем или иным учреждением несложно. Однако законодательство в некоторых случаях разрешает работу с такими инфоматериалами и без согласия гражданина.

Образец отзыва согласия на обработку персональных данных 2022

Главная / Личность / Как физлицу правильно отозвать согласие на обработку персональных данных

18.02.2020, Наталья Евдокимова

Отозвать разрешение на обработку персональных данных гражданин вправе тогда, когда ему заблагорассудится. Это право ему дано законодательством России.

Нам постоянно приходится сообщать личные данные третьим лицам: в банке при оформлении кредита или в организации при трудоустройстве. Сведения о человеке требуются повсеместно. Передача конфиденциальных сведений подтверждается документально — составляется официальное разрешение на обработку этих сведений. Но это не значит, что согласие на использование сведений дается навсегда. Гражданин вправе отозвать это разрешение в любое время — поскольку мы имеем дело с личными сведениями, то распоряжаться ими человек вправе по своему усмотрению: дать это право или передумать.

Буква закона

Действующий закон № 152-ФЗ от 27.07.2006, регламентирующий правовые взаимоотношения в сфере передачи, хранения и обработки персональных данных, закрепляет право человека оформить отзыв разрешения на обработку персональных данных в любой период времени и при любых обстоятельствах.

При получении письменного запрета на использование персональных данных организация-оператор в течение 30 дней обязана не только прекратить использование сведений, но и уничтожить их. Но закон № 152-ФЗ устанавливает и исключения – оператор вправе продолжить использование после отзыва, если это необходимо для:

  • совершения правосудия в судебных инстанциях;
  • защиты жизни и здоровья человека;
  • регистрации гражданина на портале госуслуг;
  • обеспечения и исполнения законных прав и свобод субъекта данных;
  • в иных ситуациях, поименованных в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 закона № 152-ФЗ.

Отзыв согласия не является основанием для прекращения выполнения обязательств по уплате налогов и страховых взносов, перечислению пенсионных выплат.

Как отозвать согласие: алгоритм действий

Гражданину, решившему запретить использование личных данных, следует составить письменное заявление. Унифицированной формы не предусмотрено, поэтому пишем в произвольном виде.

В заявлении обязательно укажите:

  1. Полное название, регистрационную информацию и юридический адрес организации, в которую вы пишете. Если речь идет о банковской организации, то укажите и фактический адрес: адрес территориального отделения или филиала.
  2. Фамилию, имя и отчество, данные паспорта, место регистрации (жительства) заявителя. Такая информация необходима для идентификации заявителя организацией-оператором.
  3. Реквизиты нормативно-правовых актов, которые устанавливают право гражданина отозвать согласие на обработку персданных, – пункт 2 статьи 9 закона № 152-ФЗ.

Заявление подготовьте в двух экземплярах. Один бланк передайте организации-оператору. На втором экземпляре следует поставить отметку оператора о получении. Экземпляр с отметкой храните у себя, он может пригодиться.

Типовой образец заявления

Скачать образец отзыва согласия на обработку персональных данных

Теперь рассмотрим порядок отзыва согласия на обработку персональных данных в наиболее распространенных ситуациях.

Особенности отзыва у работодателя

Если работник не желает, чтобы информация о нем обозначалась в рекламной кампании либо была опубликована на официальном сайте компании, то он направляет заявление, составленное в произвольной форме. Работодатель не вправе отказать принять заявление-запрет.

Иногда работодатели угрожают подчиненным, что после отзыва согласия ему не будут перечислять зарплату. Это незаконно! Трудовой кодекс не содержит ссылок на закон № 152-ФЗ, а запрет на использование персональных данных не является основанием не платить зарплату.

Отзыв данных у банка

Если гражданин получает ежедневные рассылки по СМС или электронной почте о новых акциях банка, если у него есть задолженность, переданная коллекторам, то следует оформить заявление-запрет.

Имейте ввиду: банки вправе продолжить обрабатывать конфиденциальную информацию в своих целях, если за гражданином числится непогашенный кредит.

Отзыв персональных данных в интернете

При регистрации почтового ящика или получения доступа к интернет-магазинам и прочим ресурсам, проставляя галочку перед регистрацией, мы даем согласие на использование персональных данных.

Даже если вы согласились с условиями пользовательского соглашения, вы сможете в будущем написать заявление на запрет использования персональных данных.

Обратите внимание на последствия отзыва согласия на обработку персональных данных в таком случае — это ограничение или полное запрещение на использование интернет-ресурса. Вы больше не сможете пользоваться сайтом, если его условием является предоставление личной информации, а вы это делать не готовы.

Об авторе статьи
Наталья Евдокимова
Бухгалтер-эксперт, опыт практической работы — более 15 лет.

Автор статей в интернет-СМИ по бухгалтерии, налогам, кадровым вопросам.

Последние публикации автора
  • 2022.10.12НалогиСроки оплаты транспортного налога в 2022 году
  • 2022.10.10НалогиКБК на земельный налог в 2022 году
  • 2022.08.26МедицинаКак пенсионеру оформить инвалидность
  • 2022.05.06Льготы. КомпенсацииМатериальная помощь малоимущим семьям: на что можно рассчитывать в 2022 году

Законы все время меняются, но Сашка Букашка поддерживает статью в актуальном состоянии.

Подписывайтесь на нас в социальных сетях, чтобы не пропустить важное:

Популярные материалы:

Программа медицинских гарантий ОМС в 2020 году

18.02.2020

Обязательное медицинское страхование (ОМС) — это государственная социальная поддержка …

О старожиле, бабке-ведунье и повышении пенсии на 1 рубль

18. 02.2020

Есть у нас в элитном буфете один дьявольский старожил. Коллеги его боятся, потому что он …

Правила предоставления отпуска родителям с детьми по ТК РФ

18.02.2020

Отпуск летом для родителей с детьми до 14 лет по Трудовому кодексу предоставляется только …

Этот сайт использует cookie для хранения данных. Продолжая использовать сайт, вы даете свое согласие на работу с этими файлами.

Описание обработки персональных данных BAE Образец статей

  • 1.1. Что касается обработки персональных данных, вы являетесь контролером и определяете цели и средства обработки персональных данных, которые вы предоставляете нам («контролер»), и вы назначаете нас обработчиком («обработчик») для обработки таких персональных данных. (далее «Данные») от Вашего имени (далее «Обработка»).

  • Entrust Datacard будет обрабатывать Персональные данные в течение срока действия Соглашения, если иное не оговорено в письменной форме или в соответствии с требованиями применимого законодательства. Категории Субъектов данных Клиент может передавать Персональные данные в Entrust Datacard, объем которых определяется и контролируется Клиентом по его собственному усмотрению (но в соответствии с Законами о защите данных) и которые могут включать, помимо прочего, Персональные данные, относящиеся к следующим категориям субъектов данных: • Сотрудники, клиенты, агенты и субподрядчики Заказчика • Конечные пользователи Заказчика, уполномоченные Заказчиком на использование Услуг. Категории персональных данных. Заказчик может передавать Персональные данные в Entrust Datacard, объем которых определяется и контролируется Клиент по своему усмотрению (но в соответствии с Законами о защите данных), которые могут включать, помимо прочего, следующие категории Персональных данных: • Деловые контактные данные (имя, должность/должность, адрес, номер телефона, номер факса). , адрес электронной почты, местонахождение) сотрудников, клиентов, агентов, субподрядчиков и конечных пользователей Заказчика, уполномоченных Заказчиком на использование Услуг • Дата подключения a (IP-адрес, имя пользователя, идентификационные данные, используемые для аутентификации) сотрудников Заказчика, клиентов, агентов, субподрядчиков и конечных пользователей, уполномоченных Заказчиком на использование Услуг ПРИЛОЖЕНИЕ 2 — СТАНДАРТНЫЕ УСЛОВИЯ ДОГОВОРА ЕС Настоящие Стандартные договорные положения прилагаются и являются частью из ДПА. Для целей статьи 26(2) Директивы 95/46/EC для передачи персональных данных обработчикам, зарегистрированным в третьих странах, которые не обеспечивают надлежащий уровень защиты данных. Экспортер данных и импортер данных, как описано в Приложении 1 к настоящему Приложению 2, и ДОГОВОРИЛИСЬ о следующих положениях договора («Положения»), чтобы обеспечить адекватные гарантии в отношении защиты конфиденциальности и основных прав и свобод физических лиц для передачи экспортером данных импортеру данных персональных данных, указанных в Приложении 1. Пункт 1

  • 2.1 Обработчик обрабатывает Персональные данные только на основании соответствующих зарегистрированных распоряжений Контролера.

  • 10.1 Подписчик признает и соглашается с тем, что Компания собирает личную информацию Подписчика с целью выполнения настоящего Соглашения о подписке и завершения Предложения. Личная информация Подписчика (и, если применимо, личная информация тех, от имени которых Подписчик заключает договор по настоящему Соглашению) может быть раскрыта Компанией (а) фондовым биржам или органам регулирования ценных бумаг, (б) регистратору Компании и агенту по передаче , (c) налоговые органы Канады, (d) органы в соответствии с Законом о доходах от преступлений (отмывание денег) и финансированием терроризма (Канада) и (e) любые другие стороны, участвующие в Предложении, включая юрисконсульта, и могут быть включены в книги учета в связи с Предложением. Заключая настоящее Соглашение о подписке, считается, что Подписчик соглашается на вышеупомянутый сбор, использование и раскрытие личной информации Подписчика (и, если применимо, личной информации тех, от имени которых Подписчик заключает договор по настоящему Соглашению), а также на сохранение такой личной информации до тех пор, пока это разрешено или требуется законом или деловой практикой. Несмотря на то, что Подписчик может приобретать Акции в качестве агента от имени нераскрытого принципала, Подписчик соглашается предоставить по запросу сведения о личности такого нераскрытого принципала, которые могут потребоваться Компании для соблюдения вышеизложенного.

  • Оператор регистратуры должен (i) уведомить каждого аккредитованного ICANN регистратора, который является стороной соглашения между регистратурой и регистратором для ДВУ, о целях, для которых данные о любом идентифицированном или идентифицируемом физическом лице («Персональные данные») переданные Оператору регистратуры таким регистратором, собираются и используются в соответствии с настоящим Соглашением или иным образом, а также предполагаемыми получателями (или категориями получателей) таких Персональных данных, и (ii) потребовать от такого регистратора получения согласия каждого владельца домена в TLD на такие сбор и использование Персональных данных. Оператор реестра обязуется предпринимать разумные меры для защиты Персональных данных, полученных от такого регистратора, от потери, неправомерного использования, несанкционированного раскрытия, изменения или уничтожения. Оператор регистратуры не имеет права использовать или разрешать использование Персональных данных способом, несовместимым с уведомлением, направляемым регистраторам.

  • Чтобы помочь правительству бороться с финансированием терроризма и отмыванием денег, федеральный закон требует, чтобы все финансовые организации получали, проверяли и записывали информацию, идентифицирующую каждого человека, открывающего счет. Поэтому, когда вы открываете Xxxx XXX, вы должны указать свое имя, адрес проживания, дату рождения и идентификационный номер. Нам может потребоваться другая информация, которая позволит нам идентифицировать вас.

  • Главный исполнительный офис каждого Заемщика и каждой его Дочерней компании, местонахождение бухгалтерских книг и записей и другие места деятельности указаны в Приложении 6. 1.1 к настоящему документу, который время от времени обновляется Заемщиком в соответствии с положениями подраздел 6.1.1. В течение предшествующего годичного периода ни Заемщик, ни какая-либо из его Дочерних компаний не имели офиса, места деятельности или агента по обслуживанию процесса, кроме перечисленных в Приложении 6.1.1. Все материальное Залоговое обеспечение всегда остается у Заемщика и его Дочерних компаний в соответствии с подразделом 6.1.1. За исключением случаев, указанных в Приложении 6.1.1, на дату настоящего документа никакой Инвентарь не хранится у хранителя, дистрибьютора, кладовщика или аналогичной стороны, а также какой-либо Инвентарь не передается какому-либо Лицу.

  • Дата посещения службы Способ оказания помощи Очная, по телефону и т. д. Ответственность за оплату Используется для исключения федерального правительства, WCB и т. д. Основные и вторичные диагнозы Коды МКБ-10-СА Основные и другие вмешательства и атрибуты Коды процедур CCI и атрибуты Тип анестезии Идентифицирует тип, используемый для вмешательств (общий, спинальный, местный и т. д.) Типы поставщиков Код NACRS, присвоенный типу поставщика (MD, стоматолог, RN и т. д.) Имя и идентификатор врача Специфическая информация для врача Прием через машину скорой помощи Используется если Клиента доставили к месту оказания услуг на машине скорой помощи Учреждение из и учреждение в Используется при переводе Клиента из или в другое учреждение неотложной помощи Посещение диспозиции Выписан, госпитализирован, оставлен незамеченным и т. д. Приложение «D» Приложение 2 Доп. Элементы, необходимые для управления данными (XXX) Информация, идентифицирующая клиента Провинция Домашняя провинция клиента AB, BC, SK, MB, NL, PE, NS, NB, QC, ON, NT, YT, NU, US, OC (другая страна) , НР (Несп. Нерезидент) Код объекта информации об услуге AHS предоставил код, указывающий на предоставляемую услугу. Плата за учреждение Долларовая стоимость предоставляемой услуги Плата за услуги врача Альберты Код выставления счетов за услуги врача здравоохранения Альберты Код оплаты за услуги врача здравоохранения Альберты, который дополнительно определяет код учреждения Стандартный региональный формат и способ представления остаются без изменений через файл Excel и электронную почту. ПРИМЕЧАНИЕ. Способ отправки может быть изменен в соответствии со стандартами безопасности AHS. График «D» Приложение 3

  • State Street и каждый Фонд могут время от времени принимать такие процедуры, которые они согласовали, и State Street может окончательно предположить, что никакая процедура, утвержденная или направленная Фондом, бухгалтерами Фонда или Портфеля или другими консультантами, не противоречит или не нарушает любые требования проспекта, устава, устава, декларации о доверительном управлении, любого применимого закона, правила или постановления или любого приказа, постановления или соглашения, которыми может быть связан Фонд. Каждый Фонд будет нести ответственность за уведомление State Street о любых изменениях в уставах, положениях, правилах, требованиях или политиках, которые могут повлиять на обязанности или процедуры State Street в соответствии с настоящим Соглашением.

  • PFPC будет оказывать следующие административные услуги в отношении каждого Портфеля:

20 самых больших штрафов GDPR [2019, 2020, 2021 и 2022] — Менеджер по конфиденциальности данных

Общий регламент по защите данных 8 GDPR) представляет собой решимость законодателей ЕС унифицировать политики и законы о защите данных на всей территории ЕАЭС и обеспечить их соблюдение с помощью строгих санкций.

Хотя в 2020 году наблюдался некоторый рост активности органов по защите данных, в 2021 году было значительное увеличение как количества штрафов, выписанных в соответствии с GDPR, так и отдельных сумм штрафов.

Было несколько неудач, таких как штраф GDPR в размере 18 миллионов евро для Austrian Post, который был отменен в конце 2020 года, или значительное сокращение суммы двух самых обсуждаемых штрафов (Marriot и British Airways) в связи с особыми обстоятельствами пандемии коронавируса.

Однако с июля 2020 г. по июль 2021 г. количество нарушений GDPR увеличилось на 113,5%, в то время как за тот же период количество штрафов GDPR выросло на 124,92% .

Штрафы, выписанные на Amazon ( 746 миллионов евро) и Whatsapp (225 миллионов евро) , значительно превзошли самый большой штраф почти за три года (Google 50 миллионов евро).

20 самых больших штрафов GDPR

Среди государств-членов ЕС самые высокие индивидуальные штрафы GDPR были наложены Люксембургом , Ирландией , Франция, Германия, Италия и Великобритания.

1. Штраф Amazon GDPR – 746 миллионов евро

16 июля 2021 г. Национальная комиссия по защите данных Люксембурга ( CNDP ) наложила крупнейших штрафов за нарушение GDPR в размере из   746 миллионов евро (888 миллионов долларов США) на Amazon.com Inc.

Штраф был наложен в результате жалобы, поданной 10 000 человек против Amazon в мае 2018 года через французскую группу по защите прав на неприкосновенность частной жизни, которая продвигает и защищает фундаментальные свободы в цифровом мире-  Квадратура сети.

CNPD начала расследование того, как Amazon обрабатывает персональные данные своих клиентов, и обнаружила нарушения в отношении системы таргетинга рекламы Amazon, которые проводились без надлежащего согласия.

2. Штраф GDPR для WhatsApp –

225 млн евро

2 сентября 2021 г. Управление по защите данных Ирландии  Комиссия по защите данных (DPC) объявила о своем решении о штрафе 9 GDPR0048 в принадлежащую Facebook службу обмена мгновенными сообщениями и передачи голоса по IP,  WhatsApp  Ирландия 225 миллионов евро (или 267 миллионов долларов США)  после трехлетнего расследования.

Решение, имеющее обязательную силу, было принято после вмешательства Европейского совета по защите данных (EDPB) , который потребовал от DPC (ведущего надзорного органа WhatsApp Ireland Ltd.) пересмотреть первоначально предложенный штраф в отношении нарушений прозрачности при расчете штрафа. а также сроки выполнения требований WhatsApp.

3. Штраф Google LLC — 90 миллионов евро

31 декабря 2021 года CNIL наложил на GOOGLE LLC штраф в размере 90 миллионов евро за невозможность разрешить пользователям YouTube во Франции отказываться от файлов cookie так же легко, как они мог их принять.

CNIL пришел к выводу, что создание более сложных механизмов отказа, чем они должны быть, препятствует пользователям отказываться от файлов cookie и приносит пользу компании, которая основывает свои основные потоки доходов на рекламе и таргетинге на основе файлов cookie.

CNIL приказал компаниям предоставить пользователям, находящимся во Франции, средства отказа от файлов cookie, такие же простые, как и существующие средства их принятия в течение трех месяцев , или заплатить штраф в размере  100 000 евро за день просрочки .

Положение о файлах cookie или Директива о конфиденциальности напрямую не подпадает под действие GDPR, но GDPR определяет, как контроллеры данных могут получить согласие, и поэтому считается штрафом GDPR.

4. Штраф Google в Ирландии – 60 миллионов евро

Штраф в размере 60 миллионов евро, выписанный Google Ireland , был выписан CNIL в тот же день, что и вышеупомянутый штраф в отношении Google LLC.

Меньший штраф в размере 60 миллионов евро был выписан по тем же причинам, что и штраф в размере 90 миллионов евро. Однако этот штраф был выписан в отношении поискового сайта google.fr.

5. Facebook Ирландия — 60 миллионов евро

Facebook не смог предоставить механизмы, которые позволили бы его пользователям отказываться от файлов cookie так же легко, как они могут их принимать.

Расследование, начатое в апреле, показало, что, в отличие от одной кнопки для принятия файлов cookie , Facebook требуется несколько кликов, чтобы отказаться от файлов cookie.

Кроме того, кнопка для отказа от файлов cookie расположена внизу второй страницы и имеет пометку «Принимать файлы cookie», что не только сбивает с толку, но и вводит в заблуждение.

6. Штраф Google France GDPR – 50 млн евро 

21 января 2019 г.0048 оштрафовал Google штраф на 50 миллионов евро за отсутствие прозрачности, неадекватную информацию и отсутствие действительного согласия на персонализацию рекламы. Нарушение включало нарушения статей:

  • Информация, которая должна быть предоставлена, когда персональные данные собираются от субъекта данных – Статья 13 ,
  • Информация, которая должна предоставляться, когда персональные данные не были получены от субъекта данных – Статья 14 ,
  • Законность обработки – Статья 6 ,
  • Принципы обработки персональных данных – Статья 5

В мае 2018 года Национальная комиссия по защите данных (CNIL) получила групповые жалобы от ассоциации Не ваше дело (NOYB )   и La Quadrature du Net («LQDN»).

Компания Google не предоставила пользователям достаточно информации о политиках согласия и не предоставила им достаточного контроля над обработкой их личных данных.

7. Штраф H&M GDPR — 35,25 млн евро

Комиссар Гамбурга по защите данных и свободе информации ( BfDI) выписал штраф в размере 35,3 млн евро (или 41,5 млн долларов США) шведскому розничному конгломерату Hennes & Mauritz  –  H&M  за нарушение GDPR.

После технической ошибки данные на сетевом диске компании были доступны всем в компании  в течение нескольких часов. Пресса подхватила эту новость, и комиссар узнал о нарушении.

Дело довольно интересное, так как компания собирала конфиденциальные личные данные своих сотрудников с помощью кампаний слухов, сплетен и других источников для создания профилей сотрудников и использовала эти данные в процессе трудоустройства.

Персональные данные включали медицинские записи, включая диагнозы и симптомы болезни, а также личные сведения об отпуске и семейных делах.

8. Штраф TIM GDPR – 27,8 млн евро

15 января 2020 г.0047 € 27,8 млн GDPR штраф до  Итальянский оператор связи TIM за обширный список нарушений.

TIM связывался с не клиентами несколько раз (определенное количество более 150 раз в месяц) без надлежащего согласия или других законных оснований.

Несколько миллионов человек пострадали от их агрессивной маркетинговой стратегии. Среди нарушений:

  • Ненадлежащее управление списками согласия
  • Чрезмерное хранение данных
  • Нарушение данных
  • Отсутствие надлежащего согласия
  • Нарушение GDPR прав .

Личная информация включала имя, фамилию или название компании; налоговый код или номер плательщика НДС; телефонная линия; адрес; Контактная информация.

9. Штраф Enel Energia GDPR – 26,5 млн

19 января 2022 г. Управление по защите данных Италии –  Garante опубликовало решение о наложении штрафа в размере 26,5 млн евро.N 0048 об Enel Energia в отношении незаконной обработки персональных данных в целях телемаркетинга и нарушения принципа подотчетности, среди прочих нарушений.

Компания Garante провела расследование после многочисленных жалоб и сообщений о:

  • нежелательных маркетинговых и рекламных звонках,
  • несвоевременном ответе на запросы о реализации права доступа к персональным данным  или противодействии обработке для маркетинговые цели,
  • и различные проблемы, связанные с управлением персональными данными в контексте услуг по энергоснабжению, включая действия, осуществляемые через веб-сайт компании и соответствующие приложения.

10. Штраф в соответствии с GDPR компании British Airways – 22,4 млн евро

Статья 32 и Статья 5 (1) f)  ).

То, что первоначально было объявлено самым большим штрафом GDPR, когда-либо наложенным, в итоге было уменьшено до 20 миллионов фунтов стерлингов в свете недавней пандемии COVID-19 и ее влияния на авиационную отрасль.

Инцидент произошел в июле 2018 года, но был обнаружен только в сентябре 2018 года. За эти несколько месяцев сайт British Airways перенаправил трафик пользователей на хакерский сайт , в результате чего хакеры украли персональные данные более 400 000 клиентов .

Согласно официальному заявлению ICO , «… расследование показало, что авиакомпания обрабатывала значительный объем персональных данных без надлежащих мер безопасности. Этот сбой нарушил закон о защите данных, и впоследствии в 2018 году BA подверглась кибератаке, которую не обнаруживала более двух месяцев».

У компании было неадекватных механизмов безопасности для предотвращения таких кибератак.

ICO заявил, что «различная информация была скомпрометирована из-за плохих мер безопасности в компании, включая данные для входа в систему, платежной карты и бронирования поездок, а также информацию об имени и адресе».

11. Штраф Marriott GDPR – 20,45 млн евро

В июле 2019 года ICO выпустила намерение оштрафовать Marriott International на 99 млн фунтов стерлингов в виде штрафа за нарушение GDPR. Штраф был связан с кибератакой, в результате которой были раскрыты личные данные более 339 миллионов гостевых записей .

Из этих 339 миллионов человек 31 миллион были резидентами ЕЭЗ .

Marriott International подверглась кибератаке после приобретение группы отелей Starwood .

ICO пришел к выводу, что Marriott не смогла провести достаточную комплексную проверку после приобретения и должна была принять соответствующие меры безопасности .

30 октября 2020 г. ICO выпустило уведомление о штрафе с объяснением своего решения. Спустя более года, наконец, есть заключение по расследованию ICO, штраф урегулирован с огромных 99 миллионов фунтов стерлингов до фунтов стерлингов 18,4 миллиона.

В своем уведомлении о штрафе ICO объясняет причины решения с учетом ряда смягчающих факторов и воздействия пандемии Covid-19.

12. Штраф Clearview AI — 20 миллионов евро

20 октября 2022 года Французское агентство по защите данных — CNIL наложило штраф 20 миллионов евро на Clearview AI за их технологию распознавания лиц.

После официального уведомления, которое осталось без ответа, CNIL наложила максимальный штраф и приказала Clearview AI прекратить сбор и использование персональных данных о физических лицах во Франции без надлежащего правового основания и удалить уже используемые данные.

В противном случае Clearview AI может столкнуться с дополнительными штрафами в размере  100 000 евро за день просрочки  через два месяца после принятия решения.

13. Meta GDPR Fine: 17 миллионов евро

15 марта 2022 г., Комиссия по защите данных Ирландии ( DPC ) объявила о решении навязать € 17 миллионов штраф на Meta Platforms reland reland. Limited (ранее Facebook Ireland Limited) за нарушение Общего регламента по защите данных (GDPR) .

DPC проверил, как Meta соблюдает требования GDPR в отношении обработки персональных данных, относящихся к двенадцати уведомлениям о нарушениях.

Расследование выявило нарушения статьи 5(2) и статьи 24(1) Общего регламента по защите данных, в которых говорится, что Meta не реализовала соответствующие технические и организационные меры , чтобы продемонстрировать меры безопасности, реализованные для защиты персональных данных пользователей из ЕС в отношении сообщения об утечке персональных данных.

14. Штраф GDPR Wind – €16,7 млн сложные расследования после многочисленных жалоб от частных лиц.

Более сотни клиентов подали жалобу на нежелательных маркетинговых действий , проведенных без надлежащего согласия с помощью звонков, факсов, автоматических телефонных звонков и SMS.

Кроме того, несколько клиентов жаловались, что они не могли отозвать свое согласие или даже возразить против обработки, пока их личные данные были опубликованы в общедоступных каталогах.

Расследование DPA показало, что используемые приложения (MyWind и My3) были настроены так, чтобы требовать от пользователя согласия при каждом доступе на обработку для различных целей, включая маркетинг, профилирование, передачу данных третьим лицам, данные обогащение и геолокация; однако отзыв такого согласия разрешался только через 24 часа.

15. Vodafone Italia Штраф GDPR – 12,25 млн евро

12 ноября 2020 г. Итальянский орган по защите данных – Garante выписал Vodafone Italia штраф на сумму 12,25 млн евро GDPR за незаконную обработку персональных данных. миллионов пользователей в целях телемаркетинга.

Garante провела сложное расследование после многочисленных жалоб на непрерывных нежелательных телефонных звонков , сделанных Vodafone и его сетью продаж для продвижения своих услуг.

Расследование выявило систему хранения информации, которая содержала до 4,5 миллионов контактов, список был приобретен у внешних поставщиков без надлежащего согласия. Нарушения затронули всю клиентскую базу Vodafone в Италии.

Как отмечается в EDPB , «Расследование выявило основные критические моменты «структурного» характера, связанные с нарушением не только требований о согласии, но и ключевых принципов, таких как подотчетность и защита данных по дизайну, как изложено в GDPR ЕС. Эти критичности можно отнести к действиям по обработке, выполняемым как в отношении базы данных клиентов Vodafone, так и — в более широком смысле — в отношении потенциальных пользователей услуг электронной связи».

16. Notebooksbilliger.de Штраф GDPR — 10,4 млн евро

on лет без каких-либо правовых оснований с записью рабочих мест, торговых залов, складов и мест общего пользования.

Notebooksbilliger утверждал, что целью видеонаблюдения было предотвращение краж и расследование уголовных преступлений, а также отслеживание движения товаров со склада.

Два основных возражения LfD заключались в том, что видеонаблюдение  было проведено без надлежащего  правового основания и хранилось значительно дольше, чем необходимо (60 дней) в течение как минимум двух лет.

17. Штраф GDPR Почты Австрии – 9,5 млн евро

28 сентября 2021 года DPA Австрии наложило на Почту Австрии штраф в размере 9,5 млн евро GDPR за недостаточное соблюдение прав субъектов данных.

DPA обнаружило, что в дополнение к контактам, используемым Почтой Австрии по почте, веб-форме обратной связи и обслуживанию клиентов, запросы, связанные с защитой данных, также должны быть разрешены по электронной почте.

18. Eni Gas e Luce Штраф GDPR -8,5 миллионов

на 17 января 2020 , Итальянский орган по защите данных (Garante) наложил штраф GDPR на сумму 8,5 миллионов евро в пользу Eni Gas e Люси.

Штраф был выписан за незаконную обработку в связи с телемаркетингом и телепродажей. Eni Gas e Luce совершила рекламных звонков без надлежащего согласия и независимо от предыдущего отказа клиентов получать рекламные звонки.

Компания не приняла надлежащие технические и организационные меры для управления согласием или любого другого подходящего решения для записи коммуникационных предпочтений субъектов данных и без проверки общедоступного реестра отказа.

К серьезному списку нарушений добавляется покупка данных потенциальных клиентов  у поставщиков списка без какого-либо согласия на раскрытие этих наборов данных.

19. Штраф Vodafone Spain GDPR – 8,15 млн евро 

11 марта 2021 г. Управление по защите данных Испании (AEPD) наложило на Vodafone Spain штраф в размере 8,15 млн евро.

Штраф фактически состоит из четырех штрафов; два за нарушение GDPR и два за нарушение испанских законов о цифровых правах, телекоммуникациях и файлах cookie.

Vodafone привлек клиентов с незапрошенными маркетинговыми действиями включая звонки, электронные письма и SMS без надлежащего согласия. Некоторые клиенты, с которыми связались, были даже перечислены в справочнике людей, которые не хотят получать маркетинговые сообщения.

Vodafone передал часть своих операций на аутсорсинг и больше не мог определить, какие клиенты отказались от сторонних коммуникаций.

Они также одобрили международную передачу данных, которая не соответствовала требованиям GDPR и была признана работающей без каких-либо средств для проверки происхождения или законности обрабатываемых данных.

20. Grindr Штраф GDPR – 6,3 млн евро

В декабре 2021 года Норвежское управление по защите данных наложило Штраф GDPR в размере 6,3 млн евро за Grindr — приложение для знакомств и общения, предназначенное для геев, бисексуалов, трансгендеров и гомосексуалистов. Штраф выписан за разглашение персональных данных рекламным партнерам без надлежащего согласия.

Согласие на то, что Grindr основывал свою обработку на , не представляло собой свободный выбор , поскольку не допускало отдельного согласия на другую обработку данных.

Осуществлен доступ к сервису в бесплатной версии приложения при условии согласия на то, чтобы Grindr делился личными данными с рекламными партнерами, и физические лица не могли отказаться или отозвать согласие без ущерба.

Раскрытие данных без действительного согласия подорвало доверие людей и нарушило их основные права.

Штрафы GDPR на данный момент — заключение

Это актуальный и текущий список самых больших штрафов GDPR на данный момент, но этот список постоянно меняется, что указывает на множество действий со стороны органов по защите данных. Как говорится в отчете DLA Piper:

«Надзорные органы по всей Европе укомплектовывают свои группы правоприменения и пытаются справиться с новым режимом».