Компания 23andMe, которая проводит анализы ДНК, сообщила, что в результате недавнего взлома произошла утечка данных, принадлежащих 6,9 млн пользователей. Инцидент коснулся 5,5 млн пользователей с активной функцией DNA Relatives (сопоставление людей со схожими ДНК) и 1,4 млн с профилями генеалогического древа.

Источник изображения: Darwin Laganzon / pixabay.com

Компания раскрыла информацию об инциденте в заявлении Комиссии по ценным бумагам и биржам (SEC) США, а также в официальном блоге. Злоумышленники, по версии 23andMe, получили доступ к информации, воспользовавшись методом подстановки данных: люди часто пользуются одинаковыми логинами и паролями на разных сервисах, из-за чего компрометация данных на одном открывает доступ к другим. В результате хакерам удалось войти в 0,1 % (14 000) учётных записей в системе компании. Сделав это, они воспользовались функцией DNA Relatives, предполагающей сопоставление ДНК вероятных родственников, и получили дополнительную информацию нескольких миллионов других профилей.

Первые сведения об инциденте были преданы огласке в октябре, когда 23andMe подтвердила, что данные её пользователей выставили на продажу в даркнете. Впоследствии компания заявила, что проверяет сообщения о публикации 4 млн генетических профилей жителей Великобритании, а также «самых богатых людей, проживающих в США и Западной Европе». В базе утечки 5,5 млн пользователей DNA Relatives оказались их отображаемые в системе имена, вероятные связи с другими людьми, число пользователей с совпадениями в ДНК, сведения о происхождении, указанные самими пользователями местоположения, места рождения предков, фамилии, изображения профиля и многое другое. Ещё 1,4 млн пользователей имели доступ к профилям генеалогического древа — из этой базы были похищены их отображаемые имена, родственные связи, годы рождения и указанные этими пользователями местоположения. Во второй базе, однако, не было степеней совпадения ДНК.

В 23andMe сообщили, что продолжают уведомлять пострадавших от утечки пользователей. Компания стала предупреждать клиентов о необходимости сменить пароли и принудительно внедрять двухфакторную авторизацию, которая ранее была необязательной.

Информационное агентство «Интерфакс» сообщает, что 30 ноября мировой суд Москвы рассмотрел иск Роскомнадзора к Apple о повторном невыполнении требований по локализации данных российских пользователей. Американская компания признана виновной в совершении административного правонарушения и наказана штрафом в размере 12 млн рублей.

Источник изображения: Pixabay

Суд признал Apple, являющуюся оператором персональных данных российских пользователей, не выполнившей требования части 9 статьи 13.11 Кодекса об административных правонарушениях по обеспечению записи, систематизации, накопления, хранения персональных данных граждан РФ с использованием баз данных, находящихся на территории России.

Представитель Роскомнадзора проинформировал журналистов, что требования по локализации персональных данных российских пользователей выполнили уже около 600 представительств зарубежных компаний в России. В октябре 2023 года Роскомнадзор довёл до суда дела против Google, Spotify и ещё 10 компаний, не локализовавших данные. Ранее в 2016 году по постановлению Таганского суда г. Москвы за отказ локализовать хранение персональных данных российских граждан была заблокирована социальная сеть LinkedIn.

В июле 2023 года мировой суд Таганского района Москвы уже признавал компанию Apple виновной в нарушении федерального закона о локализации баз персональных данных российских граждан, тогда штраф составил 2 млн рублей. В январе 2023 года Apple была оштрафована на 1,2 млрд рублей за нарушение российского антимонопольного законодательства.

Apple подвергается штрафам за невыполнение требований законодательных норм не только в России. В октябре 2022 года бразильский суд оштрафовал Apple на $19 млн за продажу iPhone без зарядных устройств. В декабре 2022 года Парижский суд оштрафовал Apple на €1 млн за нарушение правил конкуренции на софтверном рынке. В марте 2023 года Apple получила в Нидерландах уже девятый штраф в размере €5 млн за невыполнение требований антимонопольного органа.

После выдвинутых ещё в январе антимонопольным органом Германии возражений по поводу условий обработки персональных данных, Google согласилась предоставить пользователям расширенный выбор того, как разрешать компании использовать их личную информацию, сообщило Федеральное антикартельное управление (FCO) Германии. Теперь Google должна получить разрешение пользователя на объединение персональных данных из разных источников и на их перекрёстное использование.

Источник изображений: Pixabay

Заявление FCO подтверждает, что Google будет вынуждена отказаться от нарушающего конфиденциальность пользователей решения от января 2012 года, консолидирующего более 60 отдельных уведомлений о конфиденциальности для своих продуктов в единую всеобъемлющую политику. Тогда Google утверждала, что принудительное преобразование нескольких политик конфиденциальности и объединение информации о пользователях приведёт к «более простому и интуитивно понятному интерфейсу Google». На самом деле, этот шаг позволил компании собрать гораздо больше личных данных, расширив возможности по профилированию пользователей и улучшив качество таргетинга рекламы.

«В будущем Google придётся предоставить своим пользователям возможность давать бесплатное, конкретное, информированное и недвусмысленное согласие на обработку их данных всеми сервисами. Для этой цели Google должна предложить соответствующие варианты выбора для комбинации данных», — заявили в FCO, добавив, что дизайн новых «диалогов выбора» не должен быть направлен на манипулирование пользователями.

FCO изучала практики использования персональных данных компанией Google с мая 2021 года. Расследование активизировалось в 2022 году после того, как ведомство подтвердило, что к Google могут быть применены обновлённые правила внутренней конкуренции, направленные против технологических гигантов. Регулятор заявил, что Google «имеет первостепенное значение для конкуренции на разных рынках», в соответствии с немецким законом о борьбе с ограничением конкуренции.

Предварительный вердикт FCO по условиям использования данных Google заключался в том, что пользователям «не было предоставлено достаточного выбора относительно того, согласны ли они и в какой степени на эту далеко идущую обработку своих данных в разных сервисах» — при этом варианты, предоставленные Google, были найдены недостаточно прозрачными и «слишком общими».

По мнению регулятора, Google может «ставить использование сервисов в зависимость от согласия пользователей на обработку своих данных, не предоставляя им достаточного выбора». FCO также опасается, что Google может получить стратегическое преимущество перед конкурентами, которые не обладают столь же широкими возможностями объединения персональных данных.

Недавно вступил в силу «Закон ЕС о цифровых рынках» (DMA), который на общеевропейском уровне предусматривает эквивалентные немецкому законодательству ограничения на объединение пользовательских данных без согласия пользователя. В соответствии с новым законом, Google, наряду с другими технологическими гигантами, была признана посредником (привратником), после включения Google Maps, Google Play, Google Shopping, Google Ads Services, Google Chrome, Google Android, Google Search и YouTube в список так называемых «основных сервисов платформы». Для компаний-привратников установлен шестимесячный срок для приведения их деятельности в соответствие с DMA, что означает, что серьёзные операционные изменения со стороны таких компаний, как Google, скорее всего, не начнутся до марта 2024 года.

Немецкий регулятор сообщил, что, в связи с вступлением в силу европейского DMA, обязательства Google перед FCO будут применяться только к продуктам, на которые не распространяется действие DMA, то есть они охватят более 25 других сервисов Google, включая Gmail, Новости Google, Assistant, Контакты и Google TV.

На вопрос журналистов, как будет выглядеть «свободное, конкретное, информированное и недвусмысленное согласие» представитель FCO сообщил, что «следующим шагом со стороны Google будет представление плана реализации [новых требований] в течение следующих трёх месяцев».

Некоторые предположения можно сделать уже сейчас, опираясь на ход судебного процесса, возбуждённого FCO против Meta✴ — в июне ведомство объявило, что Meta✴ запустит новый центр учётных записей, который предоставит пользователям большую степень выбора в отношении объединения их персональных данных. Нужно заметить, что не все пользователи рады таким жёстким ограничениям со стороны регулирующих органов, так как перекрёстное профилирование давало им возможность «бесшовной» публикации в других сервисах Meta✴ и их устраивало, что Meta✴ объединяла их данные для таргетинга рекламы.

В рамках общего регламента по защите данных (GDPR), Meta✴ на сегодняшний день не имеет правовой основы для обработки данных своих пользователей для таргетирования рекламы. Сначала компания собиралась получать согласие пользователей из ЕС на обработку рекламы, однако последние сообщения в прессе говорят о том, что Meta✴ решила выпустить свои продукты в ЕС по подписке, что выводит их из-под действия GDPR.

В последние годы нам чаще приходилось слышать о введении более строгих правил в отношении взаимодействия международного бизнеса с властями КНР, но свежая публикация на страницах ресурса South China Morning Post выбивается из этой тенденции. В рамках новой инициативы правительство Китая хочет ослабить контроль за трансграничной передачей информации о гражданах страны.

Источник изображения: Shutterstock

Речь, в первую очередь, идёт о персональных данных, которые могут требоваться при совершении трансграничных платежей, покупок или оформлении разного рода документов в онлайн-форме. Год назад китайские регуляторы усугубили контроль в этой сфере, при этом оставив в действующем законодательстве довольно размытое определение «важной информации», за оборотом которой должны были следить сами операторы, работающие с этими данными.

Сейчас ведётся обсуждение новой версии правил, которое должно завершиться 15 октября. Изменения в законодательстве позволят иностранному бизнесу освободиться от избыточного контроля со стороны китайских властей при передаче персональных данных граждан Китая за пределы страны. Делать покупки, бронировать билеты, оформлять страховки и осуществлять переводы средств за границу для граждан Китая станет проще, если речь идёт о взаимодействии с иностранными компаниями. Они же смогут без дополнительных сложностей обрабатывать резюме китайских соискателей при поиске работы. Информация о состоянии здоровья граждан КНР тоже сможет передаваться за пределы страны без дополнительных процедур контроля.

В целом, принятой в прошлом году цензуре не будет подвергаться информация, содержащая персональные данные, если они относятся к менее чем 10 000 граждан КНР в год. Операторы данных освобождаются от проведения экспертизы передаваемых данных силами китайских регуляторов и уведомления их о таких транзакциях. Уведомление предусмотрено только при передаче информации, касающейся вплоть до 1 млн человек в год, но проверка этих данных не требуется. Наконец, только при обработке персональных данных для более чем 1 млн человек в год сохраняется требование к проведению экспертизы и контроля со стороны китайских регуляторов.

Подобные требования будут действовать в масштабах всего Китая, но муниципальные власти особых зон свободной торговли получат право вводить дополнительные послабления в этой сфере. Участники экономической деятельности в этих зонах получат ещё более широкие возможности по экспорту персональных данных граждан КНР без уведомления регуляторов. Принято считать, что такие послабления должны способствовать оживлению экономики Китая за счёт привлечения иностранных компаний, которых отпугивало чрезмерное регулирование в области работы с персональными данными.

Нидерландский производитель микросхем NXP Semiconductors уведомил клиентов об утечке данных, в результате которой была похищена информация о них: имена, адреса электронной почты, номера телефонов и многое другое.

Источник изображения: Gerd Altmann / pixabay.com

Информацию об инциденте предал огласке эксперт по кибербезопасности Трой Хант (Troy Hunt), опубликовавший в соцсети X копию электронного письма, которую компания разослала пострадавшим от утечки клиентам. Документ, в частности, гласит: «14 июля 2023 года мы обнаружили, что некая сторона получила определённые основные персональные данные, такие как адрес электронной почты и номера телефонов из системы, подключённой к нашему онлайн-порталу NXP.com».

По результатам внутреннего расследования компания заявила, что «не обнаружила никаких доказательств, подтверждающих, что данные использовались в мошеннических целях», но «из соображений предосторожности связалась со всеми пострадавшими пользователями NXP.com, чтобы убедиться, что они осведомлены, и принести извинения за причинённые неудобства».

В NXP не сообщили, какое число клиентов пострадало в результате взлома, но уточнили, какие данные, вероятно, были похищены:

• имя и фамилия [контактного лица];
• адрес электронной почты;
• страна, город, почтовый индекс и адрес [предприятия-заказчика];
• номер рабочего телефона;
• номер мобильного телефона;
• название компании;
• должность [контактного лица];
• предпочитаемый способ связи.

Компания предупредила своих клиентов, что в ближайшее время возможна волна фишинговых писем с запросом дополнительных персональных данных или предложением перейти по ссылке.

Стриминговый видеосервис Twitch был оштрафован на 13 млн рублей за повторный отказ локализовать персональные данные российских пользователей в базах данных в России. Постановление вынес мировой судья 422-го судебного участка Таганского района столицы в понедельник, 4 сентября, сообщает ТАСС.

Источник изображения: Caspar Camille Rubin / unsplash.com

Американскую компанию Twitch Interactive (принадлежит Amazon) признали виновной по ч. 9 ст. 13.11 КоАП. Максимальное наказание по этой статье составляет 18 млн рублей.

«Признать Twitch Interactive виновной в совершении административного правонарушения, предусмотренного частью 9 статьи 13.11 КоАП РФ», — уточнил судья Тимур Вахрамеев. В результате сервису стриминга был назначен штраф в 13 млн рублей. Представитель компании на суде не присутствовал.

По той же статье Таганский суд признал виновной американскую компанию Match Group, владеющую сервисом Tinder. Компанию оштрафовали на 10 млн рублей, сообщает «Интерфакс». Впервые российский суд оштрафовал Twitch и Tinder за отказ локализовать данные летом 2022 года. В обоих случаях штрафы составили по 2 млн рублей.

Закон «О персональных данных» обязывает российские и иностранные компании хранить личную информацию россиян только на территории РФ. Требование применяется к иностранным компаниям, не имеющим физического присутствия в России. Отказ от выполнения предписаний законодательства может грозить ресурсам блокировкой на территории России.

В Meta✴ рассматривают возможность запуска платной подписки на Facebook✴ и Instagram✴ в Евросоюзе, оформив которую пользователи избавятся от рекламы в социальных сетях, сообщила газета The New York Times со ссылкой на источники, осведомлённые о планах компании.

Источник изображения: Glenn Carstens-Peters/unsplash.com

По словам источников, это может помочь Meta✴ избежать проблем с соблюдением требований ЕС по обеспечению конфиденциальности, предоставляя пользователям альтернативу рекламным сервисам, которые используют собираемые данные пользователей. Вместе с тем Meta✴ продолжит предлагать в ЕС бесплатные версии приложений Facebook✴ и Instagram✴, в которых будет реклама. Сроки запуска платной подписки в социальных сетях Meta✴ и её стоимость пока неизвестны.

До этого в течение почти 20 лет основной бизнес Meta✴ был построен на предоставлении пользователям бесплатных услуг социальных сетей и продаже рекламы компаниям, которые хотели бы охватить их аудиторию. Однако в связи с необходимостью выполнения требований к обеспечению конфиденциальности данных ЕС компании приходится менять бизнес-модель.

В январе этого года ирландский регулятор оштрафовал Meta✴ на $400 млн за то, что она принуждала пользователей соглашаться с обработкой их личных данных в Instagram✴ и Facebook✴ в качестве условия использования этих социальных сетей.

А в июле Европейский суд юстиции постановил, что Facebook✴ не должна показывать пользователям на территории Евросоюза персонализированную рекламу без их согласия.

Мировой судья в Москве назначил административный штраф в размере 50 тыс. рублей мессенджеру Telegram. Такое наказание обусловлено нарушением законодательства в области оборота персональных данных.

Источник изображения: AJEL / Pixabay

«Назначить Telegram Messenger Inc. наказание в виде административного штрафа в размере 50 тыс. рублей», — огласил постановление мировой судья судебного участка №422 Таганского района Москвы Тимур Вахрамеев.

Согласно имеющимся данным, Telegram признали виновным в невыполнении требований по защите прав субъектов персональных данных по ч.5 ст.13.11 КоАП РФ (невыполнение требования по уточнению персональных данных). Максимальное наказание по этой статье для юрлиц предусматривает штраф в размере 90 тыс. рублей. Это первый штраф для Telegram по данной статье. Представители компании в судебном заседании не участвовали.

В соответствии с оглашёнными в суде материалами, претензии к мессенджеру возникли из-за обращения в Роскомнадзор сотрудницы одной из федеральных служб в связи с размещением в одном из каналов Telegram её персональных данных, включающих сведения о том, что ранее у неё было гражданство Украины.

Напомним, закон «О персональных данных» обязывает российские и иностранные компании хранить персональные данные россиян только на территории страны. Требование о локализации применяется к иностранным компаниям, которые не имеют физического присутствия в РФ и осуществляют деятельность на территории страны.

Персональные данные европейцев теперь могут свободно и безопасно передаваться из ЕС в США без дополнительных условий или разрешений на основе механизма, который защищает людей и обеспечивает юридическую определённость компаниям. Платформа конфиденциальности данных (DPF) была анонсирована ещё в марте 2022 года, но потребовалось больше года, чтобы доработать её. Прежний механизм экспорта данных был признан судьями ЕС недействительным ещё три года назад.

Источник изображения: Pixabay

Нынешнее решение — уже третье по счёту и пока неясно насколько прочным оно будет. Еврокомиссар Дидье Рейндерс (Didier Reynders) настроен оптимистично, утверждая, что структура — не просто копия более ранних механизмов передачи, а «совершенно другая система и очень надёжное решение». Обе предшествующие договорённости (известные как Safe Harbor и Privacy Shield) были отклонены высшим судом ЕС, когда выяснилось, что экспортируемые в США личные данные не были защищены в соответствии с требуемыми правовыми стандартами.

Участники кампании по защите конфиденциальности предупреждают, что новое соглашение также может оказаться несовершенным. Критики соглашения утверждают, что США не предприняли никаких шагов, чтобы обеспечить защиту информации иностранцев. По их мнению, DPF все ещё содержит тот же фундаментальный юридический конфликт между правами на неприкосновенность частной жизни в ЕС и полномочиями США по наблюдению, описанными в 702 статье Акта о негласном наблюдении в целях внешней разведки (FISA). Статья посвящена сбору персональной информации лиц, находящихся за пределами США.

Источник изображения: pexels.com

Рейндерс признал, что сегодняшний «зелёный свет» — это, по сути, одностороннее решение исполнительной власти ЕС, а впереди месяцы (или даже годы) обсуждения в суде ЕС и окончательный вердикт по DPF может быть вынесен лишь через несколько лет. Для справки: юридические вопросы по Privacy Shield были переданы в суд в мае 2018 года, а решение об отмене этого механизма появилось только в июле 2020 года.

«Говорят, определение безумия — это делать одно и то же снова и снова и ожидать другого результата. Как и в случае с Privacy Shield, последнее соглашение основано не на материальных изменениях, а на политических интересах, — заявил председатель группы по защите конфиденциальности Макс Шремс (Max Schrems). — FISA 702 должна быть продлена США в этом году, но, с объявлением о новом соглашении DPF, ЕС потерял всякую возможность повлиять на реформу FISA 702».

«Мы добились значительных изменений в правовой базе США, — возражает Рейндерс. — Требования необходимости и пропорциональности теперь обеспечиваются гарантиями США. При оценке возможности доступа к данным американских спецслужб будут учитываться те же факторы, что и требования прецедентного права ЕС. Они включают характер данных, серьёзность угрозы и вероятное воздействие на права человека. Каждое разведывательное агентство США пересмотрело свои внутренние правила и процедуры для реализации новых требований на оперативном уровне».

Что касается переработанного механизма возмещения ущерба, Рейндерс описал его как «независимый и беспристрастный трибунал, который уполномочен расследовать жалобы, поданные европейцами, и выносить обязательные решения по исправлению положения», также отметив, что этот орган имеет право потребовать удаления данных, собранных с нарушениями.

Он подчеркнул, что механизм «удобен для пользователя» — граждане ЕС могут подать жалобу бесплатно и на своём родном языке, через местный орган по защите данных. Заявителю не нужно будет доказывать, что к его данным обращались спецслужбы США. Интересы истца бесплатно представит специальный адвокат с допуском службы безопасности. Возмещение ущерба контролируется независимым органом — Советом по надзору за конфиденциальностью и гражданскими свободами.

Критики нового соглашения полагают, что весь этот многолетний процесс — просто способ для законодателей по обе стороны океана выиграть ещё несколько лет отсрочки. Хорошим примером может служить ситуация с компанией Meta✴, которая уже около десяти лет подвергается преследованию за передачу данных из ЕС в США. В мае от компании потребовали в течении шести месяцев приостановить передачу персональных данных. Но после принятия DPF она может просто игнорировать приказ о приостановке. Правда, $1,3 млрд ей выплатить всё же придётся.

Этот процесс, который правозащитники назвали «разочаровывающим юридическим пинг-понгом», показывает, насколько сложно гражданам ЕС осуществлять право на неприкосновенность частной жизни. Технологические гиганты могут попирать права людей, пока получают достаточно прибыли, чтобы списывать любые штрафы на расходы по ведению бизнеса.

Конечно, в соответствии с принятыми законами, компании должны будут продемонстрировать, что они полностью соблюдают GDPR (Общее положение о защите данных). И тут Meta✴ придётся нелегко, поскольку регулирующие органы ЕС поставили под сомнение правовую основу, на которую Meta✴ ссылается при обработке данных для таргетинга рекламы. Даже если гиганту рекламных технологий теперь не придётся отрезать все потоки данных между ЕС и США, некоторые жёсткие реформы в рекламном бизнесе в ЕС теперь выглядят для компании неизбежными.

Стало известно, что Роскомнадзор вынес первые запреты на передачу персональной информации россиян за рубеж. Всего было вынесено семь запретов, они коснулись компаний в сферах финансов и логистики.

Источник изображения: geralt / Pixabay

Напомним, новый порядок передачи персональных данных за рубеж начал действовать с 1 марта. При передаче такой информации компании должны уведомлять Роскомнадзор, а также убедиться в том, что зарубежный партнёр может обеспечить конфиденциальность информации и её защиту при обработке. Эти требования не касаются стран, подписавших Конвенцию Совета Европы и включённых в перечень Роскомнадзора. Если в течение десяти дней после получения уведомления регулятор не выносит запрет, то данные могут быть переданы.

Представитель Роскомнадзора сообщил, что с марта было получено 589 таких уведомлений от российских операторов персональных данных, в семи случаях ведомство запретило осуществлять передачу. Кого именно коснулись запреты, не уточняется. Известно, что решение о запрете затронули финансовые и логистические компании. Решения о запрете и ограничении были вынесены из-за несоответствия цели трансграничной передачи персональных данных целям, указанным при их сборе, а также их объёму и содержанию. «В частности, компании планировали передать за рубеж личные данные соискателей, а также потенциальных клиентов для проверки их платёжеспособности», — сообщил представитель Роскомнадзора.

Генеральный директор «INFO-Line-Аналитики» Михаил Бурмистров напомнил, что на территории России продолжают работать международные компании, которые используют ресурсы находящихся за рубежом центральных офисов. Однако в ближайшее время такая практика должна прекратиться. «Речь идёт о полной локализации хранения данных либо об иных способах решения проблемы, потому что трансграничная передача данных больше осуществляться не будет. Компании просто-напросто могли не успеть сформировать инфраструктуру для хранения персональных данных на территории России», — считает господин Бурмистров.

Microsoft выплатит $20 млн, чтобы урегулировать претензии американского регулятора, уличившего компанию в незаконном сборе персональных данных несовершеннолетних, которые воспользовались консолью Xbox, не получив на это разрешения родителей.

Источник изображения: Xbox

Регулятор заявил, что несмотря на то, что Microsoft требовала от всех, кто пользуется сервисом Xbox Live, регистрации с указанием имени, адреса электронной почты и возраста, до конца 2021 года дети могли начать процесс создания нового аккаунта на Xbox ещё до того, как появлялось уведомление о требовании получения разрешения от родителей. При этом, даже когда компания узнала о пользователях младше 13 лет, она продолжала собирать и хранить данные, нарушая американский закон о защите личных данных детей в интернете (Children’s Online Privacy Protection Act, COPPA).

Microsoft заявила, что это произошло из-за «сбоя в хранении данных» и пообещала улучшить свои системы. «В дополнение к существующей стратегии многофакторной безопасности мы также планируем разработать систему подтверждения личности и возраста нового поколения — удобный, безопасный, одноразовый процесс для всех игроков», — говорится в заявлении компании.

После заключения мирового соглашения Microsoft присоединилась к десяткам других компаний, включая Amazon, Google и TikTok, которые столкнулись со штрафами Федеральной торговой комиссии США за сбор данных о детях без согласия родителей.

В рамках урегулирования инцидента Microsoft удалит в течение двух недель всю информацию, собранную о детях без согласия родителей. Помимо этого, компания будет предупреждать издателей видеоигр, которые запрашивают личную информацию, если пользователи являются детьми.

Корпорации Meta✴ грозит рекордный штраф за несоблюдение Общего регламента ЕС по защите персональных данных (GDPR) и отправку пользовательских данных резидентов ЕС в США без обеспечения надлежащих гарантий их защиты от доступа со стороны местных властей.

Источник изображения: Markus Spiske/unsplash.com

Как пишет The Register, сумма штрафа, который Ирландская комиссия по защите данных (DPC) наложит на Meta✴, пока не озвучена. По данным источников Bloomberg, она может превысить штраф в размере €746 млн, который в ЕС выписали компании Amazon в 2021 году за аналогичные нарушения GDPR.

По словам источников ресурса Bloomberg, помимо рекордного штрафа ирландский регулятор может заблокировать передачу данных Facebook✴ из ЕС в США на основании новых соглашений, поставленных под сомнение высшим судом ЕС. Речь идёт о документе Data Privacy Framework (DPF), призванном гарантировать конфиденциальность данных пользователей из ЕС взамен отменённого в 2020 году соглашения Privacy Shield.

Законодатели ЕС считают, что DPF не соответствует стандартам GDPR, позволяя американским компаниям использовать данные граждан ЕС способами, несовместимыми с европейским законодательством. В частности, DPF не обеспечивает запрет на доступ к данным для служб радиотехнической разведки или других спецслужб в целях защиты национальной безопасности.

Поэтому парламентарии ЕС призвали Европейскую комиссию не принимать решение о достаточности мер DPF, что станет официальным признанием ЕС того, что страна, не входящая в блок, принимает достаточные меры по защите данных.

В 2023 году DPC уже дважды оштрафовала Meta✴: на €390 млн за использование личных данных для таргетированной рекламы в Facebook✴ и Instagram✴ и ещё на €5,5 млн за нарушения регламента GDPR в работе с личными данными мессенджера WhatsApp.