غرامات بقيمة 56 مليون يورو - نتائج العام مع اللائحة العامة لحماية البيانات

تم نشر بيانات عن المبلغ الإجمالي للغرامات على مخالفات اللوائح.

/ صورة بانكنفيرباند PD

الذي نشر التقرير عن حجم الغرامات

سوف يبلغ عمر اللائحة العامة لحماية البيانات عامًا واحدًا فقط في شهر مايو - ولكن المنظمين الأوروبيين قد فعلوا ذلك بالفعل النتائج. في فبراير 2019، تم إصدار تقرير حول نتائج اللائحة العامة لحماية البيانات (GDPR) من قبل المجلس الأوروبي لحماية البيانات (EDPB)، وهي الهيئة التي تراقب الامتثال للائحة.

الغرامات الأولى بموجب اللائحة العامة لحماية البيانات كان عليه منخفضة بسبب عدم استعداد الشركات لدخول اللائحة حيز التنفيذ. في الأساس، لم يدفع منتهكو اللوائح أكثر من بضع مئات الآلاف من اليورو. ومع ذلك، تبين أن المبلغ الإجمالي للعقوبات مثير للإعجاب للغاية - ما يقرب من 56 مليون يورو. وفي التقرير، قدم EDPB معلومات أخرى حول "العلاقة" بين شركات تكنولوجيا المعلومات وعملائها.

ماذا تقول الوثيقة ومن الذي دفع الغرامة بالفعل؟

منذ أن دخلت اللائحة حيز التنفيذ، فتحت الهيئات التنظيمية الأوروبية حوالي 206 ألف قضية تتعلق بانتهاكات أمن البيانات الشخصية. واستند نصفها تقريبًا (94) إلى شكاوى من أفراد. يمكن لمواطني الاتحاد الأوروبي تقديم شكوى بشأن الانتهاكات في معالجة وتخزين بياناتهم الشخصية والاتصال بالسلطات التنظيمية الوطنية، وبعد ذلك سيتم التحقيق في القضية في الولاية القضائية لبلد معين.

وكانت المواضيع الرئيسية التي ارتبطت بها شكاوى الأوروبيين هي انتهاكات حقوق موضوع البيانات الشخصية وحقوق المستهلك، فضلا عن تسرب البيانات الشخصية.

وتم فتح 64 قضية أخرى بعد إخطارات بتسريب البيانات من الشركات المسؤولة عن الحادث. ومن غير المعروف بالضبط عدد الحالات التي أدت إلى فرض غرامات، ولكن في المجمل دفع المخالفون 864 مليون يورو. وفقا ل خبراء أمن المعلومات، سيتعين دفع معظم هذا المبلغ إلى Google. في يناير 2019، فرضت الهيئة التنظيمية الفرنسية CNIL غرامة قدرها 50 مليون يورو على عملاق تكنولوجيا المعلومات.

استمرت الإجراءات في هذه القضية منذ اليوم الأول للقانون العام لحماية البيانات - حيث تم تقديم شكوى ضد الشركة من قبل الناشط النمساوي في مجال حماية البيانات ماكس شريمز. سبب استياء الناشط صلب صياغة غير دقيقة بدرجة كافية في الموافقة على معالجة البيانات الشخصية، والتي يقبلها المستخدمون عند إنشاء حساب من أجهزة Android.

قبل قضية عملاق تكنولوجيا المعلومات، كانت غرامات عدم الامتثال للائحة العامة لحماية البيانات أقل بكثير. في سبتمبر 2018، دفع مستشفى برتغالي 400 ألف يورو مقابل ثغرة أمنية في نظام التخزين الطبي الخاص به. السجلات و 20 ألف يورو - تطبيق دردشة ألماني (تم تخزين تسجيلات دخول العملاء وكلمات المرور في شكل غير مشفر).

ماذا يقول الخبراء عن اللوائح

يعتقد المنظمون أنه بعد تسعة أشهر، أثبتت اللائحة العامة لحماية البيانات فعاليتها. ووفقا لهم، ساعدت اللائحة في لفت انتباه المستخدمين إلى مسألة أمن بياناتهم الخاصة.

كما يسلط الخبراء الضوء على بعض أوجه القصور التي أصبحت ملحوظة خلال السنة الأولى من التنظيم. وأهمها عدم وجود نظام موحد لتحديد مقدار الغرامات. بواسطة وفقا ل المحامين، فإن الافتقار إلى القواعد المقبولة عموما يؤدي إلى عدد كبير من الطعون. ويجب التعامل مع الشكاوى من قبل لجان حماية البيانات، مما يعني أن السلطات تضطر إلى تخصيص وقت أقل للالتماسات المقدمة من مواطني الاتحاد الأوروبي.

ولمعالجة هذه المشكلة، قامت الجهات التنظيمية من المملكة المتحدة والنرويج وهولندا بالفعل بذلك طور قواعد تحديد مبلغ الاسترداد. ستقوم الوثيقة بجمع العوامل التي تؤثر على مبلغ الغرامة: مدة الحادث، وسرعة استجابة الشركة، وعدد ضحايا التسرب.

/ صورة بانكنفيرباند CC BY-ND

ما هي الخطوة التالية

ويعتقد الخبراء أنه من السابق لأوانه أن تسترخي شركات تكنولوجيا المعلومات. من المحتمل أن تزداد غرامات عدم الامتثال للائحة العامة لحماية البيانات (GDPR) في المستقبل.

السبب الأول هو تسرب البيانات المتكرر. وفقًا للإحصاءات الواردة من هولندا، حيث تم الإبلاغ عن انتهاكات تخزين البيانات الشخصية حتى قبل اللائحة العامة لحماية البيانات، فقد ارتفع عدد الإخطارات حول التسريبات في عام 2018 نمى مرتين. بواسطة وفقا ل وفقًا لخبير حماية البيانات جاي بونكر، أصبحت الانتهاكات الجديدة للقانون العام لحماية البيانات معروفة يوميًا تقريبًا، وبالتالي، في المستقبل القريب، سيبدأ المنظمون في معاملة الشركات المخالفة بشكل أكثر قسوة.

والسبب الثاني هو نهاية النهج «الناعم». في عام 2018، كانت الغرامات هي الملاذ الأخير - حيث سعى المنظمون في الغالب إلى مساعدة الشركات على حماية بيانات العملاء. ومع ذلك، هناك بالفعل العديد من الحالات التي يتم النظر فيها في أوروبا والتي يمكن أن تؤدي إلى غرامات كبيرة بموجب اللائحة العامة لحماية البيانات.

في سبتمبر 2018، حدث تسرب واسع النطاق للبيانات لقد حدث في الخطوط الجوية البريطانية. بسبب ثغرة أمنية في نظام الدفع الخاص بشركة الطيران، تمكن المتسللون من الوصول إلى بيانات بطاقة الائتمان الخاصة بالعملاء لمدة خمسة عشر يومًا. تأثر ما يقدر بنحو 400 شخص بالاختراق. متخصصون في أمن المعلومات توقعأن شركة الطيران يمكنها دفع أول غرامة قصوى في المملكة المتحدة - ستكون 20 مليون يورو أو 4% من إجمالي مبيعات الشركة السنوية (أيهما أكبر).

المنافس الآخر للعقوبة المالية الكبرى هو الفيسبوك. فتحت لجنة حماية البيانات الأيرلندية عشر قضايا ضد شركة تكنولوجيا المعلومات العملاقة بسبب انتهاكات مختلفة للقانون العام لحماية البيانات. ووقعت أكبر هذه الحوادث في سبتمبر الماضي، وهي ثغرة أمنية في البنية التحتية للشبكات الاجتماعية مسموح المتسللين للحصول على الرموز لتسجيل الدخول التلقائي. وأثر الاختراق على 50 مليون مستخدم لفيسبوك، 5 ملايين منهم من المقيمين في الاتحاد الأوروبي. وفق الإصدار ZDNet، فإن خرق البيانات هذا وحده قد يكلف الشركة مليارات الدولارات.

ونتيجة لذلك، يجب أن تكون مستعدًا لحقيقة أن اللائحة العامة لحماية البيانات (GDPR) ستظهر قوتها في عام 2019، ولن "تغض السلطات التنظيمية" الطرف عن الانتهاكات بعد الآن. على الأرجح، لن يكون هناك سوى المزيد من الحالات البارزة لانتهاكات اللوائح في المستقبل.

منشورات من المدونة الأولى حول IaaS للشركات:

• ما تحتاج لمعرفته حول PCI DSS: نظرة عامة على المعيار
• تأثير القانون العام لحماية البيانات: كيف أثر التنظيم الجديد على النظام البيئي لتكنولوجيا المعلومات
• تنظيم العمل مع البيانات الشخصية في روسيا وأوروبا

ما الذي نقوم الكتابة عنه؟ في قناتنا على التليجرام:

• من يدعم مشاريع السحابة - نتحدث عن أربعة صناديق مفتوحة المصدر
• كيفية إدارة الأجهزة في مركز البيانات - تقنيتان جديدتان
• لماذا تقل احتمالية تعطل محركات الأقراص الثابتة

المصدر: www.habr.com