56 мільёнаў еўра штрафаў - вынікі года з GDPR

Апублікаваны даныя аб сумарным памеры штрафаў за парушэнні рэгламенту.

/ фота Bankenverband PD

Хто апублікаваў справаздачу аб памеры штрафаў

Агульнаму рэгламенту па абароне дадзеных споўніцца год толькі ў траўні - аднак еўрапейскія рэгулятарныя органы ўжо падвялі прамежкавыя вынікі. У лютым 2019 года справаздачу аб выніках GDPR выпусціла Еўрапейская рада па абароне дадзеных (EDPB) — орган, які сочыць за выкананнем рэгламенту.

Першыя штрафы па GDPR былі невысокімі з-за негатоўнасці кампаній да ўступлення рэгулявання ў сілу. У асноўным парушальнікі рэгламенту плацілі не больш за некалькі сотняў тысяч еўра. Аднак агульная сума спагнанняў апынулася даволі вялікай - амаль € 56 млн. У справаздачы EDPB прывёў і іншую інфармацыю аб "ўзаемаадносінах" ІТ-кампаній і іх кліентаў.

Пра што гаворыцца ў дакуменце і хто ўжо заплаціў штраф

За час дзеяння рэгламенту еўрапейскія рэгулятарныя органы адкрылі каля 206 тысяч спраў аб парушэнні бяспекі персанальных звестак. Амаль палова з іх (94 622) - па скаргах прыватных асоб. Грамадзяне ЕС могуць напісаць заяву аб парушэннях у працэсе апрацоўкі і захоўвання іх персанальных звестак і звярнуцца ў нацыянальныя рэгулятарныя органы, пасля чаго справу будуць расследаваць у юрысдыкцыі пэўнай краіны.

Галоўныя тэмы, з якімі былі звязаныя скаргі еўрапейцаў, - парушэнне правоў суб'екта ПД і правоў спажыўцоў, а таксама ўцечкі персанальных дадзеных.

Яшчэ 64 справы адкрылі па апавяшчэнні аб уцечцы дадзеных ад кампаній-вінаватых здарэння. Дакладна невядома, колькі са спраў завяршыліся штрафамі, але ў суме парушальнікі заплацілі €864 млн. слоў экспертаў па ИБ, большую частку гэтай сумы давядзецца выплаціць Google. У студзені 2019 года французскі рэгулятарны орган CNIL вынес ІТ-гіганту штраф у € 50 млн.

Разбіральніцтва па гэтай справе доўжылася з першага дня дзеяння GDPR – скаргу на карпарацыю падаў аўстрыйскі змагар за абарону дадзеных Макс Шрэмс (Max Schrems). Прычынай незадаволенасці актывіста сталі недастаткова дакладныя фармулёўкі ў згодзе на апрацоўку персанальных дадзеных, якое карыстачы прымаюць пры стварэнні акаўнта з Android-прылад.

Да справы ІТ-гіганта штрафы за незахаванне GDPR былі значна ніжэй. У верасні 2018 года €400 тысяч заплаціла партугальская бальніца за ўразлівасць у сістэме захоўвання мёд. запісаў, а €20 тысяч - нямецкае чат-дадатак (лагіны і паролі кліентаў захоўваліся ў незашыфраваным выглядзе).

Што кажуць эксперты аб рэгламенце

Прадстаўнікі рэгулятарных органаў лічаць, што за дзевяць месяцаў GDPR даказаў сваю эфектыўнасць. Па іх словах, рэгламент дапамог звярнуць увагу карыстальнікаў да пытання бяспекі іх уласных дадзеных.

Эксперты выдзяляюць і некаторыя недахопы, якія сталі прыкметныя за першы год дзеяння рэгламенту. Найбольш важны з іх - адсутнасць адзінай сістэмы вызначэння памеру штрафаў. Па слоў юрыстаў, недахоп агульнапрынятых правіл прыводзіць да вялікай колькасці апеляцый. Скаргі даводзіцца разбіраць камісіям па абароне даных, з-за чаго органы вымушаны ўдзяляць менш часу на звароты грамадзян ЕС.

Для вырашэння гэтай праблемы рэгулятары з Вялікабрытаніі, Нарвегіі і Нідэрландаў ужо распрацоўваюць правілы вызначэння памеру спагнання. У дакуменце будуць сабраны фактары, якія ўплываюць на суму штрафу: працягласць інцыдэнту, хуткасць рэакцыі кампаніі, колькасць пацярпелых ад уцечкі.

/ фота Bankenverband CC BY-ND

Што далей

Эксперты лічаць, што ІТ-кампаніям пакуль рана расслабляцца. Верагодней за ўсё, у будучыні памеры штрафаў за незахаванне GDPR павялічацца.

Першая прычына - частыя ўцечкі дадзеных. Паводле статыстыкі з Нідэрландаў, дзе аб парушэннях захоўвання ПД паведамлялі і да GDPR, за 2018 год колькасць апавяшчэнняў аб уцечках вырасла у два разы. Па слоў эксперта па абароне дадзеных Гая Банкера (Guy Bunker), аб новых парушэннях GDPR становіцца вядома амаль штодня, і таму ў найбліжэйшай будучыні рэгулятары стануць ставіцца да якія правініліся кампаніям больш жорстка.

Другая прычына - заканчэнне дзеяння «мяккага» падыходу. У 2018 годзе штрафы былі крайняй мерай - у асноўным рэгулятары імкнуліся дапамагчы кампаніям абараніць дадзеныя кліентаў. Аднак ужо зараз у Еўропе разглядаецца некалькі спраў, якія могуць прывесці да буйных штрафаў па GDPR.

У верасні 2018 года маштабная ўцечка даных адбылася у British Airways. З-за ўразлівасці ў плацежнай сістэме авіякампаніі хакеры атрымалі доступ да дадзеных крэдытных карт кліентаў на працягу пятнаццаці дзён. Паводле ацэнак, ад узлому пацярпелі 400 тысяч прыватных асоб. Спецыялісты па інфармацыйнай бяспецы чакаюць, Што авіякампанія можа выплаціць першы максімальны штраф у Вялікабрытаніі - ён складзе € 20 млн або 4% гадавога абароту карпарацыі (гледзячы якая сума апынецца больш).

Яшчэ адзін прэтэндэнт на буйное фінансавае пакаранне - Facebook. Ірландская камісія па абароне дадзеных адкрыла супраць ІТ-гіганта дзесяць спраў з-за розных парушэнняў GDPR. Найбольш буйное з іх адбылося ў мінулым верасні - уразлівасць у інфраструктуры сацыяльнай сеткі дазволіла хакерам атрымаць токены для аўтаматычнага ўваходу ў сістэму. Ад узлому пацярпелі 50 млн карыстальнікаў Facebook, 5 млн з якіх аказаліся жыхарамі ЕС. Згодна выданню ZDNet, толькі гэтая ўцечка дадзеных можа абысціся кампаніі ў мільярды долараў.

У выніку варта быць гатовымі да таго, што ў 2019 годзе GDPR пакажа сваю сілу, а рэгулятарныя органы перастануць "закрываць вочы" на парушэнні. Верагодней за ўсё, гучных спраў аб парушэннях рэгламенту ў будучыні стане толькі больш.

Пасты з Першага блога аб карпаратыўным IaaS:

• Што трэба ведаць аб PCI DSS: агляд стандарту
• Эфект GDPR: як новы рэгламент паўплываў на IT-экасістэму
• Рэгуляванне працы з персанальнымі дадзенымі ў Расіі і Еўропе

Пра што мы пішам у нашым Telegram-канале:

• Хто падтрымлівае хмарныя праекты - распавядаем пра чатыры open source фонды
• Як кіраваць жалезам у дата-цэнтры – дзве новыя тэхналогіі
• Чаму цвёрдыя дыскі сталі радзей ламацца.

Крыніца: habr.com