Публикувани са данни за общия размер на глобите за нарушения на разпоредбите.
/ снимка PD
Кой публикува доклада за размера на глобите
Общият регламент за защита на данните ще навърши едва една година през май - но европейските регулатори вече са го направили . През февруари 2019 г. беше публикуван доклад за констатациите на GDPR от Европейския съвет за защита на данните (EDPB), органът, който следи за спазването на регламента.
Първи глоби по GDPR ниски поради неподготвеността на фирмите за влизане в сила на наредбата. По принцип нарушителите на разпоредбите плащат не повече от няколкостотин хиляди евро. Общата сума на санкциите обаче се оказа доста впечатляваща - почти €56 млн. В доклада ЕКЗД дава друга информация за „взаимоотношенията“ на ИТ компаниите и техните клиенти.
Какво пише в документа и кой вече е платил глобата?
Откакто регламентът е в сила, европейските регулатори са образували около 206 хиляди случая на нарушения на сигурността на личните данни. Почти половината от тях (94 622) са по жалби на частни лица. Гражданите на ЕС могат да подадат жалба за нарушения при обработката и съхранението на личните им данни и да се свържат с националните регулаторни органи, след което случаят ще бъде разследван в юрисдикцията на определена държава.
Основните теми, с които бяха свързани оплакванията на европейците, бяха нарушения на правата на субекта на лични данни и правата на потребителите, както и изтичане на лични данни.
Други 64 864 случая бяха открити след уведомления за изтичане на данни от компаниите, отговорни за инцидента. Не е известно точно колко от случаите са довели до глоби, но общо нарушителите са платили 56 милиона евро. експерти по информационна сигурност, по-голямата част от тази сума ще трябва да бъде платена на Google. През януари 2019 г. френският регулатор CNIL наложи глоба от 50 милиона евро на IT гиганта.
Производството по този случай продължава от първия ден на GDPR - жалба срещу корпорацията е подадена от австрийския активист за защита на данните Макс Шремс. Причината за недоволството на активиста недостатъчно прецизна формулировка в съгласието за обработка на лични данни, което потребителите приемат при създаване на акаунт от Android устройства.
Преди случая с IT гиганта глобите за неспазване на GDPR бяха значително по-ниски. През септември 2018 г. португалска болница плати 400 хиляди евро за уязвимост в системата си за съхранение на медицински средства. записи и 20 хил. евро - немско приложение за чат (клиентските имена и пароли се съхраняват в некриптиран вид).
Какво казват експертите за регламентите
Регулаторите смятат, че след девет месеца GDPR е доказал своята ефективност. Според тях регламентът е помогнал да се насочи вниманието на потребителите към въпроса за сигурността на собствените им данни.
Експертите изтъкват и някои недостатъци, които станаха забележими през първата година на наредбата. Най-важният от тях е липсата на единна система за определяне на размера на глобите. от юристи, липсата на общоприети правила води до голям брой обжалвания. Жалбите трябва да се разглеждат от комисиите за защита на данните, което означава, че властите са принудени да отделят по-малко време за обжалвания от граждани на ЕС.
За да се справят с този проблем, регулаторите от Обединеното кралство, Норвегия и Холандия вече са го направили правила за определяне на размера на възстановяването. Документът ще събира фактори, които влияят върху размера на глобата: продължителността на инцидента, скоростта на реакция на компанията, броят на жертвите на изтичането.
/ снимка
Какво следва?
Експертите смятат, че е твърде рано IT компаниите да се отпускат. Вероятно глобите за неспазване на GDPR ще се увеличат в бъдеще.
Първата причина е честото изтичане на данни. Според статистика от Холандия, където нарушения на съхранението на лични данни са докладвани още преди GDPR, през 2018 г. броят на уведомленията за течове два пъти. от Според експерта по защита на данните Гай Бънкър, нови нарушения на GDPR стават известни почти ежедневно и следователно в близко бъдеще регулаторите ще започнат да третират по-сурово компаниите нарушители.
Втората причина е краят на „мекия” подход. През 2018 г. глобите бяха последна мярка - най-вече регулаторите се стремяха да помогнат на компаниите да защитят данните на клиентите. В Европа обаче вече има няколко разглеждани случая, които могат да доведат до големи глоби съгласно GDPR.
През септември 2018 г. мащабно изтичане на данни в British Airways. Заради уязвимост в платежната система на авиокомпанията, хакери получиха достъп до данните за кредитните карти на клиентите за петнадесет дни. Приблизително 400 XNUMX души са били засегнати от хакването. Специалисти по информационна сигурност че авиокомпанията може да плати първата максимална глоба в Обединеното кралство - тя ще бъде 20 милиона евро или 4% от годишния оборот на корпорацията (която сума е по-голяма).
Друг претендент за голямо финансово наказание е Facebook. Ирландската комисия за защита на данните е образувала десет дела срещу ИТ гиганта заради различни нарушения на GDPR. Най-големият от тях се случи миналия септември - уязвимост в инфраструктурата на социалната мрежа хакери за получаване на токени за автоматично влизане. Хакът засегна 50 милиона потребители на Facebook, 5 милиона от които бяха жители на ЕС. Според ZDNet, само това нарушение на данните може да струва на компанията милиарди долари.
В резултат на това трябва да сте подготвени за факта, че през 2019 г. GDPR ще покаже своята сила и регулаторните органи вече няма да „затварят очите си“ за нарушения. Най-вероятно в бъдеще ще има само по-шумни случаи на нарушения на разпоредбите.
Публикации от първия блог за корпоративния IaaS:
За какво пишем? в нашия канал в Telegram:
Източник: www.habr.com