Общему регламенту по защите данных исполнится год только в мае — однако европейские регуляторные органы уже подвели промежуточные итоги. В феврале 2019 года отчёт о результатах GDPR выпустил Европейский совет по защите данных (EDPB) — орган, который следит за соблюдением регламента.
Первые штрафы по GDPR были невысокими из-за неготовности компаний к вступлению регулирования в силу. В основном нарушители регламента платили не более нескольких сотен тысяч евро. Однако общая сумма взысканий оказалась довольно внушительной — почти €56 млн. В отчёте EDPB привёл и другую информацию о «взаимоотношениях» ИТ-компаний и их клиентов.
О чём говорится в документе и кто уже заплатил штраф
За время действия регламента европейские регуляторные органы открыли около 206 тысяч дел о нарушении безопасности персональных данных. Почти половина из них (94 622) — по жалобам частных лиц. Граждане ЕС могут написать заявление о нарушениях в процессе обработки и хранения их персональных данных и обратиться в национальные регуляторные органы, после чего дело будут расследовать в юрисдикции определенной страны.
Главные темы, с которыми были связаны жалобы европейцев, — нарушение прав субъекта ПД и прав потребителей, а также утечки персональных данных.
Ещё 64 864 дела открыли по уведомлению об утечке данных от компаний-виновников происшествия. Точно неизвестно, сколько из дел завершились штрафами, но в сумме нарушители заплатили €56 млн. По словам экспертов по ИБ, большую часть этой суммы придётся выплатить Google. В январе 2019 года французский регуляторный орган CNIL вынес ИТ-гиганту штраф в €50 млн.
Разбирательство по этому делу длилось с первого дня действия GDPR — жалобу на корпорацию подал австрийский борец за защиту данных Макс Шремс (Max Schrems). Причиной недовольства активиста стали недостаточно точные формулировки в согласии на обработку персональных данных, которое пользователи принимают при создании аккаунта с Android-устройств.
До дела ИТ-гиганта штрафы за несоблюдение GDPR были значительно ниже. В сентябре 2018 года €400 тысяч заплатила португальская больница за уязвимость в системе хранения мед. записей, а €20 тысяч — немецкое чат-приложение (логины и пароли клиентов хранились в незашифрованном виде).
Что говорят эксперты о регламенте
Представители регуляторных органов считают, что за девять месяцев GDPR доказал свою эффективность. По их словам, регламент помог обратить внимание пользователей к вопросу безопасности их собственных данных.
Эксперты выделяют и некоторые недостатки, которые стали заметны за первый год действия регламента. Наиболее важный из них — отсутствие единой системы определения размера штрафов. По словам юристов, нехватка общепринятых правил приводит к большому количеству апелляций. Жалобы приходится разбирать комиссиям по защите данных, из-за чего органы вынуждены уделять меньше времени на обращения граждан ЕС.
Для решения этой проблемы регуляторы из Великобритании, Норвегии и Нидерландов уже разрабатывают правила определения размера взыскания. В документе будут собраны факторы, влияющие на сумму штрафа: длительность инцидента, скорость реакции компании, количество пострадавших от утечки.
Эксперты считают, что ИТ-компаниям пока рано расслабляться. Вероятнее всего, в будущем размеры штрафов за несоблюдение GDPR увеличатся.
Первая причина — частые утечки данных. Согласно статистике из Нидерландов, где о нарушениях хранения ПД сообщали и до GDPR, за 2018 год число уведомлений об утечках выросло в два раза. По словам эксперта по защите данных Гая Банкера (Guy Bunker), о новых нарушениях GDPR становится известно почти ежедневно, и поэтому в ближайшем будущем регуляторы станут относиться к провинившимся компаниям жёстче.
Вторая причина — окончание действия «мягкого» подхода. В 2018 году штрафы были крайней мерой — в основном регуляторы стремились помочь компаниям защитить данные клиентов. Однако уже сейчас в Европе рассматривается несколько дел, которые могут привести к крупным штрафам по GDPR.
В сентябре 2018 года масштабная утечка данных произошла в British Airways. Из-за уязвимости в платёжной системе авиакомпании хакеры получили доступ к данным кредитных карт клиентов на протяжении пятнадцати дней. По оценкам, от взлома пострадали 400 тысяч частных лиц. Специалисты по информационной безопасности ожидают, что авиакомпания может выплатить первый максимальный штраф в Великобритании — он составит €20 млн или 4% годового оборота корпорации (смотря какая сумма окажется больше).
Ещё один претендент на крупное финансовое наказание — Facebook. Ирландская комиссия по защите данных открыла против ИТ-гиганта десять дел из-за разных нарушений GDPR. Наиболее крупное из них произошло в прошлом сентябре — уязвимость в инфраструктуре социальной сети позволила хакерам получить токены для автоматического входа в систему. От взлома пострадали 50 млн пользователей Facebook, 5 млн из которых оказались жителями ЕС. Согласно изданию ZDNet, только эта утечка данных может обойтись компании в миллиарды долларов.
В итоге стоит быть готовыми к тому, что в 2019 году GDPR покажет свою силу, а регуляторные органы перестанут «закрывать глаза» на нарушения. Вероятнее всего, громких дел о нарушениях регламента в будущем станет только больше.