56 milionů eur na pokutách – výsledky roku s GDPR

Byly zveřejněny údaje o celkové výši pokut za porušení předpisů.

/ foto Bankenverband PD

Kdo zveřejnil zprávu o výši pokut

Obecné nařízení o ochraně osobních údajů bude v květnu staré teprve jeden rok – ale evropští regulátoři již ano výsledky. V únoru 2019 vydala Evropský výbor pro ochranu osobních údajů (EDPB), orgán, který dohlíží na dodržování nařízení, zprávu o zjištěních GDPR.

První pokuty podle GDPR bylo to nízká z důvodu nepřipravenosti firem na vstup regulace v platnost. V zásadě platí, že porušovatelé předpisů nezaplatili více než několik set tisíc eur. Celková výše pokut se však ukázala jako velmi působivá – téměř 56 milionů EUR.Ve zprávě EDPB uvedl další informace o „vztahu“ IT společností a jejich klientů.

Co se v dokumentu píše a kdo už pokutu zaplatil?

Od účinnosti nařízení otevřeli evropští regulátoři asi 206 tisíc případů porušení zabezpečení osobních údajů. Téměř polovina z nich (94 622) byla založena na stížnostech soukromých osob. Občané EU mohou podat stížnost na porušení při zpracování a uchovávání jejich osobních údajů a kontaktovat národní regulační orgány, poté bude případ vyšetřován v jurisdikci konkrétní země.

Hlavními tématy, se kterými souvisely stížnosti Evropanů, bylo porušování práv subjektu osobních údajů a práv spotřebitelů a také úniky osobních údajů.

Dalších 64 864 případů bylo otevřeno po oznámeních o úniku dat od společností odpovědných za incident. Není přesně známo, kolik případů vedlo k pokutám, ale celkem porušovatelé zaplatili 56 milionů eur. Slova odborníci na informační bezpečnost, většinu této částky bude nutné zaplatit společnosti Google. V lednu 2019 francouzský regulátor CNIL uložil IT gigantovi pokutu ve výši 50 milionů eur.

Řízení v tomto případě trvalo od prvního dne GDPR – stížnost na korporaci podal rakouský aktivista na ochranu dat Max Schrems. Příčina nespokojenosti aktivisty ocel nedostatečně přesné znění v souhlasu se zpracováním osobních údajů, který uživatelé při vytváření účtu ze zařízení Android akceptují.

Před kauzou IT giganta byly pokuty za nedodržení GDPR výrazně nižší. V září 2018 zaplatila portugalská nemocnice 400 tisíc EUR za zranitelnost ve svém zdravotnickém skladovacím systému. záznamy a 20 tisíc € - německá chatovací aplikace (přihlašovací údaje a hesla zákazníků byly uloženy v nešifrované podobě).

Co o předpisech říkají odborníci

Regulátoři se domnívají, že po devíti měsících prokázalo GDPR svou účinnost. Nařízení podle nich pomohlo upozornit uživatele na problematiku bezpečnosti vlastních dat.

Odborníci také zdůrazňují některé nedostatky, které se projevily během prvního roku platnosti nařízení. Nejdůležitější z nich je chybějící jednotný systém určování výše pokut. Podle Slova právníků vede nedostatek obecně uznávaných pravidel k velkému počtu odvolání. Stížnostmi se musí zabývat komise pro ochranu údajů, což znamená, že úřady jsou nuceny věnovat méně času odvoláním občanů EU.

Regulační orgány ze Spojeného království, Norska a Nizozemska již tento problém řeší rozvíjet pravidla pro stanovení výše vymáhání. Dokument bude shromažďovat faktory, které ovlivňují výši pokuty: dobu trvání incidentu, rychlost reakce společnosti, počet obětí úniku.

/ foto Bankenverband CC BY-ND

Co je další

Odborníci se domnívají, že je příliš brzy na to, aby si IT společnosti odpočinuly. Je pravděpodobné, že pokuty za nedodržování GDPR v budoucnu porostou.

Prvním důvodem jsou časté úniky dat. Podle statistik z Nizozemska, kde bylo narušení úložišť osobních údajů hlášeno již před GDPR, se v roce 2018 počet upozornění na úniky vyrostl dvakrát. Podle Slova Podle experta na ochranu dat Guye Bunkera jsou nová porušení GDPR známá téměř denně, a proto v blízké budoucnosti začnou regulátoři přistupovat k porušujícím společnostem tvrději.

Druhým důvodem je konec „měkkého“ přístupu. V roce 2018 byly pokuty až poslední možností – většinou se regulátoři snažili firmám pomoci chránit data zákazníků. V Evropě se však již zvažuje několik případů, které by mohly vést k vysokým pokutám podle GDPR.

V září 2018 došlo k rozsáhlému úniku dat Stalo u British Airways. Kvůli zranitelnosti platebního systému letecké společnosti získali hackeři přístup k údajům o kreditních kartách zákazníků na patnáct dní. Hackem bylo zasaženo odhadem 400 XNUMX jedinců. Specialisté na informační bezpečnost očekávatže letecká společnost může zaplatit první maximální pokutu ve Spojeném království – bude to 20 milionů EUR nebo 4 % ročního obratu společnosti (podle toho, která částka je vyšší).

Dalším uchazečem o velký finanční trest je Facebook. Irská komise pro ochranu osobních údajů zahájila deset případů proti IT gigantovi kvůli různým porušením GDPR. K největšímu z nich došlo loni v září – zranitelnost v infrastruktuře sociálních sítí povoleno hackeři získat tokeny pro automatické přihlášení. Hack ovlivnil 50 milionů uživatelů Facebooku, z nichž 5 milionů byli obyvatelé EU. Podle edice ZDNet by toto narušení dat samo o sobě mohlo stát společnost miliardy dolarů.

V důsledku toho byste se měli připravit na to, že v roce 2019 GDPR ukáže svou sílu a regulační orgány již nebudou „zavírat oči“ před porušováním. S největší pravděpodobností bude v budoucnu přibývat okázalých případů porušení předpisů.

Příspěvky z prvního blogu o firemním IaaS:

• Co potřebujete vědět o PCI DSS: standardní přehled
• Vliv GDPR: jak nové nařízení ovlivnilo IT ekosystém
• Regulace práce s osobními údaji v Rusku a Evropě

O čem to píšeme? na našem kanálu Telegram:

• Kdo podporuje cloudové projekty – mluvíme o čtyřech open source fondech
• Jak spravovat hardware v datovém centru – dvě nové technologie
• Proč se pevné disky kazí méně často

Zdroj: www.habr.com