Data om det samlede bødebeløb for overtrædelse af reglerne er offentliggjort.
/ Foto PD
Hvem offentliggjorde rapporten om bødernes størrelse
Den generelle databeskyttelsesforordning fylder kun et år til maj – men det har europæiske tilsynsmyndigheder allerede gjort . I februar 2019 blev en rapport om resultaterne af GDPR udgivet af European Data Protection Board (EDPB), det organ, der overvåger overholdelsen af forordningen.
Første bøder i henhold til GDPR lavt på grund af virksomhedernes manglende beredskab til reguleringens ikrafttræden. Grundlæggende betalte overtrædere af reglerne ikke mere end et par hundrede tusinde euro. Det samlede bødebeløb viste sig dog at være ret imponerende - næsten 56 millioner euro. I rapporten gav EDPB andre oplysninger om "forholdet" mellem it-virksomheder og deres kunder.
Hvad står der i dokumentet, og hvem har allerede betalt bøden?
Siden forordningen trådte i kraft, har europæiske tilsynsmyndigheder åbnet omkring 206 tusind sager om krænkelser af persondatasikkerheden. Næsten halvdelen af dem (94) var baseret på klager fra private. EU-borgere kan indgive en klage over krænkelser i behandlingen og opbevaringen af deres personoplysninger og kontakte de nationale tilsynsmyndigheder, hvorefter sagen vil blive undersøgt i et bestemt lands jurisdiktion.
De vigtigste emner, som klager fra europæere var relateret til, var krænkelser af rettighederne for emnet for personoplysninger og forbrugerrettigheder samt læk af personoplysninger.
Yderligere 64 sager blev åbnet efter meddelelser om datalæk fra de virksomheder, der er ansvarlige for hændelsen. Det vides ikke præcist, hvor mange af sagerne, der resulterede i bøder, men i alt betalte krænkerne 864 mio. informationssikkerhedseksperter, vil det meste af dette beløb skulle betales til Google. I januar 2019 pålagde den franske regulator CNIL en bøde på 50 millioner euro til it-giganten.
Sagen i denne sag varede fra den første dag af GDPR - en klage mod selskabet blev indgivet af den østrigske databeskyttelsesaktivist Max Schrems. Årsagen til aktivistens utilfredshed utilstrækkelig præcis formulering i samtykket til behandling af personoplysninger, som brugere accepterer, når de opretter en konto fra Android-enheder.
Før it-gigantens sag var bøderne for manglende overholdelse af GDPR væsentligt lavere. I september 2018 betalte et portugisisk hospital €400 tusind for en sårbarhed i dets medicinske lagersystem. optegnelser og €20 tusinde - en tysk chatapplikation (kundelogin og adgangskoder blev gemt i ukrypteret form).
Hvad siger eksperter om reglerne
Regulatorer mener, at GDPR efter ni måneder har bevist sin effektivitet. Ifølge dem var forordningen med til at henlede brugernes opmærksomhed på spørgsmålet om sikkerheden af deres egne data.
Eksperter fremhæver også nogle mangler, som blev mærkbare i løbet af forordningens første år. Den vigtigste af dem er manglen på et samlet system til fastsættelse af bøder. Ved advokater, fører manglen på almindeligt anerkendte regler til et stort antal anker. Klager skal behandles af databeskyttelseskommissioner, hvilket betyder, at myndighederne er tvunget til at bruge mindre tid på klager fra EU-borgere.
For at løse dette problem har regulatorer fra Storbritannien, Norge og Holland allerede gjort det regler for fastsættelse af inddrivelsens størrelse. Dokumentet vil indsamle faktorer, der påvirker bødens størrelse: hændelsens varighed, hastigheden af virksomhedens reaktion, antallet af ofre for lækagen.
/ Foto
Hvad er næste
Eksperter mener, at det er for tidligt for it-virksomheder at slappe af. Det er sandsynligt, at bøder for manglende overholdelse af GDPR vil stige i fremtiden.
Den første grund er hyppige datalæk. Ifølge statistik fra Holland, hvor overtrædelser af lagring af personoplysninger blev rapporteret allerede før GDPR, var antallet af meddelelser om læk i 2018 to gange. Ved Ifølge databeskyttelsesekspert Guy Bunker bliver nye overtrædelser af GDPR kendt næsten dagligt, og derfor vil regulatorer i den nærmeste fremtid begynde at behandle krænkende virksomheder hårdere.
Den anden grund er afslutningen på den "bløde" tilgang. I 2018 var bøder en sidste udvej - for det meste søgte regulatorer at hjælpe virksomheder med at beskytte kundedata. Der er dog allerede flere sager under behandling i Europa, som kan føre til store bøder i henhold til GDPR.
I september 2018, et storstilet datalæk hos British Airways. På grund af en sårbarhed i flyselskabets betalingssystem fik hackere adgang til kundernes kreditkortdata i femten dage. Det anslås, at 400 personer blev berørt af hacket. Informationssikkerhedsspecialister at flyselskabet kan betale den første maksimale bøde i Storbritannien - det vil være €20 millioner eller 4% af selskabets årlige omsætning (alt efter hvilket beløb der er størst).
En anden udfordrer til større økonomisk straf er Facebook. Den irske databeskyttelseskommission har åbnet ti sager mod it-giganten på grund af forskellige overtrædelser af GDPR. Den største af disse fandt sted i september sidste år - en sårbarhed i den sociale netværksinfrastruktur hackere for at få tokens til automatisk login. Hacket ramte 50 millioner Facebook-brugere, hvoraf 5 millioner var bosiddende i EU. Ifølge ZDNet, alene dette databrud kan koste virksomheden milliarder af dollars.
Som et resultat bør du være forberedt på, at GDPR i 2019 vil vise sin styrke, og tilsynsmyndigheder vil ikke længere "lukke det blinde øje" til overtrædelser. Højst sandsynligt vil der kun være flere højtprofilerede sager om overtrædelse af regler i fremtiden.
Indlæg fra den første blog om virksomhedens IaaS:
Hvad skriver vi om? i vores Telegram-kanal:
Kilde: www.habr.com