56 εκατ. ευρώ πρόστιμα - αποτελέσματα της χρονιάς με GDPR

Δημοσιεύτηκαν στοιχεία για το συνολικό ύψος των προστίμων για παραβάσεις κανονισμών.

/ φωτογραφία Bankenverband PD

Ποιος δημοσίευσε την έκθεση για το ύψος των προστίμων

Ο Γενικός Κανονισμός για την Προστασία Δεδομένων θα γίνει μόλις ενός έτους τον Μάιο - αλλά οι ευρωπαϊκές ρυθμιστικές αρχές το έχουν ήδη κάνει αποτελέσματα. Τον Φεβρουάριο του 2019, κυκλοφόρησε μια έκθεση σχετικά με τα ευρήματα του GDPR από το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB), το όργανο που παρακολουθεί τη συμμόρφωση με τον κανονισμό.

Πρώτα πρόστιμα βάσει του GDPR Ήμασταν χαμηλά λόγω της ανετοιμότητας των εταιρειών για την έναρξη ισχύος της ρύθμισης. Βασικά, οι παραβάτες των κανονισμών δεν πλήρωναν πάνω από μερικές εκατοντάδες χιλιάδες ευρώ. Ωστόσο, το συνολικό ποσό των ποινών αποδείχθηκε αρκετά εντυπωσιακό - σχεδόν 56 εκατ. ευρώ Στην έκθεση, το EDPB παρείχε και άλλες πληροφορίες σχετικά με τη «σχέση» των εταιρειών πληροφορικής και των πελατών τους.

Τι λέει το έγγραφο και ποιος έχει ήδη πληρώσει το πρόστιμο;

Από τότε που τέθηκε σε ισχύ ο κανονισμός, οι ευρωπαϊκές ρυθμιστικές αρχές έχουν ανοίξει περίπου 206 χιλιάδες περιπτώσεις παραβιάσεων της ασφάλειας των προσωπικών δεδομένων. Σχεδόν τα μισά από αυτά (94) βασίστηκαν σε καταγγελίες ιδιωτών. Οι πολίτες της ΕΕ μπορούν να υποβάλουν καταγγελία για παραβιάσεις στην επεξεργασία και αποθήκευση των προσωπικών τους δεδομένων και να επικοινωνήσουν με τις εθνικές ρυθμιστικές αρχές, μετά την οποία η υπόθεση θα διερευνηθεί στη δικαιοδοσία μιας συγκεκριμένης χώρας.

Τα κύρια θέματα με τα οποία σχετίζονται οι καταγγελίες από Ευρωπαίους ήταν οι παραβιάσεις των δικαιωμάτων του υποκειμένου των προσωπικών δεδομένων και των δικαιωμάτων των καταναλωτών, καθώς και οι διαρροές προσωπικών δεδομένων.

Άλλες 64 υποθέσεις σχηματίστηκαν μετά από ειδοποιήσεις για διαρροές δεδομένων από τις εταιρείες που ευθύνονται για το περιστατικό. Δεν είναι γνωστό πόσες ακριβώς από τις υποθέσεις επιβλήθηκαν πρόστιμα, αλλά συνολικά οι παραβάτες κατέβαλαν 864 εκατ. ευρώ. λόγια εμπειρογνώμονες ασφάλειας πληροφοριών, το μεγαλύτερο μέρος αυτού του ποσού θα πρέπει να καταβληθεί στην Google. Τον Ιανουάριο του 2019, η γαλλική ρυθμιστική αρχή CNIL επέβαλε πρόστιμο 50 εκατομμυρίων ευρώ στον κολοσσό της πληροφορικής.

Η διαδικασία σε αυτή την υπόθεση διήρκεσε από την πρώτη ημέρα του GDPR - καταγγελία κατά της εταιρείας κατατέθηκε από τον Αυστριακό ακτιβιστή προστασίας δεδομένων Max Schrems. Η αιτία της δυσαρέσκειας του ακτιβιστή ατσάλι ανεπαρκής ακριβής διατύπωση στη συγκατάθεση για την επεξεργασία προσωπικών δεδομένων, την οποία αποδέχονται οι χρήστες κατά τη δημιουργία λογαριασμού από συσκευές Android.

Πριν από την περίπτωση του γίγαντα της πληροφορικής, τα πρόστιμα για μη συμμόρφωση με τον GDPR ήταν σημαντικά χαμηλότερα. Τον Σεπτέμβριο του 2018, ένα πορτογαλικό νοσοκομείο πλήρωσε 400 χιλιάδες ευρώ για μια ευπάθεια στο ιατρικό του σύστημα αποθήκευσης. εγγραφές, και 20 χιλιάδες ευρώ - μια γερμανική εφαρμογή συνομιλίας (τα στοιχεία σύνδεσης και οι κωδικοί πρόσβασης των πελατών αποθηκεύτηκαν σε μη κρυπτογραφημένη μορφή).

Τι λένε οι ειδικοί για τους κανονισμούς

Οι ρυθμιστικές αρχές πιστεύουν ότι μετά από εννέα μήνες, ο GDPR έχει αποδείξει την αποτελεσματικότητά του. Σύμφωνα με αυτούς, ο κανονισμός βοήθησε να επιστήσει την προσοχή των χρηστών στο θέμα της ασφάλειας των δικών τους δεδομένων.

Οι ειδικοί επισημαίνουν επίσης ορισμένες ελλείψεις που έγιναν αισθητές κατά το πρώτο έτος του κανονισμού. Το σημαντικότερο από αυτά είναι η έλλειψη ενιαίου συστήματος για τον καθορισμό του ύψους των προστίμων. Με λόγια δικηγόροι, η έλλειψη γενικά αποδεκτών κανόνων οδηγεί σε μεγάλο αριθμό προσφυγών. Οι καταγγελίες πρέπει να αντιμετωπίζονται από επιτροπές προστασίας δεδομένων, πράγμα που σημαίνει ότι οι αρχές αναγκάζονται να αφιερώνουν λιγότερο χρόνο στις εκκλήσεις πολιτών της ΕΕ.

Για την αντιμετώπιση αυτού του ζητήματος, ρυθμιστικές αρχές από το Ηνωμένο Βασίλειο, τη Νορβηγία και την Ολλανδία έχουν ήδη κάνει αναπτύσσω κανόνες για τον καθορισμό του ποσού της ανάκτησης. Το έγγραφο θα συλλέγει παράγοντες που επηρεάζουν το ύψος του προστίμου: τη διάρκεια του συμβάντος, την ταχύτητα απόκρισης της εταιρείας, τον αριθμό των θυμάτων της διαρροής.

/ φωτογραφία Bankenverband CC BY-ND

Ποιο είναι το επόμενο

Οι ειδικοί πιστεύουν ότι είναι πολύ νωρίς για τις εταιρείες πληροφορικής να χαλαρώσουν. Είναι πιθανό τα πρόστιμα για μη συμμόρφωση με τον GDPR να αυξηθούν στο μέλλον.

Ο πρώτος λόγος είναι οι συχνές διαρροές δεδομένων. Σύμφωνα με στατιστικά στοιχεία από την Ολλανδία, όπου αναφέρθηκαν παραβιάσεις αποθήκευσης προσωπικών δεδομένων ακόμη και πριν από τον GDPR, το 2018 ο αριθμός των ειδοποιήσεων για διαρροές μεγάλωσε εις διπλούν. Με λόγια Σύμφωνα με τον εμπειρογνώμονα προστασίας δεδομένων Guy Bunker, νέες παραβιάσεις του GDPR γίνονται γνωστές σχεδόν καθημερινά και ως εκ τούτου, στο εγγύς μέλλον, οι ρυθμιστικές αρχές θα αρχίσουν να αντιμετωπίζουν πιο σκληρά τις παραβατικές εταιρείες.

Ο δεύτερος λόγος είναι το τέλος της «μαλακής» προσέγγισης. Το 2018, τα πρόστιμα ήταν η τελευταία λύση - κυρίως οι ρυθμιστικές αρχές προσπάθησαν να βοηθήσουν τις εταιρείες να προστατεύσουν τα δεδομένα των πελατών. Ωστόσο, υπάρχουν ήδη αρκετές υποθέσεις που εξετάζονται στην Ευρώπη που θα μπορούσαν να οδηγήσουν σε μεγάλα πρόστιμα βάσει του GDPR.

Τον Σεπτέμβριο του 2018, μια μεγάλης κλίμακας διαρροή δεδομένων έχει συμβεί στην British Airways. Λόγω ευπάθειας στο σύστημα πληρωμών της αεροπορικής εταιρείας, χάκερ απέκτησαν πρόσβαση στα δεδομένα πιστωτικών καρτών πελατών για δεκαπέντε ημέρες. Υπολογίζεται ότι 400 άτομα επηρεάστηκαν από το hack. Ειδικοί σε θέματα ασφάλειας πληροφοριών αναμένωότι η αεροπορική εταιρεία μπορεί να πληρώσει το πρώτο μέγιστο πρόστιμο στο Ηνωμένο Βασίλειο - θα είναι 20 εκατομμύρια ευρώ ή 4% του ετήσιου κύκλου εργασιών της εταιρείας (όποιο ποσό είναι μεγαλύτερο).

Ένας άλλος υποψήφιος για μεγάλη οικονομική τιμωρία είναι το Facebook. Η Ιρλανδική Επιτροπή Προστασίας Δεδομένων έχει ανοίξει δέκα υποθέσεις εναντίον του κολοσσού της πληροφορικής λόγω διαφόρων παραβιάσεων του GDPR. Το μεγαλύτερο από αυτά συνέβη τον περασμένο Σεπτέμβριο - μια ευπάθεια στην υποδομή των κοινωνικών δικτύων επιτρέπεται χάκερ για να αποκτήσουν μάρκες για αυτόματη σύνδεση. Το χακάρισμα επηρέασε 50 εκατομμύρια χρήστες του Facebook, 5 εκατομμύρια εκ των οποίων ήταν κάτοικοι της ΕΕ. Σύμφωνα με έκδοση ZDNet, αυτή η παραβίαση δεδομένων από μόνη της θα μπορούσε να κοστίσει στην εταιρεία δισεκατομμύρια δολάρια.

Ως αποτέλεσμα, θα πρέπει να είστε προετοιμασμένοι για το γεγονός ότι το 2019 ο GDPR θα δείξει τη δύναμή του και οι ρυθμιστικές αρχές δεν θα «κλείνουν το μάτι» στις παραβιάσεις. Πιθανότατα, θα υπάρξουν μόνο περισσότερες υψηλού προφίλ περιπτώσεις παραβίασης των κανονισμών στο μέλλον.

Δημοσιεύσεις από το Πρώτο ιστολόγιο σχετικά με το εταιρικό IaaS:

• Τι πρέπει να γνωρίζετε για το PCI DSS: τυπική επισκόπηση
• Η επίδραση του GDPR: πώς ο νέος κανονισμός επηρέασε το οικοσύστημα πληροφορικής
• Κανονισμός εργασίας με προσωπικά δεδομένα στη Ρωσία και την Ευρώπη

Τι γράφουμε; στο κανάλι μας στο Telegram:

• Ποιος υποστηρίζει έργα cloud - μιλάμε για τέσσερα κεφάλαια ανοιχτού κώδικα
• Πώς να διαχειριστείτε το υλικό σε ένα κέντρο δεδομένων - δύο νέες τεχνολογίες
• Γιατί οι σκληροί δίσκοι γίνονται λιγότερο πιθανό να χαλάσουν

Πηγή: www.habr.com