56 miljonit eurot trahve – aasta tulemus GDPR-iga

Avaldatud on andmed määruste rikkumiste eest määratud trahvide kogusumma kohta.

/ foto Bankenverband PD

Kes avaldas trahvisummade aruande

Andmekaitse üldmäärus saab alles mais aastaseks – aga Euroopa reguleerijad on seda juba teinud tulemused. 2019. aasta veebruaris avaldas määruse täitmist jälgiv asutus Euroopa Andmekaitsenõukogu (EDPB) GDPR-i leidude kohta aruande.

Esimesed trahvid GDPR-i alusel olid madal, mis tuleneb ettevõtete ettevalmistamatusest määruse jõustumiseks. Põhimõtteliselt maksid määruste rikkujad mitte rohkem kui paarsada tuhat eurot. Trahvide kogusumma osutus aga üsna muljetavaldavaks - ligi 56 miljonit eurot.. Aruandes esitas EDA muud infot IT-ettevõtete ja nende klientide “suhete” kohta.

Mida dokument ütleb ja kes on trahvi juba tasunud?

Alates määruse jõustumisest on Euroopa reguleerivad asutused algatanud ligikaudu 206 tuhat isikuandmete turvarikkumise juhtumit. Peaaegu pooled neist (94 622) põhinesid eraisikute kaebustel. EL-i kodanikud saavad esitada kaebuse oma isikuandmete töötlemise ja säilitamise rikkumiste kohta ning pöörduda riiklike reguleerivate asutuste poole, misjärel hakatakse juhtumit uurima konkreetse riigi jurisdiktsioonis.

Peamised teemad, millega eurooplaste kaebused olid seotud, olid isikuandmete subjekti õiguste ja tarbijaõiguste rikkumised ning isikuandmete lekked.

Veel 64 864 juhtumit algatati pärast seda, kui juhtunu eest vastutavad ettevõtted said teateid andmelekete kohta. Pole täpselt teada, kui paljud juhtumid lõppesid rahatrahviga, kuid kokku maksid rikkujad 56 miljonit eurot. sõnad infoturbeeksperdid, tuleb suurem osa sellest summast maksta Google'ile. 2019. aasta jaanuaris määras Prantsusmaa reguleeriv asutus CNIL IT-hiiule 50 miljoni euro suuruse trahvi.

Menetlus selles asjas kestis GDPR-i esimesest päevast – korporatsiooni vastu esitas kaebuse Austria andmekaitseaktivist Max Schrems. Aktivisti rahulolematuse põhjus teras ebapiisavalt täpne sõnastus isikuandmete töötlemise nõusolekus, millega kasutajad Android-seadmetest konto loomisel nõustuvad.

Enne IT-gigandi juhtumit olid trahvid GDPR-i mittejärgimise eest oluliselt väiksemad. 2018. aasta septembris maksis üks Portugali haigla 400 tuhat eurot oma meditsiinilise hoiusüsteemi haavatavuse eest. kirjeid ja 20 tuhat € - Saksa vestlusrakendus (klientide sisselogimised ja paroolid salvestati krüptimata kujul).

Mida eksperdid määruste kohta ütlevad

Reguleerivad asutused usuvad, et pärast üheksa kuud on GDPR tõestanud oma tõhusust. Nende sõnul aitas määrus juhtida kasutajate tähelepanu nende enda andmete turvalisuse küsimusele.

Eksperdid toovad esile ka mõningaid puudusi, mis ilmnesid määruse esimesel kehtivusaastal. Olulisim neist on ühtse trahvisummade määramise süsteemi puudumine. Kõrval sõnad advokaadid, üldtunnustatud reeglite puudumine toob kaasa suure arvu edasikaebamisi. Kaebusi peavad käsitlema andmekaitsekomisjonid, mis tähendab, et ametiasutused on sunnitud pühendama vähem aega ELi kodanike kaebustele.

Selle probleemi lahendamiseks on Ühendkuningriigi, Norra ja Hollandi reguleerivad asutused seda juba teinud areneda tagasinõude suuruse määramise eeskirjad. Dokumendis kogutakse kokku tegurid, mis mõjutavad trahvi suurust: intsidendi kestus, ettevõtte reageerimise kiirus, lekke ohvrite arv.

/ foto Bankenverband CC BY-ND

mis edasi

Eksperdid usuvad, et IT-ettevõtetel on veel vara lõõgastuda. Tõenäoliselt suurenevad trahvid GDPR-i mittejärgimise eest tulevikus.

Esimene põhjus on sagedased andmelekked. Vastavalt Hollandi statistikale, kus isikuandmete säilitamise rikkumistest teatati juba enne GDPR-i, on 2018. aastal lekete kohta teadete arv on kasvanud kaks korda. Kõrval sõnad Andmekaitseeksperdi Guy Bunkeri sõnul saavad uued GDPR-i rikkumised teatavaks peaaegu iga päev ning seetõttu hakkavad regulaatorid lähiajal rikkuvatesse ettevõtetesse karmimalt suhtuma.

Teine põhjus on "pehme" lähenemisviisi lõpp. 2018. aastal olid trahvid viimane abinõu – enamasti püüdsid regulaatorid aidata ettevõtetel klientide andmeid kaitsta. Euroopas on aga juba kaalumisel mitu juhtumit, mis võivad GDPR-i alusel kaasa tuua suuri trahve.

2018. aasta septembris toimus ulatuslik andmeleke juhtus British Airwaysis. Lennufirma maksesüsteemi haavatavuse tõttu said häkkerid viieteistkümneks päevaks ligipääsu klientide krediitkaardiandmetele. Häkkimine mõjutas hinnanguliselt 400 XNUMX inimest. Infoturbe spetsialistid oodataet lennufirma saab maksta esimese maksimaalse trahvi Ühendkuningriigis – see on 20 miljonit eurot või 4% ettevõtte aastakäibest (olenevalt sellest, kumb summa on suurem).

Teine suur rahalise karistuse kandidaat on Facebook. Iiri andmekaitsekomisjon on algatanud IT-hiiglase vastu kümme juhtumit GDPR-i erinevate rikkumiste tõttu. Suurim neist leidis aset eelmise aasta septembris – sotsiaalvõrgustiku infrastruktuuri haavatavus lubatud häkkerid automaatseks sisselogimiseks žetoonide hankimiseks. Häkkimine mõjutas 50 miljonit Facebooki kasutajat, kellest 5 miljonit olid EL-i elanikud. Vastavalt väljaanne ZDNet, ainuüksi see andmete rikkumine võib ettevõttele maksta miljardeid dollareid.

Seetõttu peaksite olema valmis selleks, et 2019. aastal näitab GDPR oma tugevust ja reguleerivad asutused ei pigista enam rikkumiste ees silma kinni. Tõenäoliselt tuleb tulevikus vaid rohkem kõrgetasemelisi eeskirjade rikkumise juhtumeid.

Postitused esimesest ettevõtte IaaS-i blogist:

• Mida peate teadma PCI DSS-i kohta: standardne ülevaade
• GDPR-i mõju: kuidas uus määrus IT-ökosüsteemi mõjutas
• Isikuandmetega töötamise reguleerimine Venemaal ja Euroopas

Millest me kirjutame? meie Telegrami kanalis:

• Kes toetab pilveprojekte – räägime neljast avatud lähtekoodiga fondist
• Kuidas andmekeskuses riistvara hallata – kaks uut tehnoloogiat
• Miks kõvakettad harvemini katki lähevad

Allikas: www.habr.com