56 میلیون یورو جریمه - نتایج سال با GDPR

آمار مجموع جریمه های تخلفات مقررات منتشر شده است.

/ عکس بانکنوربند PD

چه کسی گزارش میزان جریمه ها را منتشر کرد

مقررات عمومی حفاظت از داده ها تنها در ماه مه یک ساله می شود - اما تنظیم کننده های اروپایی قبلاً این کار را انجام داده اند نتایج. در فوریه 2019، گزارشی درباره یافته‌های GDPR توسط هیئت حفاظت از داده‌های اروپا (EDPB)، نهادی که مطابقت با این مقررات را نظارت می‌کند، منتشر شد.

اولین جریمه تحت GDPR ما بودیم به دلیل عدم آمادگی شرکت ها برای لازم الاجرا شدن مقررات. اصولاً ناقضان مقررات بیش از چند صد هزار یورو پرداخت نمی کردند. با این حال، مقدار کل جریمه ها بسیار چشمگیر بود - تقریباً 56 میلیون یورو.در این گزارش، EDPB اطلاعات دیگری در مورد "روابط" شرکت های فناوری اطلاعات و مشتریان آنها ارائه کرد.

سند چه می گوید و چه کسی قبلا جریمه را پرداخت کرده است؟

از زمان اجرایی شدن این مقررات، رگولاتورهای اروپایی حدود 206 هزار پرونده نقض امنیت داده های شخصی را باز کرده اند. تقریباً نیمی از آنها (94) بر اساس شکایات افراد خصوصی بوده است. شهروندان اتحادیه اروپا می توانند در مورد نقض در پردازش و ذخیره داده های شخصی خود شکایت کنند و با مقامات نظارتی ملی تماس بگیرند، پس از آن پرونده در حوزه قضایی یک کشور خاص بررسی می شود.

موضوعات اصلی که شکایات اروپایی ها با آن مرتبط بود نقض حقوق موضوع داده های شخصی و حقوق مصرف کننده و همچنین درز اطلاعات شخصی بود.

64 پرونده دیگر در پی اطلاعیه هایی مبنی بر درز اطلاعات از سوی شرکت های مسئول این حادثه باز شد. دقیقاً مشخص نیست که چه تعداد از پرونده ها جریمه شده است، اما در مجموع متخلفان 864 میلیون یورو پرداخت کرده اند. طبق کارشناسان امنیت اطلاعات، بیشتر این مبلغ باید به گوگل پرداخت شود. در ژانویه 2019، رگولاتور فرانسوی CNIL جریمه 50 میلیون یورویی را برای غول فناوری اطلاعات اعمال کرد.

روند رسیدگی به این پرونده از روز اول GDPR به طول انجامید - شکایتی علیه این شرکت توسط ماکس شرمس، فعال حفاظت از داده های اتریشی ارائه شد. علت نارضایتی این فعال فولاد عبارت دقیق ناکافی در رضایت به پردازش داده های شخصی، که کاربران هنگام ایجاد حساب از دستگاه های Android می پذیرند.

قبل از پرونده غول فناوری اطلاعات، جریمه های عدم رعایت GDPR به طور قابل توجهی کمتر بود. در سپتامبر 2018، یک بیمارستان پرتغالی 400 هزار یورو برای آسیب‌پذیری در سیستم ذخیره‌سازی پزشکی خود پرداخت کرد. سوابق، و 20 هزار یورو - یک برنامه چت آلمانی (ورودی و رمز عبور مشتری به صورت رمزگذاری نشده ذخیره می شد).

آنچه کارشناسان در مورد مقررات می گویند

رگولاتورها معتقدند که پس از XNUMX ماه، GDPR کارایی خود را ثابت کرده است. به گفته آنها، این مقررات به جلب توجه کاربران به موضوع امنیت داده های خود کمک کرد.

کارشناسان همچنین برخی کاستی‌ها را که در سال اول این مقررات قابل توجه بود، برجسته می‌کنند. مهمترین آنها نبود سیستم یکپارچه برای تعیین میزان جریمه است. توسط طبق وکلا، فقدان قوانین پذیرفته شده عمومی منجر به تعداد زیادی درخواست تجدید نظر می شود. شکایات باید توسط کمیسیون های حفاظت از داده ها رسیدگی شود، به این معنی که مقامات مجبور هستند زمان کمتری را به درخواست های شهروندان اتحادیه اروپا اختصاص دهند.

برای رسیدگی به این موضوع، تنظیم‌کننده‌های بریتانیا، نروژ و هلند قبلاً اقدام کرده‌اند توسعه دهد قوانین برای تعیین میزان بازیابی این سند عواملی را جمع آوری می کند که بر میزان جریمه تأثیر می گذارد: مدت زمان حادثه، سرعت واکنش شرکت، تعداد قربانیان نشت.

/ عکس بانکنوربند CC BY-ND

بعدی چیست؟

کارشناسان بر این باورند که هنوز برای شرکت های فناوری اطلاعات زود است که آرام شوند. این احتمال وجود دارد که جریمه های عدم رعایت GDPR در آینده افزایش یابد.

اولین دلیل نشت مکرر اطلاعات است. طبق آمار هلند، جایی که نقض ذخیره سازی داده های شخصی حتی قبل از GDPR گزارش شده بود، در سال 2018 تعداد اعلان ها در مورد نشت رشد کرده است دو برابر. توسط طبق به گفته گای بنکر، کارشناس حفاظت از داده ها، نقض جدید GDPR تقریباً هر روز شناخته می شود و بنابراین، در آینده نزدیک، تنظیم کننده ها با شرکت های متخلف برخورد شدیدتری را آغاز خواهند کرد.

دلیل دوم پایان رویکرد "نرم" است. در سال 2018، جریمه ها آخرین راه حل بود - عمدتاً تنظیم کننده ها به دنبال کمک به شرکت ها برای محافظت از داده های مشتریان بودند. با این حال، چندین مورد در حال حاضر در اروپا در حال بررسی است که می تواند منجر به جریمه های بزرگ تحت GDPR شود.

در سپتامبر 2018، یک نشت داده در مقیاس بزرگ اتفاق افتاده در بریتیش ایرویز به دلیل آسیب پذیری در سیستم پرداخت این شرکت هواپیمایی، هکرها به مدت پانزده روز به اطلاعات کارت اعتباری مشتریان دسترسی پیدا کردند. حدود 400 نفر تحت تاثیر این هک قرار گرفتند. متخصصان امنیت اطلاعات انتظاراین که شرکت هواپیمایی می تواند اولین حداکثر جریمه را در بریتانیا بپردازد - 20 میلیون یورو یا 4٪ از گردش مالی سالانه شرکت (هر مقدار بیشتر باشد) خواهد بود.

یکی دیگر از مدعیان مجازات های مالی بزرگ فیسبوک است. کمیسیون حفاظت از داده های ایرلند ده پرونده را علیه غول فناوری اطلاعات به دلیل نقض های مختلف GDPR باز کرده است. بزرگترین آنها در سپتامبر گذشته رخ داد - یک آسیب پذیری در زیرساخت شبکه های اجتماعی مجاز هکرها برای به دست آوردن توکن برای ورود خودکار. این هک 50 میلیون کاربر فیس بوک را تحت تأثیر قرار داد که 5 میلیون نفر از آنها ساکنان اتحادیه اروپا بودند. مطابق با نسخه ZDNet، این نقض داده به تنهایی می تواند میلیاردها دلار هزینه برای شرکت داشته باشد.

در نتیجه، باید برای این واقعیت آماده باشید که در سال 2019 GDPR قدرت خود را نشان خواهد داد و مقامات نظارتی دیگر "چشم خود را بر روی تخلفات نمی بندند". به احتمال زیاد در آینده فقط موارد پرمخاطب تری از نقض مقررات وجود خواهد داشت.

پست های اولین وبلاگ درباره شرکت IaaS:

• آنچه باید در مورد PCI DSS بدانید: مروری بر استاندارد
• تأثیر GDPR: چگونه مقررات جدید بر اکوسیستم فناوری اطلاعات تأثیر گذاشت
• مقررات کار با داده های شخصی در روسیه و اروپا

در مورد چه چیزی می نویسیم؟ در کانال تلگرام ما:

• چه کسی از پروژه های ابری پشتیبانی می کند - ما در مورد چهار صندوق منبع باز صحبت می کنیم
• نحوه مدیریت سخت افزار در مرکز داده - دو فناوری جدید
• چرا هارد دیسک ها کمتر خراب می شوند؟

منبع: www.habr.com