Tiedot määräysrikkomuksista määrättyjen sakkojen kokonaismäärästä on julkaistu.
/ valokuva PD
Kuka julkaisi raportin sakkojen määrästä
Yleinen tietosuoja-asetus täyttää vuoden vasta toukokuussa – mutta eurooppalaiset sääntelyviranomaiset ovat jo täyttäneet . Helmikuussa 2019 tietosuoja-asetuksen noudattamista valvova elin Euroopan tietosuojalautakunta (EDPB) julkaisi raportin GDPR:n tuloksista.
Ensimmäiset GDPR:n mukaiset sakot alhainen johtuen yritysten valmistautumattomuudesta asetuksen voimaantuloon. Periaatteessa määräysten rikkojat maksoivat enintään muutama sata tuhatta euroa. Sakkojen kokonaissumma osoittautui kuitenkin varsin vaikuttavaksi - lähes 56 miljoonaa euroa.. Raportissa EDPB antoi muuta tietoa IT-yritysten ja heidän asiakkaidensa "suhteesta".
Mitä asiakirjassa lukee ja kuka on jo maksanut sakon?
Asetuksen voimaantulon jälkeen eurooppalaiset sääntelyviranomaiset ovat käynnistäneet noin 206 tuhatta henkilötietoturvaloukkaustapausta. Heistä lähes puolet (94 622) perustui yksityishenkilöiden valituksiin. EU-kansalaiset voivat tehdä valituksen henkilötietojensa käsittelyssä ja säilyttämisessä tapahtuneista rikkomuksista ja ottaa yhteyttä kansallisiin valvontaviranomaisiin, minkä jälkeen tapaus tutkitaan tietyn maan lainkäyttöalueella.
Pääaiheet, joihin eurooppalaisten valitukset liittyivät, olivat henkilötietojen kohteen ja kuluttajan oikeuksien loukkaukset sekä henkilötietojen vuodot.
Lisäksi 64 864 tapausta aloitettiin tapahtumasta vastuussa olevien yritysten tietovuodoista saatujen ilmoitusten jälkeen. Ei tiedetä tarkasti, kuinka moni tapauksista johti sakkoon, mutta yhteensä rikkojat maksoivat 56 miljoonaa euroa. tietoturva-asiantuntijat, suurin osa tästä summasta on maksettava Googlelle. Ranskan sääntelyviranomainen CNIL määräsi tammikuussa 2019 IT-jättiläiselle 50 miljoonan euron sakon.
Oikeudenkäynti tässä tapauksessa kesti GDPR:n ensimmäisestä päivästä lähtien - itävaltalainen tietosuojaaktivisti Max Schrems teki yhtiötä vastaan valituksen. Syy aktivistin tyytymättömyyteen riittämättömän tarkka sanamuoto henkilötietojen käsittelyä koskevassa suostumuksessa, jonka käyttäjät hyväksyvät luodessaan tilin Android-laitteilla.
Ennen IT-jätin tapausta GDPR:n noudattamatta jättämisestä määrätyt sakot olivat huomattavasti pienemmät. Syyskuussa 2018 portugalilainen sairaala maksoi 400 tuhatta euroa lääkevarastojärjestelmänsä haavoittuvuudesta. tietueet ja 20 tuhatta euroa - saksalainen chat-sovellus (asiakastunnukset ja salasanat tallennettiin salaamattomassa muodossa).
Mitä asiantuntijat sanovat säännöistä
Sääntelyviranomaiset uskovat, että yhdeksän kuukauden jälkeen GDPR on osoittanut tehokkuutensa. Heidän mukaansa asetus auttoi kiinnittämään käyttäjien huomion omien tietojensa turvallisuuteen.
Asiantuntijat korostavat myös joitain puutteita, jotka tulivat havaittavaksi asetuksen ensimmäisen vuoden aikana. Niistä merkittävin on yhtenäisen sakkojen määräytymisjärjestelmän puute. Tekijä: Asianajajat, yleisesti hyväksyttyjen sääntöjen puute johtaa suureen määrään valituksia. Valitukset on käsiteltävä tietosuojakomissioissa, mikä tarkoittaa, että viranomaiset joutuvat käyttämään vähemmän aikaa EU-kansalaisten valituksiin.
Tämän ongelman ratkaisemiseksi Yhdistyneen kuningaskunnan, Norjan ja Alankomaiden sääntelyviranomaiset ovat jo tehneet takaisinperinnän määrän vahvistamista koskevat säännöt. Asiakirjaan kerätään sakon määrään vaikuttavia tekijöitä: tapahtuman kesto, yrityksen reagointinopeus, vuodon uhrien määrä.
/ valokuva
Mitä seuraavaksi
Asiantuntijat uskovat, että IT-yritysten on liian aikaista rentoutua. On todennäköistä, että GDPR:n noudattamatta jättämisestä määrättävät sakot kasvavat tulevaisuudessa.
Ensimmäinen syy on toistuva tietovuoto. Tilastojen mukaan Hollannista, jossa henkilötietojen tallentamisen rikkomuksista ilmoitettiin jo ennen GDPR:ää, vuonna 2018 ilmoitusten määrä vuodoista kahdesti. Tekijä: Tietosuojaasiantuntija Guy Bunkerin mukaan uusia GDPR-rikkomuksia tulee tiedoksi lähes päivittäin, ja siksi lähitulevaisuudessa sääntelijät alkavat kohdella rikkomuksia rikkovia yrityksiä ankarammin.
Toinen syy on "pehmeän" lähestymistavan loppu. Vuonna 2018 sakot olivat viimeinen keino – enimmäkseen sääntelyviranomaiset pyrkivät auttamaan yrityksiä suojaamaan asiakastietoja. Euroopassa on kuitenkin jo useita tapauksia, jotka voivat johtaa suuriin sakkoihin GDPR:n mukaisesti.
Syyskuussa 2018 laajamittainen tietovuoto British Airwaysilla. Lentoyhtiön maksujärjestelmän haavoittuvuuden vuoksi hakkerit pääsivät asiakkaiden luottokorttitietoihin 400 päivän ajan. Hakkerointi vaikutti arviolta XNUMX XNUMX ihmiseen. Tietoturvan asiantuntijat että lentoyhtiö voi maksaa ensimmäisen enimmäissakon Isossa-Britanniassa - se on 20 miljoonaa euroa tai 4 % yhtiön vuosiliikevaihdosta (sen mukaan kumpi summa on suurempi).
Toinen suuren taloudellisen rangaistuksen haastaja on Facebook. Irlannin tietosuojakomissio on käynnistänyt kymmenen tapausta IT-jättiä vastaan useiden GDPR-rikkomusten vuoksi. Suurin näistä tapahtui viime syyskuussa – sosiaalisen verkoston infrastruktuurin haavoittuvuus hakkerit hankkimaan tunnuksia automaattista kirjautumista varten. Hakkerointi vaikutti 50 miljoonaan Facebookin käyttäjään, joista 5 miljoonaa oli EU:n asukkaita. Mukaan ZDNet, tämä tietomurto yksinään voisi maksaa yritykselle miljardeja dollareita.
Tämän seurauksena sinun tulee olla varautunut siihen, että vuonna 2019 GDPR näyttää vahvuutensa ja sääntelyviranomaiset eivät enää "sulje silmiään" rikkomuksilta. Todennäköisesti korkean profiilin määräysten rikkomistapauksia tulee tulevaisuudessa vain lisää.
Viestit ensimmäisestä yritys-IaaS-blogista:
Mistä me kirjoitamme? Telegram-kanavallamme:
Lähde: will.com