56 milijuna eura kazni - rezultati godine s GDPR-om

Objavljeni su podaci o ukupnom iznosu kazni za kršenje propisa.

/ fotografija Bankenverband PD

Tko je objavio izvješće o visini kazni

Opća uredba o zaštiti podataka tek će napuniti godinu dana u svibnju - ali europski regulatori već jesu rezultate. U veljači 2019. Europski odbor za zaštitu podataka (EDPB), tijelo koje nadzire usklađenost s uredbom, objavio je izvješće o nalazima GDPR-a.

Prve kazne prema GDPR-u bile nizak zbog nespremnosti poduzeća za stupanje na snagu propisa. Uglavnom, prekršitelji propisa nisu platili više od nekoliko stotina tisuća eura. Međutim, ukupan iznos kazni pokazao se prilično impresivnim - gotovo 56 milijuna eura, a EDPB je u izvješću naveo i druge podatke o "odnosu" IT tvrtki i njihovih klijenata.

Što piše u dokumentu i tko je već platio kaznu?

Od kada je uredba na snazi, europski regulatori otvorili su oko 206 tisuća slučajeva kršenja sigurnosti osobnih podataka. Gotovo polovica njih (94) temeljila se na pritužbama privatnih osoba. Građani EU-a mogu podnijeti pritužbu zbog kršenja u obradi i pohrani svojih osobnih podataka te se obratiti nacionalnim regulatornim tijelima, nakon čega će se slučaj istražiti u nadležnosti pojedine zemlje.

Glavne teme s kojima su bile povezane pritužbe Europljana bile su kršenje prava subjekta osobnih podataka i prava potrošača, kao i curenje osobnih podataka.

Još 64 slučaja otvorena su nakon obavijesti o curenju podataka iz tvrtki odgovornih za incident. Ne zna se točno koliko je slučajeva završilo kaznama, ali ukupno su prekršitelji platili 864 milijuna eura. prema stručnjaka za informacijsku sigurnost, najveći dio tog iznosa morat će platiti Googleu. U siječnju 2019. francuski regulator CNIL izrekao je IT divu kaznu od 50 milijuna eura.

Postupak u ovom slučaju trajao je od prvog dana GDPR-a - tužbu protiv korporacije podnio je austrijski aktivist za zaštitu podataka Max Schrems. Uzrok nezadovoljstva aktivista čelik nedovoljno precizna formulacija privole za obradu osobnih podataka koju korisnici prihvaćaju prilikom kreiranja računa s Android uređaja.

Prije slučaja IT diva kazne za nepoštivanje GDPR-a bile su znatno niže. U rujnu 2018. jedna je portugalska bolnica platila 400 tisuća eura za ranjivost u svom sustavu za pohranu medicinskih podataka. zapisa, a 20 tisuća eura - njemačka aplikacija za chat (korisničke prijave i lozinke pohranjene su u nekriptiranom obliku).

Što stručnjaci kažu o propisima

Regulatori smatraju da je nakon devet mjeseci GDPR dokazao svoju učinkovitost. Prema njihovim riječima, uredba je pomogla skrenuti pozornost korisnika na pitanje sigurnosti vlastitih podataka.

Stručnjaci ističu i neke nedostatke koji su postali uočljivi tijekom prve godine primjene Uredbe. Najvažniji od njih je nepostojanje jedinstvenog sustava za određivanje iznosa kazni. Po prema pravnika, nedostatak općeprihvaćenih pravila dovodi do velikog broja žalbi. Pritužbama se moraju baviti povjerenstva za zaštitu podataka, što znači da su vlasti prisiljene posvetiti manje vremena žalbama građana EU-a.

Kako bi riješili ovaj problem, regulatori iz UK-a, Norveške i Nizozemske već su to učinili razviti pravila za određivanje iznosa povrata. Dokument će prikupiti čimbenike koji utječu na iznos kazne: trajanje incidenta, brzinu odgovora tvrtke, broj žrtava curenja informacija.

/ fotografija Bankenverband CC BY-ND

što dalje

Stručnjaci smatraju da je još prerano za opuštanje IT tvrtki. Vjerojatno će se kazne za nepoštivanje GDPR-a u budućnosti povećati.

Prvi razlog je često curenje podataka. Prema statistici iz Nizozemske, gdje su povrede pohrane osobnih podataka prijavljene i prije GDPR-a, u 2018. broj obavijesti o curenju podataka narastao je dvaput. Po prema Prema riječima stručnjaka za zaštitu podataka Guya Bunkera, nova kršenja GDPR-a postaju poznata gotovo svakodnevno, stoga će regulatori u bliskoj budućnosti početi strože tretirati tvrtke prekršitelje.

Drugi razlog je kraj “mekog” pristupa. U 2018. novčane kazne bile su posljednje sredstvo - uglavnom su regulatori nastojali pomoći tvrtkama da zaštite podatke o klijentima. Međutim, u Europi se već razmatra nekoliko slučajeva koji bi mogli dovesti do velikih kazni prema GDPR-u.

U rujnu 2018. curenje podataka velikih razmjera dogodilo u British Airwaysu. Zbog ranjivosti u platnom sustavu zrakoplovne kompanije, hakeri su dobili pristup podacima o kreditnim karticama kupaca na petnaest dana. Procjenjuje se da je hakiranjem pogodilo oko 400 osoba. Stručnjaci za informacijsku sigurnost ožidaûtda zrakoplovna tvrtka može platiti prvu maksimalnu kaznu u Ujedinjenom Kraljevstvu - iznosit će 20 milijuna eura ili 4% godišnjeg prometa korporacije (što god je iznos veći).

Još jedan kandidat za veliku novčanu kaznu je Facebook. Irska komisija za zaštitu podataka otvorila je deset slučajeva protiv IT diva zbog različitih kršenja GDPR-a. Najveći od njih dogodio se prošlog rujna - ranjivost u infrastrukturi društvenih mreža dozvoljeno hakeri za dobivanje tokena za automatsku prijavu. Hakiranje je pogodilo 50 milijuna korisnika Facebooka, od kojih su 5 milijuna bili stanovnici EU. Prema izdanje ZDNet, samo ova povreda podataka mogla bi stajati tvrtku milijarde dolara.

Kao rezultat toga, trebali biste biti spremni na činjenicu da će 2019. GDPR pokazati svoju snagu, a regulatorna tijela više neće "zažmiriti" na kršenja. Najvjerojatnije će u budućnosti biti samo još glasnijih slučajeva kršenja propisa.

Postovi s Prvog bloga o korporativnom IaaS-u:

• Što trebate znati o PCI DSS-u: standardni pregled
• Učinak GDPR-a: kako je nova regulativa utjecala na IT ekosustav
• Regulacija rada s osobnim podacima u Rusiji i Europi

O čemu pišemo? na našem Telegram kanalu:

• Tko podržava cloud projekte - govorimo o četiri open source fonda
• Kako upravljati hardverom u podatkovnom centru - dvije nove tehnologije
• Zašto je sve manje vjerojatno da će se tvrdi diskovi pokvariti

Izvor: www.habr.com