56 milljónir evra í sekt – uppgjör ársins með GDPR

Birt hafa verið gögn um heildarfjárhæð sekta vegna brota á reglugerðum.

/ mynd Bankenverband PD

Hver birti skýrsluna um fjárhæð sekta

Almenna persónuverndarreglugerðin verður aðeins eins árs í maí - en evrópskar eftirlitsaðilar hafa þegar gert það niðurstöður. Í febrúar 2019 var gefin út skýrsla um niðurstöður GDPR af European Data Protection Board (EDPB), stofnuninni sem hefur eftirlit með því að reglugerðinni sé fylgt.

Fyrstu sektir samkvæmt GDPR voru lágt vegna óviðbúnaðar fyrirtækja fyrir gildistöku reglugerðar. Í grundvallaratriðum greiddu þeir sem brjóta reglurnar ekki meira en nokkur hundruð þúsund evrur. Samt sem áður reyndist heildarfjárhæð refsinga vera nokkuð áhrifamikil - tæpar 56 milljónir evra. Í skýrslunni veitti EDPB aðrar upplýsingar um „tengsl“ upplýsingatæknifyrirtækja og viðskiptavina þeirra.

Hvað segir skjalið og hver hefur þegar greitt sektina?

Frá því að reglugerðin tók gildi hafa evrópskar eftirlitsstofnanir opnað um 206 þúsund mál um brot á persónuupplýsingaöryggi. Tæplega helmingur þeirra (94) var byggður á kvörtunum frá einkaaðilum. Ríkisborgarar ESB geta lagt fram kvörtun vegna brota í vinnslu og geymslu persónuupplýsinga sinna og haft samband við innlend eftirlitsyfirvöld, eftir það verður málið rannsakað í lögsögu tiltekins lands.

Helstu umræðuefnin sem kvartanir frá Evrópubúum tengdust voru brot á réttindum persónuupplýsinga og neytendaréttindum, auk leka á persónuupplýsingum.

Önnur 64 mál voru opnuð í kjölfar tilkynninga um gagnaleka frá fyrirtækjum sem bera ábyrgð á atvikinu. Ekki er vitað nákvæmlega hversu mörg málanna leiddu til sekta, en alls greiddu brotamennirnir 864 milljónir evra.Skv. samkvæmt upplýsingaöryggissérfræðingum þarf að greiða Google að mestu af þessari upphæð. Í janúar 2019 lagði franska eftirlitsstofnunin CNIL sekt upp á 50 milljónir evra á upplýsingatæknirisann.

Málsmeðferðin í þessu máli stóð yfir frá fyrsta degi GDPR - kvörtun á hendur fyrirtækinu var lögð fram af austurríska gagnaverndarverndaranum Max Schrems. Orsök óánægju aðgerðasinnans stál ófullnægjandi orðalag í samþykki fyrir vinnslu persónuupplýsinga, sem notendur samþykkja þegar þeir stofna reikning úr Android tækjum.

Fyrir mál upplýsingatæknirisans voru sektir fyrir að fara ekki að GDPR verulega lægri. Í september 2018 greiddi portúgalskt sjúkrahús 400 þúsund evrur fyrir varnarleysi í sjúkrageymslukerfi sínu. skrár, og 20 þúsund evrur - þýskt spjallforrit (innskráningar og lykilorð viðskiptavina voru geymd á ódulkóðuðu formi).

Hvað segja sérfræðingar um reglugerðina

Eftirlitsaðilar telja að eftir níu mánuði hafi GDPR sannað virkni sína. Samkvæmt þeim hjálpaði reglugerðin að vekja athygli notenda á öryggi þeirra eigin gagna.

Sérfræðingar benda einnig á nokkra annmarka sem urðu áberandi á fyrsta ári reglugerðarinnar. Mikilvægast þeirra er skortur á sameinuðu kerfi til að ákvarða fjárhæð sekta. By samkvæmt lögfræðinga, skortur á almennt viðurkenndum reglum leiðir til fjölda kærumála. Kvartanir verða að vera meðhöndlaðar af persónuverndarnefndum, sem þýðir að yfirvöld neyðast til að verja minni tíma í áfrýjun frá ESB-borgurum.

Til að takast á við þetta mál hafa eftirlitsaðilar frá Bretlandi, Noregi og Hollandi þegar gert það þróast reglur um ákvörðun endurheimtufjárhæðar. Skjalið mun safna þáttum sem hafa áhrif á fjárhæð sektarinnar: lengd atviksins, hraða viðbragða fyrirtækisins, fjölda fórnarlamba lekans.

/ mynd Bankenverband CC BY-ND

Hvað er næst

Sérfræðingar telja að það sé of snemmt fyrir upplýsingatæknifyrirtæki að slaka á. Líklegt er að sektir fyrir að fara ekki að GDPR muni hækka í framtíðinni.

Fyrsta ástæðan er tíður gagnaleki. Samkvæmt tölfræði frá Hollandi, þar sem tilkynnt var um brot á geymslu persónuupplýsinga jafnvel fyrir GDPR, árið 2018 fjölda tilkynninga um leka hefur stækkað tvisvar. By samkvæmt Samkvæmt gagnaverndarsérfræðingnum Guy Bunker eru ný brot á GDPR að verða þekkt nánast daglega og því munu eftirlitsaðilar í náinni framtíð fara að meðhöndla brotleg fyrirtæki harðari.

Önnur ástæðan er endalok „mjúku“ nálgunarinnar. Árið 2018 voru sektir síðasta úrræði - aðallega reyndu eftirlitsaðilar að hjálpa fyrirtækjum að vernda gögn viðskiptavina. Hins vegar eru nú þegar nokkur mál til skoðunar í Evrópu sem gætu leitt til háar sekta samkvæmt GDPR.

Í september 2018 kom umfangsmikill gagnaleki hefur komið fram hjá British Airways. Vegna varnarleysis í greiðslukerfi flugfélagsins fengu tölvuþrjótar aðgang að kreditkortagögnum viðskiptavina í fimmtán daga. Talið er að um 400 einstaklingar hafi orðið fyrir áhrifum af innbrotinu. Sérfræðingar í upplýsingaöryggi búastað flugfélagið geti greitt fyrstu hámarkssektina í Bretlandi - hún verði 20 milljónir evra eða 4% af ársveltu félagsins (hvort sem upphæðin er hærri).

Annar keppinautur um miklar fjárhagslegar refsingar er Facebook. Írska gagnaverndarnefndin hefur opnað tíu mál gegn upplýsingatæknirisanum vegna ýmissa brota á GDPR. Stærsta þeirra átti sér stað í september síðastliðnum - varnarleysi í innviðum samfélagsnetsins leyfilegt tölvuþrjóta til að fá tákn fyrir sjálfvirka innskráningu. Innbrotið hafði áhrif á 50 milljónir Facebook notenda, þar af 5 milljónir íbúar ESB. Samkvæmt útgáfa ZDNet, þetta gagnabrot eitt og sér gæti kostað fyrirtækið milljarða dollara.

Þar af leiðandi ættir þú að vera viðbúinn þeirri staðreynd að árið 2019 mun GDPR sýna styrk sinn og eftirlitsyfirvöld munu ekki lengur „loka augunum“ fyrir brotum. Líklegast verða bara fleiri áberandi mál um brot á reglugerðum í framtíðinni.

Færslur frá fyrsta blogginu um IaaS fyrirtækja:

• Það sem þú þarft að vita um PCI DSS: staðlað yfirlit
• Áhrif GDPR: hvernig nýja reglugerðin hafði áhrif á vistkerfi upplýsingatækninnar
• Reglugerð um vinnu með persónuupplýsingar í Rússlandi og Evrópu

Hvað erum við að skrifa um? í Telegram rásinni okkar:

• Hverjir styðja skýjaverkefni - við tölum um fjóra opna sjóði
• Hvernig á að stjórna vélbúnaði í gagnaveri - tvær nýjar tækni
• Hvers vegna harðir diskar eru að verða ólíklegri til að bila

Heimild: www.habr.com