56 миллион еуро айыппұлдар - GDPR-мен жыл қорытындысы

Нормативтік құқықтық актілерді бұзғаны үшін салынған айыппұлдардың жалпы сомасы туралы мәліметтер жарияланды.

/ фото Bankenverband PD

Айыппұл сомасы туралы есепті кім жариялады

Деректерді қорғаудың жалпы ережесі мамыр айында бір жасқа толады, бірақ еуропалық реттеушілер қазірдің өзінде бар нәтижелері. 2019 жылдың ақпанында GDPR қорытындылары туралы есепті ереженің сақталуын қадағалайтын орган - Еуропалық деректерді қорғау кеңесі (EDPB) шығарды.

GDPR бойынша алғашқы айыппұлдар It болды реттеудің күшіне енуіне компаниялардың дайын болмауына байланысты төмен. Негізінде тәртіпті бұзушылар бірнеше жүз мың еуродан аспайтын ақша төлеген. Алайда айыппұлдардың жалпы сомасы өте әсерлі болып шықты – 56 миллион еуроға жуық.Есепте EDPB IT-компаниялар мен олардың клиенттерінің «қарым-қатынасы» туралы басқа да ақпарат берді.

Құжатта не делінген және айыппұлды кім төлеп қойған?

Ереже күшіне енгеннен бері еуропалық реттеушілер жеке деректер қауіпсіздігін бұзудың 206 мыңға жуық ісін ашты. Олардың жартысына жуығы (94 622) жеке тұлғалардың арыздарына негізделген. ЕО азаматтары өздерінің жеке деректерін өңдеу және сақтау кезіндегі бұзушылықтар туралы шағым бере алады және ұлттық реттеуші органдарға хабарласа алады, содан кейін іс белгілі бір елдің юрисдикциясында тергелетін болады.

Еуропалықтардың шағымдарымен байланысты негізгі тақырыптар жеке деректер субъектісінің құқықтары мен тұтынушылардың құқықтарын бұзу, сондай-ақ жеке деректердің ағып кетуі болды.

Оқиғаға жауапты компаниялардан деректердің ағып кетуі туралы хабарламалардан кейін тағы 64 864 іс ашылды. Нақты қанша жағдайда айыппұл салынғаны белгісіз, бірақ тәртіп бұзушылар барлығы 56 миллион еуро төлеген. сәйкес ақпарат қауіпсіздігі бойынша сарапшылар бұл соманың көп бөлігін Google-ға төлеуге тура келеді. 2019 жылдың қаңтарында француз реттеушісі CNIL IT алыбына 50 миллион еуро айыппұл салды.

Бұл іс бойынша іс жүргізу GDPR бірінші күнінен бастап жалғасты - корпорацияға шағымды австриялық деректерді қорғау белсендісі Макс Шремс берді. Белсенділердің наразылығының себебі болды пайдаланушылар Android құрылғыларынан тіркелгі жасау кезінде қабылдайтын жеке деректерді өңдеуге келісімдегі жеткіліксіз нақты тұжырымдар.

IT алпауытының ісіне дейін GDPR сәйкес келмегені үшін айыппұлдар айтарлықтай төмен болды. 2018 жылдың қыркүйегінде португал ауруханасы медициналық сақтау жүйесіндегі осалдық үшін 400 мың еуро төледі. жазбалар және €20 мың - неміс чат қосымшасы (клиенттің логиндері мен құпия сөздері шифрланбаған түрде сақталды).

Сарапшылар ережелер туралы не айтады

Реттеуші органдар тоғыз айдан кейін GDPR өзінің тиімділігін дәлелдеді деп санайды. Олардың айтуынша, реттеу пайдаланушылардың назарын өз деректерінің қауіпсіздігі мәселесіне аударуға көмектесті.

Сарапшылар реттеудің бірінші жылында байқалған кейбір кемшіліктерді де атап өтті. Олардың ең бастысы – айыппұл көлемін анықтайтын бірыңғай жүйенің жоқтығы. Авторы сәйкес заңгерлер, жалпы қабылданған ережелердің жоқтығы апелляциялардың көп санына әкеледі. Шағымдарды деректерді қорғау комиссиялары қарауы керек, яғни билік ЕО азаматтарының өтініштеріне аз уақыт бөлуге мәжбүр.

Бұл мәселені шешу үшін Ұлыбритания, Норвегия және Нидерландының реттеушілері қазірдің өзінде бар дамыту өндіріп алу мөлшерін анықтау ережелері. Құжат айыппұл мөлшеріне әсер ететін факторларды жинайды: оқиғаның ұзақтығы, компанияның әрекет ету жылдамдығы, ағып кету құрбандарының саны.

/ фото Bankenverband CC BY-ND

Ары қарай не

Сарапшылар IT-компаниялардың босаңсуы әлі ерте деп есептейді. Болашақта GDPR талаптарын сақтамағаны үшін айыппұлдар көбейетін шығар.

Бірінші себеп - деректердің жиі ағып кетуі. Жеке деректерді сақтауды бұзу GDPR-ға дейін тіркелген Нидерланды статистикасына сәйкес, 2018 жылы ағып кету туралы хабарламалар саны өсті екі есе. Авторы сәйкес Деректерді қорғау бойынша сарапшы Гай Бункердің айтуынша, GDPR жаңа бұзушылықтары күн сайын дерлік белгілі болып келеді, сондықтан жақын арада реттеушілер құқық бұзушы компанияларға қатал түрде қарай бастайды.

Екінші себеп – «жұмсақ» тәсілдің аяқталуы. 2018 жылы айыппұлдар соңғы шара болды - негізінен реттеушілер компанияларға тұтынушылардың деректерін қорғауға көмектесуге тырысты. Дегенмен, Еуропада GDPR бойынша үлкен айыппұлдарға әкелуі мүмкін бірнеше істер қарастырылуда.

2018 жылдың қыркүйегінде ауқымды деректер ағып кетті болды British Airways әуе компаниясында. Авиакомпанияның төлем жүйесіндегі осалдыққа байланысты хакерлер он бес күн бойы клиенттердің несие картасы деректеріне қол жеткізді. Шамамен 400 XNUMX адам хакерлік шабуылдан зардап шекті. Ақпараттық қауіпсіздік мамандары күтуәуе компаниясы Ұлыбританиядағы бірінші ең жоғары айыппұлды төлей алатыны - бұл 20 миллион еуро немесе корпорацияның жылдық айналымының 4% (қайсысы сома көп болса) болады.

Үлкен қаржылық жазаға тағы бір үміткер - Facebook. Ирландияның Деректерді қорғау комиссиясы GDPR әртүрлі бұзушылықтарына байланысты IT алыбына қарсы он іс ашты. Олардың ең үлкені өткен қыркүйекте болды - әлеуметтік желі инфрақұрылымындағы осалдық рұқсат етілген хакерлер автоматты түрде кіруге арналған белгілерді алу үшін. Бұзушылық 50 миллион Facebook қолданушысына әсер етті, олардың 5 миллионы ЕО тұрғындары. Сәйкес жариялау ZDNet, бұл деректерді бұзудың өзі компанияға миллиардтаған доллар шығын әкелуі мүмкін.

Нәтижесінде, сіз 2019 жылы GDPR өзінің күшін көрсететініне дайын болуыңыз керек, ал реттеуші органдар бұдан былай бұзушылықтарға «көз жұмып» қалмайды. Сірә, келешекте тәртіп бұзудың атышулы оқиғалары көп болуы мүмкін.

Корпоративтік IaaS туралы бірінші блогтағы хабарламалар:

• PCI DSS туралы не білуіңіз керек: стандартты шолу
• GDPR әсері: жаңа реттеу АТ экожүйесіне қалай әсер етті
• Ресейде және Еуропада дербес деректермен жұмысты реттеу

Біз не туралы жазып жатырмыз? біздің Telegram каналымызда:

• Бұлтты жобаларды кім қолдайды - біз төрт ашық бастапқы қор туралы айтамыз
• Деректер орталығында аппараттық құралдарды қалай басқаруға болады - екі жаңа технология
• Неліктен қатты дискілердің бұзылу ықтималдығы азаяды

Ақпарат көзі: www.habr.com