56 milijonai eurų baudų – metų rezultatai su GDPR

Paskelbti duomenys apie bendrą baudų dydį už taisyklių pažeidimus.

/ nuotrauka Bankenverband PD

Kas paskelbė baudų dydžio ataskaitą

Bendrajam duomenų apsaugos reglamentui tik gegužę sukaks vieneri metai, tačiau Europos reguliuotojai jau sueis rezultatus. 2019 m. vasarį Europos duomenų apsaugos valdyba (EDPB), institucija, prižiūrinti, kaip laikomasi reglamento, paskelbė BDAR išvadų ataskaitą.

Pirmosios baudos pagal GDPR buvo mažas dėl įmonių nepasirengimo reglamento įsigaliojimui. Iš esmės taisyklių pažeidėjai sumokėjo ne daugiau nei kelis šimtus tūkstančių eurų. Tačiau bendra baudų suma pasirodė gana įspūdinga – beveik 56 milijonai eurų.Ataskaitoje EDAB pateikė ir kitą informaciją apie IT įmonių ir jų klientų „santykius“.

Kas parašyta dokumente ir kas jau sumokėjo baudą?

Nuo reglamento įsigaliojimo Europos reguliuotojai iškėlė apie 206 tūkst. bylų dėl asmens duomenų saugumo pažeidimų. Beveik pusė jų (94 622) buvo pagrįsti privačių asmenų skundais. ES piliečiai gali pateikti skundą dėl savo asmens duomenų tvarkymo ir saugojimo pažeidimų ir kreiptis į nacionalines reguliavimo institucijas, o po to byla bus nagrinėjama konkrečios šalies jurisdikcijoje.

Pagrindinės temos, su kuriomis buvo susiję europiečių skundai, buvo asmens duomenų subjekto ir vartotojų teisių pažeidimai, taip pat asmens duomenų nutekinimas.

Dar 64 864 bylos buvo pradėtos po pranešimų apie duomenų nutekėjimą iš už incidentą atsakingų įmonių. Tiksliai nežinoma, kiek bylų buvo skirtos baudoms, tačiau iš viso pažeidėjai sumokėjo 56 mln. žodžiai informacijos saugumo ekspertų, didžiąją šios sumos dalį teks sumokėti „Google“. 2019 metų sausį Prancūzijos reguliavimo institucija CNIL IT milžinei skyrė 50 mln.

Procesas šioje byloje tęsėsi nuo pirmosios GDPR dienos – skundą prieš korporaciją pateikė Austrijos duomenų apsaugos aktyvistas Maxas Schremsas. Aktyvisto nepasitenkinimo priežastis plieno nepakankamai tiksli sutikimo dėl asmens duomenų tvarkymo formuluotė, su kuria vartotojai sutinka kurdami paskyrą iš Android įrenginių.

Iki IT milžino bylos baudos už GDPR nesilaikymą buvo gerokai mažesnės. 2018 m. rugsėjį viena Portugalijos ligoninė sumokėjo 400 tūkst. eurų už pažeidžiamumą jos medicinos saugojimo sistemoje. įrašų, o 20 tūkstančių eurų – vokišką pokalbių programą (klientų prisijungimai ir slaptažodžiai buvo saugomi nešifruota forma).

Ką ekspertai sako apie taisykles

Reguliavimo institucijos mano, kad po devynių mėnesių GDPR įrodė savo veiksmingumą. Jų teigimu, reglamentas padėjo atkreipti vartotojų dėmesį į jų pačių duomenų saugumo klausimą.

Ekspertai taip pat atkreipia dėmesį į kai kuriuos trūkumus, kurie tapo pastebimi pirmaisiais reguliavimo metais. Svarbiausias iš jų – vieningos baudų dydžio nustatymo sistemos nebuvimas. Autorius žodžiai teisininkų, visuotinai priimtų taisyklių trūkumas lemia daug apeliacijų. Skundus turi nagrinėti duomenų apsaugos komisijos, o tai reiškia, kad valdžios institucijos yra priverstos skirti mažiau laiko ES piliečių skundams.

Siekdamos išspręsti šią problemą, JK, Norvegijos ir Nyderlandų reguliavimo institucijos jau padarė vystosi išieškojimo dydžio nustatymo taisyklės. Dokumente bus surinkti veiksniai, turintys įtakos baudos dydžiui: incidento trukmė, įmonės reagavimo greitis, nutekėjusių aukų skaičius.

/ nuotrauka Bankenverband CC BY-ND

Kas toliau?

Specialistai mano, kad IT įmonėms dar per anksti atsipalaiduoti. Tikėtina, kad baudos už BDAR nesilaikymą ateityje didės.

Pirmoji priežastis – dažnas duomenų nutekėjimas. Remiantis statistika iš Nyderlandų, kur apie asmens duomenų saugojimo pažeidimus buvo pranešta dar prieš BDAR, pranešimų apie nutekėjimą skaičius 2018 m. užaugo du kartus. Autorius žodžiai Duomenų apsaugos eksperto Guy'aus Bunkerio teigimu, apie naujus GDPR pažeidimus sužinoma kone kasdien, todėl artimiausiu metu reguliuotojai pradės griežčiau elgtis su nusižengusiomis įmonėmis.

Antroji priežastis – „minkštojo“ požiūrio pabaiga. 2018 metais baudos buvo paskutinė išeitis – dažniausiai reguliavimo institucijos siekė padėti įmonėms apsaugoti klientų duomenis. Tačiau Europoje jau svarstomi keli atvejai, dėl kurių pagal GDPR gali būti skiriamos didelės baudos.

2018 metų rugsėjį įvyko didelio masto duomenų nutekėjimas įvyko „British Airways“. Dėl oro linijų mokėjimo sistemos pažeidžiamumo įsilaužėliai penkiolika dienų gavo prieigą prie klientų kredito kortelių duomenų. Apytiksliai 400 XNUMX asmenų nukentėjo nuo įsilaužimo. Informacijos saugumo specialistai tikėtiskad aviakompanija gali sumokėti pirmąją maksimalią baudą JK – ji bus 20 milijonų eurų arba 4% korporacijos metinės apyvartos (atsižvelgiant į tai, kuri suma didesnė).

Kitas pretendentas į didelę finansinę bausmę yra „Facebook“. Airijos duomenų apsaugos komisija pradėjo dešimt bylų IT milžinei dėl įvairių GDPR pažeidimų. Didžiausias iš jų įvyko pernai rugsėjį – socialinių tinklų infrastruktūros pažeidžiamumas leidžiama įsilaužėlių, kad gautų automatinio prisijungimo žetonus. Įsilaužimas paveikė 50 milijonų „Facebook“ vartotojų, iš kurių 5 milijonai buvo ES gyventojai. Pagal leidimas ZDNet, vien šis duomenų pažeidimas įmonei gali kainuoti milijardus dolerių.

Dėl to būkite pasiruošę, kad 2019 metais GDPR parodys savo jėgą, o reguliavimo institucijos „neužmerks akių“ į pažeidimus. Greičiausiai rezonansinių taisyklių pažeidimų atvejų ateityje bus tik daugiau.

Įrašai iš pirmojo tinklaraščio apie įmonės IaaS:

• Ką reikia žinoti apie PCI DSS: standartinė apžvalga
• GDPR poveikis: kaip naujasis reglamentas paveikė IT ekosistemą
• Darbo su asmens duomenimis reglamentavimas Rusijoje ir Europoje

Apie ką rašome? mūsų Telegram kanale:

• Kas remia debesų projektus – kalbame apie keturis atvirojo kodo fondus
• Kaip valdyti techninę įrangą duomenų centre – dvi naujos technologijos
• Kodėl kietieji diskai vis mažiau genda

Šaltinis: www.habr.com