56 miljoni eiro soda naudās – gada rezultāti ar GDPR

Publicēti dati par kopējo naudas sodu apmēru par noteikumu pārkāpumiem.

/ foto Bankenverband PD

Kurš publicēja ziņojumu par naudas sodu apmēru

Vispārīgajai datu aizsardzības regulai tikai maijā apritēs gads, taču Eiropas regulatori to jau ir izdarījuši rezultātus. 2019. gada februārī ziņojumu par GDPR konstatējumiem publicēja Eiropas Datu aizsardzības kolēģija (EDPB), iestāde, kas uzrauga atbilstību regulai.

Pirmie naudas sodi saskaņā ar GDPR Mēs bijām zema, jo uzņēmumu negatavība regulējuma stāšanās spēkā. Būtībā noteikumu pārkāpēji samaksāja ne vairāk kā dažus simtus tūkstošus eiro. Taču sodu kopsumma izrādījās visai iespaidīga - gandrīz 56 miljoni eiro.Ziņojumā EDAB sniedza citu informāciju par IT uzņēmumu un to klientu “attiecībām”.

Kas rakstīts dokumentā un kurš sodu jau ir samaksājis?

Kopš regulas stāšanās spēkā Eiropas regulatori ir uzsākuši aptuveni 206 tūkstošus personas datu drošības pārkāpumu lietu. Gandrīz puse no tiem (94 622) bija balstīti uz privātpersonu sūdzībām. ES pilsoņi var iesniegt sūdzību par pārkāpumiem savu personas datu apstrādē un uzglabāšanā un vērsties valsts pārvaldes iestādēs, pēc tam lieta tiks izmeklēta konkrētas valsts jurisdikcijā.

Galvenās tēmas, ar kurām bija saistītas sūdzības no eiropiešiem, bija personas datu subjekta tiesību un patērētāju tiesību pārkāpumi, kā arī personas datu noplūde.

Vēl 64 864 lietas tika sāktas pēc tam, kad par incidentu atbildīgie uzņēmumi saņēma paziņojumus par datu noplūdi. Nav precīzi zināms, cik no gadījumiem beigušies naudas sodi, taču kopumā pārkāpēji samaksājuši 56 miljonus eiro. saskaņā ar informācijas drošības ekspertiem, lielākā daļa šīs summas būs jāmaksā Google. 2019. gada janvārī Francijas regulators CNIL IT gigantam uzlika naudas sodu 50 miljonu eiro apmērā.

Tiesvedība šajā lietā ilga no GDPR pirmās dienas – sūdzību pret korporāciju iesniedza Austrijas datu aizsardzības aktīvists Makss Šrems. Aktīvista neapmierinātības cēlonis tērauds nepietiekami precīzs formulējums piekrišanā personas datu apstrādei, ko lietotāji akceptē, veidojot kontu no Android ierīcēm.

Pirms IT giganta lietas naudas sodi par GDPR neievērošanu bija ievērojami mazāki. 2018. gada septembrī Portugāles slimnīca samaksāja 400 tūkstošus eiro par ievainojamību tās medicīnas uzglabāšanas sistēmā. ieraksti, bet €20 tūkstoši - vācu čata aplikācija (klientu pieteikšanās un paroles tika glabātas nešifrētā veidā).

Ko eksperti saka par noteikumiem

Regulatori uzskata, ka pēc deviņiem mēnešiem GDPR ir pierādījis savu efektivitāti. Viņuprāt, regula palīdzēja pievērst lietotāju uzmanību viņu pašu datu drošības jautājumam.

Eksperti izceļ arī dažus trūkumus, kas kļuva pamanāmi regulas pirmajā darbības gadā. Būtiskākais no tiem ir vienotas naudas soda apmēra noteikšanas sistēmas trūkums. Autors saskaņā ar juristi, vispārpieņemtu noteikumu trūkums izraisa lielu pārsūdzību skaitu. Sūdzības ir jāizskata datu aizsardzības komisijām, kas nozīmē, ka iestādes ir spiestas veltīt mazāk laika ES pilsoņu pārsūdzībām.

Lai risinātu šo problēmu, Apvienotās Karalistes, Norvēģijas un Nīderlandes regulatori to jau ir izdarījuši attīstās atgūšanas apmēra noteikšanas noteikumi. Dokumentā tiks apkopoti faktori, kas ietekmē soda apmēru: incidenta ilgums, uzņēmuma reakcijas ātrums, noplūdē cietušo skaits.

/ foto Bankenverband CC BY-ND

Kas ir nākamais

Speciālisti uzskata, ka IT uzņēmumiem ir pāragri atslābināties. Visticamāk, sodi par GDPR neievērošanu nākotnē pieaugs.

Pirmais iemesls ir bieža datu noplūde. Saskaņā ar statistiku no Nīderlandes, kur par personas datu glabāšanas pārkāpumiem tika ziņots vēl pirms GDPR, 2018. gadā tika ziņots par noplūdēm. ir izaudzis divreiz. Autors saskaņā ar Pēc datu aizsardzības eksperta Gaja Bunkera domām, teju katru dienu kļūst zināmi jauni GDPR pārkāpumi, un tāpēc jau tuvākajā laikā regulatori sāks stingrāk izturēties pret pārkāpējiem uzņēmumiem.

Otrs iemesls ir “mīkstās” pieejas beigas. 2018. gadā naudas sodi bija pēdējais līdzeklis – pārsvarā regulatori centās palīdzēt uzņēmumiem aizsargāt klientu datus. Tomēr Eiropā jau tiek izskatīti vairāki gadījumi, kas saskaņā ar GDPR varētu novest pie lieliem naudas sodiem.

2018. gada septembrī liela mēroga datu noplūde ir noticis British Airways. Aviokompānijas maksājumu sistēmas ievainojamības dēļ hakeri piecpadsmit dienas ieguva piekļuvi klientu kredītkaršu datiem. Tiek lēsts, ka uzlaušana skāra aptuveni 400 XNUMX cilvēku. Informācijas drošības speciālisti gaidītka aviokompānija var samaksāt pirmo maksimālo soda naudu Lielbritānijā – tas būs 20 miljoni eiro jeb 4% no korporācijas gada apgrozījuma (atkarībā no tā, kura summa ir lielāka).

Vēl viens pretendents uz lielu finansiālu sodu ir Facebook. Īrijas Datu aizsardzības komisija ir sākusi desmit lietas pret IT gigantu dažādu GDPR pārkāpumu dēļ. Lielākais no tiem notika pagājušā gada septembrī – ievainojamība sociālo tīklu infrastruktūrā atļauts hakeri, lai iegūtu automātiskās pieteikšanās pilnvaras. Uzlaušana skāra 50 miljonus Facebook lietotāju, no kuriem 5 miljoni bija ES iedzīvotāji. Saskaņā ar izdevums ZDNet, šis datu pārkāpums vien uzņēmumam varētu izmaksāt miljardus dolāru.

Rezultātā jābūt gatavam tam, ka 2019. gadā GDPR parādīs savu spēku un regulējošās iestādes vairs “nepievērs acis” uz pārkāpumiem. Visticamāk, skaļu noteikumu pārkāpumu gadījumu turpmāk būs tikai vairāk.

Ziņas no pirmā emuāra par korporatīvo IaaS:

• Kas jums jāzina par PCI DSS: standarta pārskats
• GDPR ietekme: kā jaunais regulējums ietekmēja IT ekosistēmu
• Regulējums darbam ar personas datiem Krievijā un Eiropā

Par ko mēs rakstām? mūsu Telegram kanālā:

• Kas atbalsta mākoņprojektus - mēs runājam par četriem atvērtā koda fondiem
• Kā pārvaldīt aparatūru datu centrā - divas jaunas tehnoloģijas
• Kāpēc cieto disku sabojāšanās iespējamība kļūst mazāka

Avots: www.habr.com