Објавени се податоци за вкупниот износ на глобите за прекршување на прописите.
/ фотографија PD
Кој го објави извештајот за висината на казните
Општата регулатива за заштита на податоците ќе наполни само една година во мај - но европските регулатори веќе го направија тоа . Во февруари 2019 година, Извештајот за наодите на GDPR беше објавен од страна на Европскиот одбор за заштита на податоци (EDPB), тело кое ја следи усогласеноста со регулативата.
Први казни според GDPR ниска поради неподготвеноста на компаниите за стапување во сила на регулативата. Во основа, прекршителите на прописите платиле не повеќе од неколку стотици илјади евра. Сепак, вкупниот износ на казните се покажа како доста импресивен - речиси 56 милиони евра.Во извештајот, EDPB даде други информации за „односот“ на ИТ компаниите и нивните клиенти.
Што пишува во документот и кој веќе ја платил казната?
Откако регулативата стапи на сила, европските регулатори отворија околу 206 илјади случаи на прекршување на безбедноста на личните податоци. Речиси половина од нив (94) се засновани на поплаки од приватни лица. Граѓаните на ЕУ можат да поднесат жалба за прекршување во обработката и складирањето на нивните лични податоци и да контактираат со националните регулаторни органи, по што случајот ќе се истражува во јурисдикцијата на одредена земја.
Главните теми со кои беа поврзани поплаките од Европејците беа кршењето на правата на субјектот на лични податоци и правата на потрошувачите, како и протекувањето на лични податоци.
Отворени се уште 64 случаи по известувањата за протекување податоци од компаниите одговорни за инцидентот. Не се знае точно колку од случаите резултирале со парични казни, но вкупно прекршителите платиле 864 милиони евра. експерти за информациска безбедност, најголемиот дел од оваа сума ќе треба да се плати на Google. Во јануари 2019 година, францускиот регулатор CNIL наметна казна од 50 милиони евра на ИТ гигантот.
Постапката во овој случај траеше од првиот ден на GDPR - жалба против корпорацијата поднесе австрискиот активист за заштита на податоци Макс Шремс. Причината за незадоволството на активистот недоволно прецизна формулација во согласноста за обработка на лични податоци, која корисниците ја прифаќаат при креирање на сметка од уреди со Android.
Пред случајот на ИТ гигантот, казните за непочитување на GDPR беа значително помали. Во септември 2018 година, португалска болница плати 400 илјади евра за ранливост во нејзиниот систем за медицинско складирање. записи, и 20 илјади евра - германска апликација за разговор (најавите и лозинките на клиентите беа складирани во нешифрирана форма).
Што велат експертите за прописите
Регулаторите веруваат дека по девет месеци, GDPR ја докажа својата ефикасност. Според нив, регулативата помогнала да се привлече вниманието на корисниците на прашањето за безбедноста на нивните сопствени податоци.
Експертите истакнуваат и некои недостатоци кои станаа забележливи во текот на првата година од регулативата. Најважен од нив е немањето унифициран систем за одредување на висината на казните. Од страна на адвокатите, недостатокот на општо прифатени правила доведува до голем број жалби. Комисиите за заштита на податоците треба да ги решаваат поплаките, што значи дека властите се принудени да посветат помалку време на жалбите од граѓаните на ЕУ.
За да се реши ова прашање, регулаторите од ОК, Норвешка и Холандија веќе го направија тоа правила за одредување на износот на наплата. Документот ќе собира фактори кои влијаат на висината на казната: времетраењето на инцидентот, брзината на одговорот на компанијата, бројот на жртвите на истекувањето.
/ фотографија
Што е следно
Експертите сметаат дека е рано за ИТ компаниите да се опуштат. Многу е веројатно дека казните за непочитување на GDPR ќе се зголемат во иднина.
Првата причина е честото протекување на податоци. Според статистичките податоци од Холандија, каде што биле пријавени прекршувања на складирањето на личните податоци дури и пред GDPR, во 2018 година бројот на известувања за протекување двапати. Од страна на Според експертот за заштита на податоци Гај Бункер, новите прекршувања на GDPR стануваат познати речиси секојдневно, и затоа, во блиска иднина, регулаторите ќе почнат да се однесуваат построго кон компаниите кои навредуваат.
Втората причина е крајот на „мекиот“ пристап. Во 2018 година, казните беа последно средство - главно регулаторите се обидоа да им помогнат на компаниите да ги заштитат податоците на клиентите. Сепак, во Европа веќе се разгледуваат неколку случаи кои би можеле да доведат до големи казни според GDPR.
Во септември 2018 година, протекување податоци од големи размери во Бритиш Ервејс. Поради ранливост во платниот систем на авиокомпанијата, хакерите добија пристап до податоците за кредитните картички на клиентите петнаесет дена. Се проценува дека 400 поединци биле погодени од хакирањето. Специјалисти за безбедност на информации дека авиокомпанијата може да ја плати првата максимална казна во ОК - таа ќе биде 20 милиони евра или 4% од годишниот обрт на корпорацијата (кој износ и да е поголем).
Друг кандидат за голема финансиска казна е Фејсбук. Ирската комисија за заштита на податоците отвори десет случаи против ИТ гигантот поради различни прекршувања на GDPR. Најголемиот од нив се случи минатиот септември - ранливост во инфраструктурата на социјалната мрежа хакери да добијат токени за автоматско најавување. Со хакирањето биле погодени 50 милиони корисници на Фејсбук, од кои 5 милиони биле жители на ЕУ. Според ZDNet, само ова прекршување на податоците може да ја чини компанијата милијарди долари.
Како резултат на тоа, треба да бидете подготвени за фактот дека во 2019 година GDPR ќе ја покаже својата сила, а регулаторните органи повеќе нема да „замижуваат“ на прекршувањата. Најверојатно, во иднина ќе има само повеќе случаи на кршење на прописите од висок профил.
Објави од Првиот блог за корпоративниот IaaS:
За што пишуваме? во нашиот Telegram канал:
Извор: www.habr.com