56 millioner euro i bøter – årets resultater med GDPR

Data om det totale bøtebeløpet for brudd på regelverket er offentliggjort.

/ bilde Bankenverband PD

Hvem publiserte rapporten om bøtebeløpet

Den generelle databeskyttelsesforordningen fyller bare ett år i mai – men europeiske regulatorer har allerede gjort det resultater. I februar 2019 ble en rapport om funnene i GDPR utgitt av European Data Protection Board (EDPB), organet som overvåker overholdelse av forordningen.

Første bøter under GDPR Vi var lav på grunn av bedriftenes uforberedelse for ikrafttredelse av regulering. I utgangspunktet betalte brudd på regelverket ikke mer enn noen hundre tusen euro. Det totale straffebeløpet viste seg imidlertid å være ganske imponerende - nesten € 56 mill. I rapporten ga EDPB annen informasjon om "forholdet" til IT-selskaper og deres kunder.

Hva står det i dokumentet og hvem har allerede betalt boten?

I løpet av forordningens levetid åpnet europeiske regulatorer rundt 206 tusen tilfeller av brudd på personopplysningssikkerheten. Nesten halvparten av dem (94 622) var basert på klager fra privatpersoner. EU-borgere kan sende inn en klage på brudd i behandlingen og lagringen av deres personopplysninger og kontakte nasjonale tilsynsmyndigheter, hvoretter saken vil bli undersøkt i jurisdiksjonen til et bestemt land.

Hovedtemaene som klager fra europeere var relatert til, var brudd på rettighetene til emnet for personopplysninger og forbrukerrettigheter, samt lekkasjer av personopplysninger.

Ytterligere 64 saker ble åpnet etter meldinger om datalekkasjer fra selskapene som er ansvarlige for hendelsen. Det er ikke kjent nøyaktig hvor mange av sakene som resulterte i bøter, men totalt betalte overtrederne 864 millioner euro. i følge informasjonssikkerhetseksperter, vil det meste av dette beløpet måtte betales til Google. I januar 2019 påla den franske regulatoren CNIL en bot på 50 millioner euro til IT-giganten.

Prosedyren i denne saken varte fra den første dagen av GDPR - en klage mot selskapet ble sendt inn av den østerrikske databeskyttelsesaktivisten Max Schrems. Årsaken til aktivistens misnøye stål utilstrekkelig presis ordlyd i samtykket til behandling av personopplysninger, som brukere godtar når de oppretter en konto fra Android-enheter.

Før IT-gigantens sak var bøter for manglende overholdelse av GDPR betydelig lavere. I september 2018 betalte et portugisisk sykehus €400 tusen for en sårbarhet i det medisinske lagringssystemet. poster, og €20 tusen - en tysk chat-applikasjon (kundepålogginger og passord ble lagret i ukryptert form).

Hva sier eksperter om regelverket

Regulatorer mener at etter ni måneder har GDPR bevist sin effektivitet. Ifølge dem bidro forordningen til å trekke brukernes oppmerksomhet til spørsmålet om sikkerheten til deres egne data.

Eksperter trekker også frem noen mangler som ble merkbare i løpet av det første året av forordningen. Den viktigste av dem er mangelen på et enhetlig system for å fastsette bøtebeløpet. Av i følge advokater fører mangelen på allment aksepterte regler til et stort antall anker. Klager må behandles av databeskyttelseskommisjoner, noe som betyr at myndighetene er tvunget til å bruke mindre tid på klager fra EU-borgere.

For å løse dette problemet har regulatorer fra Storbritannia, Norge og Nederland allerede gjort det utvikle regler for fastsettelse av gjenvinningsbeløpet. Dokumentet vil samle inn faktorer som påvirker bøtebeløpet: varigheten av hendelsen, hastigheten på selskapets respons, antall ofre for lekkasjen.

/ bilde Bankenverband CC BY-ND

Hva er neste

Eksperter mener det er for tidlig for IT-selskaper å slappe av. Det er sannsynlig at bøter for manglende overholdelse av GDPR vil øke i fremtiden.

Den første grunnen er hyppige datalekkasjer. I følge statistikk fra Nederland, hvor brudd på lagring av personopplysninger ble rapportert allerede før GDPR, i 2018 antall varsler om lekkasjer har vokst to ganger. Av i følge Ifølge databeskyttelsesekspert Guy Bunker blir nye brudd på GDPR kjent nesten daglig, og derfor vil regulatorer i nær fremtid begynne å behandle fornærmende selskaper hardere.

Den andre grunnen er slutten på den "myke" tilnærmingen. I 2018 var bøter en siste utvei - for det meste forsøkte regulatorer å hjelpe selskaper med å beskytte kundedata. Imidlertid er det allerede flere saker som vurderes i Europa som kan føre til store bøter under GDPR.

I september 2018, en storstilt datalekkasje har oppstått hos British Airways. På grunn av en sårbarhet i flyselskapets betalingssystem, fikk hackere tilgang til kundenes kredittkortdata i femten dager. Anslagsvis 400 XNUMX personer ble berørt av hacket. Spesialister på informasjonssikkerhet forventeat flyselskapet kan betale den første maksimale boten i Storbritannia - det vil være €20 millioner eller 4% av selskapets årlige omsetning (det beløp som er størst).

En annen utfordrer til stor økonomisk straff er Facebook. Den irske databeskyttelseskommisjonen har åpnet ti saker mot IT-giganten på grunn av ulike brudd på GDPR. Den største av disse skjedde i september i fjor - en sårbarhet i den sosiale nettverksinfrastrukturen tillatt hackere for å få tokens for automatisk pålogging. Hacket rammet 50 millioner Facebook-brukere, hvorav 5 millioner var innbyggere i EU. I følge utgave ZDNet, dette datainnbruddet alene kan koste selskapet milliarder av dollar.

Som et resultat bør du være forberedt på at GDPR i 2019 vil vise sin styrke, og reguleringsmyndighetene vil ikke lenger "lukke det blinde øyet" for brudd. Mest sannsynlig vil det bare komme flere høyprofilerte saker om regelbrudd i fremtiden.

Innlegg fra den første bloggen om bedriftens IaaS:

• Hva du trenger å vite om PCI DSS: standard oversikt
• Effekten av GDPR: hvordan den nye forskriften påvirket IT-økosystemet
• Regulering av arbeid med personopplysninger i Russland og Europa

Hva skriver vi om? i vår Telegram-kanal:

• Hvem støtter skyprosjekter – vi snakker om fire åpen kildekode-fond
• Hvordan administrere maskinvare i et datasenter - to nye teknologier
• Hvorfor det er mindre sannsynlig at harddisker går i stykker

Kilde: www.habr.com