Opublikowano dane o łącznej kwocie kar finansowych za naruszenia przepisów.
/ zdjęcie PD
Kto opublikował raport na temat wysokości kar finansowych
Ogólne rozporządzenie o ochronie danych skończy w maju dopiero rok, ale europejskie organy regulacyjne już to zrobiły . W lutym 2019 r. Europejska Rada Ochrony Danych (EROD), czyli organ monitorujący przestrzeganie rozporządzenia, opublikowała raport z ustaleń RODO.
Pierwsze kary na mocy RODO niski ze względu na nieprzygotowanie przedsiębiorstw na wejście w życie regulacji. Zasadniczo osoby naruszające przepisy płaciły nie więcej niż kilkaset tysięcy euro. Łączna kwota kar okazała się jednak imponująca – prawie 56 mln euro.W raporcie EROD podała inne informacje na temat „relacji” firm IT z ich klientami.
Co jest napisane w dokumencie i kto już zapłacił karę?
Od czasu wejścia w życie rozporządzenia europejskie organy regulacyjne wszczęły około 206 tys. spraw dotyczących naruszeń bezpieczeństwa danych osobowych. Prawie połowa z nich (94 622) opierała się na skargach osób prywatnych. Obywatele UE mogą złożyć skargę dotyczącą naruszeń w przetwarzaniu i przechowywaniu ich danych osobowych oraz skontaktować się z krajowymi organami regulacyjnymi, po czym sprawa zostanie rozpatrzona w jurysdykcji danego kraju.
Głównymi tematami, z którymi wiązały się skargi Europejczyków, były naruszenia praw podmiotu danych osobowych i praw konsumentów, a także wycieki danych osobowych.
Kolejne 64 864 sprawy wszczęto w następstwie powiadomień o wyciekach danych od firm odpowiedzialnych za incydent. Nie wiadomo dokładnie, ile przypadków zakończyło się karami finansowymi, ale w sumie sprawcy zapłacili 56 mln euro. ekspertów ds. bezpieczeństwa informacji, większość tej kwoty będzie musiała zostać zapłacona Google. W styczniu 2019 roku francuski regulator CNIL nałożył na giganta IT karę w wysokości 50 mln euro.
Postępowanie w tej sprawie trwało od pierwszego dnia obowiązywania RODO – skargę na korporację złożył austriacki działacz na rzecz ochrony danych Max Schrems. Przyczyna niezadowolenia działacza niewystarczająco precyzyjne sformułowanie zgody na przetwarzanie danych osobowych, którą użytkownicy akceptują podczas zakładania konta z urządzeń z systemem Android.
Przed sprawą giganta IT kary za nieprzestrzeganie RODO były znacznie niższe. We wrześniu 2018 r. portugalski szpital zapłacił 400 tys. euro za lukę w systemie przechowywania danych medycznych. rekordów oraz 20 tys. euro – niemiecką aplikację do czatowania (loginy i hasła klientów były przechowywane w postaci niezaszyfrowanej).
Co eksperci mówią o przepisach
Organy regulacyjne uważają, że po dziewięciu miesiącach RODO udowodniło swoją skuteczność. Ich zdaniem rozporządzenie pomogło zwrócić uwagę użytkowników na kwestię bezpieczeństwa ich własnych danych.
Eksperci zwracają także uwagę na pewne niedociągnięcia, które dało się zauważyć już w pierwszym roku obowiązywania rozporządzenia. Najważniejszym z nich jest brak jednolitego systemu ustalania wysokości kar finansowych. Przez prawników, brak ogólnie przyjętych zasad skutkuje dużą liczbą odwołań. Skargi muszą być rozpatrywane przez komisje ochrony danych, co oznacza, że władze są zmuszone poświęcać mniej czasu na skargi obywateli UE.
Aby rozwiązać ten problem, organy regulacyjne z Wielkiej Brytanii, Norwegii i Holandii już to zrobiły zasady ustalania kwoty zwrotu. W dokumencie zostaną zebrane czynniki mające wpływ na wysokość kary: czas trwania zdarzenia, szybkość reakcji firmy, liczba ofiar wycieku.
/ zdjęcie
Co dalej
Eksperci uważają, że dla firm IT jest jeszcze za wcześnie na relaks. Prawdopodobne jest, że w przyszłości kary za nieprzestrzeganie RODO wzrosną.
Pierwszym powodem są częste wycieki danych. Według statystyk z Holandii, gdzie naruszenia dotyczące przechowywania danych osobowych zgłaszano już przed wprowadzeniem RODO, w 2018 r. liczba zgłoszeń o wyciekach dwa razy. Przez Według eksperta ds. ochrony danych Guya Bunkera niemal codziennie ujawniają się nowe naruszenia RODO, dlatego w najbliższej przyszłości organy regulacyjne zaczną bardziej surowo traktować firmy dopuszczające się naruszenia.
Drugim powodem jest koniec „miękkiego” podejścia. W 2018 r. kary były ostatecznością – głównie organy regulacyjne starały się pomóc firmom chronić dane klientów. Jednak w Europie rozważa się już kilka przypadków, które mogą prowadzić do wysokich kar finansowych na mocy RODO.
We wrześniu 2018 r. doszło do wycieku danych na dużą skalę w British Airways. Ze względu na lukę w systemie płatności linii lotniczej hakerzy uzyskali dostęp do danych kart kredytowych klientów na piętnaście dni. Szacuje się, że atak dotknął około 400 XNUMX osób. Specjaliści ds. bezpieczeństwa informacji że linia lotnicza może zapłacić pierwszą maksymalną karę w Wielkiej Brytanii – będzie to 20 mln euro lub 4% rocznego obrotu korporacji (w zależności, która kwota jest większa).
Kolejnym pretendentem do poważnej kary finansowej jest Facebook. Irlandzka Komisja Ochrony Danych wszczęła dziesięć spraw przeciwko gigantowi IT w związku z różnymi naruszeniami RODO. Największy z nich miał miejsce we wrześniu ubiegłego roku – luka w infrastrukturze sieci społecznościowych hakerom w celu uzyskania tokenów do automatycznego logowania. Włamanie dotknęło 50 milionów użytkowników Facebooka, z czego 5 milionów to mieszkańcy UE. Według ZDNet samo to naruszenie danych może kosztować firmę miliardy dolarów.
W rezultacie należy być przygotowanym na to, że w 2019 roku RODO pokaże swoją siłę, a organy regulacyjne nie będą już „przymykać oka” na naruszenia. Najprawdopodobniej w przyszłości głośnych przypadków naruszeń przepisów będzie tylko więcej.
Wpisy z pierwszego bloga o korporacyjnym IaaS:
O czym piszemy? na naszym kanale Telegram:
Źródło: www.habr.com