56 de milioane de euro amenzi - rezultate ale anului cu GDPR

Au fost publicate date privind valoarea totală a amenzilor pentru încălcarea reglementărilor.

/ fotografie Bankenverband PD

Cine a publicat raportul privind cuantumul amenzilor

Regulamentul general privind protecția datelor va împlini doar un an în mai - dar autoritățile europene de reglementare au făcut-o deja Rezultate. În februarie 2019, Comitetul European pentru Protecția Datelor (EDPB), organismul care monitorizează conformitatea cu regulamentul, a publicat un raport privind constatările GDPR.

Primele amenzi conform GDPR au fost scăzută din cauza nepregătirii companiilor pentru intrarea în vigoare a reglementării. Practic, încălcatorii regulamentului au plătit nu mai mult de câteva sute de mii de euro. Cu toate acestea, valoarea totală a penalităților s-a dovedit a fi destul de impresionantă - aproape 56 de milioane de euro.În raport, EDPB a furnizat alte informații despre „relația” companiilor IT și clienții acestora.

Ce scrie în document și cine a plătit deja amenda?

De când regulamentul a intrat în vigoare, autoritățile de reglementare europene au deschis aproximativ 206 mii de cazuri de încălcare a securității datelor cu caracter personal. Aproape jumătate dintre acestea (94) s-au bazat pe plângeri de la persoane private. Cetățenii UE pot depune o plângere cu privire la încălcările în procesarea și stocarea datelor lor personale și pot contacta autoritățile naționale de reglementare, după care cazul va fi investigat în jurisdicția unei anumite țări.

Principalele subiecte cu care au fost legate plângerile din partea europenilor au fost încălcări ale drepturilor subiectului datelor cu caracter personal și ale consumatorilor, precum și scurgerile de date cu caracter personal.

Alte 64 de dosare au fost deschise în urma notificărilor privind scurgerile de date de la companiile responsabile de incident. Nu se știe cu exactitate câte dintre cazuri s-au soldat cu amenzi, dar în total infractorii au plătit 864 de milioane de euro. conform experți în securitatea informațiilor, cea mai mare parte a acestei sume va trebui plătită către Google. În ianuarie 2019, autoritatea de reglementare franceză CNIL a impus gigantului IT o amendă de 50 de milioane de euro.

Procedura în acest caz a durat din prima zi a GDPR - o plângere împotriva corporației a fost depusă de activistul austriac pentru protecția datelor Max Schrems. Cauza nemulțumirii activistei oțel formulare insuficient de precisă în consimțământul la prelucrarea datelor cu caracter personal, pe care utilizatorii îl acceptă atunci când își creează un cont de pe dispozitivele Android.

Înainte de cazul gigantului IT, amenzile pentru nerespectarea GDPR erau semnificativ mai mici. În septembrie 2018, un spital portughez a plătit 400 de mii de euro pentru o vulnerabilitate în sistemul său de stocare medicală. înregistrări și 20 de mii de euro - o aplicație de chat germană (autentificarea și parolele clienților au fost stocate în formă necriptată).

Ce spun experții despre reglementări

Autoritățile de reglementare cred că, după nouă luni, GDPR și-a dovedit eficiența. Potrivit acestora, regulamentul a ajutat să atragă atenția utilizatorilor asupra problemei securității propriilor date.

Experții evidențiază și unele neajunsuri care au devenit vizibile în primul an de reglementare. Cea mai importantă dintre ele este lipsa unui sistem unificat de stabilire a cuantumului amenzilor. De conform avocaților, lipsa unor reguli general acceptate duce la un număr mare de contestații. Plângerile trebuie să fie tratate de comisiile de protecție a datelor, ceea ce înseamnă că autoritățile sunt obligate să dedice mai puțin timp contestațiilor din partea cetățenilor UE.

Pentru a rezolva această problemă, autoritățile de reglementare din Regatul Unit, Norvegia și Țările de Jos au făcut-o deja dezvolta reguli de stabilire a valorii recuperării. Documentul va colecta factori care influențează cuantumul amenzii: durata incidentului, viteza de răspuns a companiei, numărul de victime ale scurgerii.

/ fotografie Bankenverband CC BY-ND

Ce urmează

Experții consideră că este prea devreme pentru companiile IT să se relaxeze. Este probabil ca amenzile pentru nerespectarea GDPR să crească în viitor.

Primul motiv este scurgerile frecvente de date. Potrivit statisticilor din Olanda, unde încălcările stocării datelor cu caracter personal au fost raportate chiar înainte de GDPR, în 2018 numărul de notificări despre scurgeri a crescut de două ori. De conform Potrivit expertului în protecția datelor Guy Bunker, noi încălcări ale GDPR devin cunoscute aproape zilnic și, prin urmare, în viitorul apropiat, autoritățile de reglementare vor începe să trateze mai aspru companiile ofensive.

Al doilea motiv este sfârșitul abordării „soft”. În 2018, amenzile au fost o ultimă soluție - în cea mai mare parte autoritățile de reglementare au căutat să ajute companiile să protejeze datele clienților. Cu toate acestea, în Europa sunt deja luate în considerare mai multe cazuri care ar putea duce la amenzi mari în temeiul GDPR.

În septembrie 2018, o scurgere de date la scară largă s-a întâmplat la British Airways. Din cauza unei vulnerabilități în sistemul de plată al companiei aeriene, hackerii au obținut acces la datele cărților de credit ale clienților timp de cincisprezece zile. Se estimează că 400 de persoane au fost afectate de hack. Specialisti in securitatea informatiei aşteptacă compania aeriană poate plăti prima amendă maximă din Marea Britanie - aceasta va fi de 20 de milioane de euro sau 4% din cifra de afaceri anuală a corporației (oricare dintre sume este mai mare).

Un alt candidat pentru o pedeapsă financiară majoră este Facebook. Comisia irlandeză pentru protecția datelor a deschis zece dosare împotriva gigantului IT din cauza diferitelor încălcări ale GDPR. Cea mai mare dintre acestea a avut loc în septembrie anul trecut - o vulnerabilitate în infrastructura rețelei sociale permis hackeri pentru a obține jetoane pentru autentificare automată. Hackul a afectat 50 de milioane de utilizatori Facebook, dintre care 5 milioane rezidenți în UE. Conform publicare ZDNet, această încălcare a datelor ar putea costa compania miliarde de dolari.

În consecință, ar trebui să fiți pregătiți pentru faptul că în 2019 GDPR își va arăta puterea, iar autoritățile de reglementare nu vor mai „închide ochii” la încălcări. Cel mai probabil, în viitor vor exista doar cazuri mai importante de încălcări ale reglementărilor.

Postări de pe primul blog despre IaaS corporative:

• Ce trebuie să știți despre PCI DSS: prezentare generală standard
• Efectul GDPR: cum a afectat noua reglementare ecosistemul IT
• Reglementarea muncii cu date personale în Rusia și Europa

Despre ce scriem? pe canalul nostru Telegram:

• Cine sprijină proiecte cloud - vorbim despre patru fonduri open source
• Cum să gestionați hardware-ul într-un centru de date - două tehnologii noi
• De ce sunt din ce în ce mai puțin probabil ca hard disk-urile să se defecteze

Sursa: www.habr.com