56 miliónov eur na pokutách – výsledky roka s GDPR

Zverejnené sú údaje o celkovej výške pokút za porušenie predpisov.

/ foto Bankenverband PD

Kto zverejnil správu o výške pokút

Všeobecné nariadenie o ochrane údajov bude mať v máji iba jeden rok, ale európski regulátori už áno výsledky. Vo februári 2019 zverejnil Európsky výbor pre ochranu údajov (EDPB), orgán, ktorý monitoruje dodržiavanie nariadenia, správu o zisteniach GDPR.

Prvé pokuty podľa GDPR boli nízka z dôvodu nepripravenosti podnikov na nadobudnutie účinnosti regulácie. Porušovatelia predpisov zaplatili v podstate nie viac ako niekoľko stotisíc eur. Celková výška pokút však dopadla dosť pôsobivo – takmer 56 miliónov eur.V správe EDPB uviedol ďalšie informácie o „vzťahu“ IT spoločností a ich klientov.

Čo hovorí dokument a kto už pokutu zaplatil?

Od účinnosti nariadenia otvorili európski regulátori približne 206-tisíc prípadov porušenia bezpečnosti osobných údajov. Takmer polovica z nich (94 622) bola založená na sťažnostiach súkromných osôb. Občania EÚ môžu podať sťažnosť na porušenie pri spracúvaní a uchovávaní ich osobných údajov a kontaktovať národné regulačné orgány, po ktorých bude prípad vyšetrovaný v jurisdikcii konkrétnej krajiny.

Hlavnými témami, s ktorými súviseli sťažnosti Európanov, bolo porušovanie práv subjektu osobných údajov a práv spotrebiteľov, ako aj úniky osobných údajov.

Ďalších 64 864 prípadov bolo otvorených po oznámeniach o úniku údajov od spoločností zodpovedných za incident. Nie je presne známe, v koľkých prípadoch boli udelené pokuty, celkovo však porušovatelia zaplatili 56 miliónov eur. podľa odborníci na informačnú bezpečnosť, väčšina z tejto sumy bude musieť byť zaplatená spoločnosti Google. V januári 2019 francúzsky regulátor CNIL uložil IT gigantovi pokutu 50 miliónov eur.

Konanie v tomto prípade trvalo od prvého dňa GDPR – sťažnosť na korporáciu podal rakúsky aktivista na ochranu osobných údajov Max Schrems. Príčina nespokojnosti aktivistky oceľ nedostatočne presné znenie v súhlase so spracovaním osobných údajov, ktorý používatelia akceptujú pri vytváraní účtu zo zariadení s Androidom.

Pred kauzou IT giganta boli pokuty za nedodržiavanie GDPR výrazne nižšie. V septembri 2018 zaplatila portugalská nemocnica 400-tisíc eur za zraniteľnosť svojho systému skladovania medicínskych údajov. záznamov, a 20 tisíc € - nemecká chatovacia aplikácia (prihlasovacie údaje a heslá zákazníkov boli uložené v nezašifrovanej podobe).

Čo hovoria odborníci o predpisoch

Regulátori sa domnievajú, že po deviatich mesiacoch GDPR preukázalo svoju účinnosť. Nariadenie podľa nich pomohlo upriamiť pozornosť používateľov na problematiku bezpečnosti vlastných dát.

Odborníci tiež zdôrazňujú niektoré nedostatky, ktoré sa prejavili počas prvého roka platnosti nariadenia. Najdôležitejším z nich je chýbajúci jednotný systém určovania výšky pokút. Autor: podľa právnikov, nedostatok všeobecne uznávaných pravidiel vedie k veľkému počtu odvolaní. Sťažnosťami sa musia zaoberať komisie na ochranu údajov, čo znamená, že orgány sú nútené venovať menej času odvolaniam občanov EÚ.

Regulačné orgány zo Spojeného kráľovstva, Nórska a Holandska už tento problém riešili rozvíjať pravidlá na určenie výšky vymáhania. Dokument bude zhromažďovať faktory, ktoré ovplyvňujú výšku pokuty: trvanie incidentu, rýchlosť reakcie spoločnosti, počet obetí úniku.

/ foto Bankenverband CC BY-ND

čo ďalej

Odborníci sa domnievajú, že na uvoľnenie IT spoločností je ešte príliš skoro. Je pravdepodobné, že pokuty za nedodržiavanie GDPR budú v budúcnosti rásť.

Prvým dôvodom sú časté úniky dát. Podľa štatistík z Holandska, kde boli porušenia úložísk osobných údajov hlásené už pred GDPR, sa v roku 2018 počet upozornení na úniky vyrástol dvakrát. Autor: podľa Podľa odborníka na ochranu údajov Guya Bunkera sú nové porušenia GDPR známe takmer každý deň, a preto v blízkej budúcnosti začnú regulátori pristupovať k porušujúcim spoločnostiam prísnejšie.

Druhým dôvodom je koniec „mäkkého“ prístupu. V roku 2018 boli pokuty poslednou možnosťou - väčšinou sa regulátori snažili pomôcť spoločnostiam chrániť údaje zákazníkov. V Európe sa však už zvažuje niekoľko prípadov, ktoré môžu viesť k vysokým pokutám podľa GDPR.

V septembri 2018 došlo k rozsiahlemu úniku dát došlo v British Airways. Kvôli zraniteľnosti platobného systému leteckej spoločnosti získali hackeri prístup k údajom o kreditných kartách zákazníkov na pätnásť dní. Odhadom bolo napadnutých 400 XNUMX osôb. Špecialisti na informačnú bezpečnosť očakávaťže letecká spoločnosť môže zaplatiť prvú maximálnu pokutu v Spojenom kráľovstve – bude to 20 miliónov eur alebo 4 % z ročného obratu spoločnosti (podľa toho, ktorá suma je vyššia).

Ďalším uchádzačom o veľký finančný trest je Facebook. Írska komisia pre ochranu údajov otvorila desať prípadov proti IT gigantovi kvôli rôznym porušeniam GDPR. Najväčšia z nich sa vyskytla vlani v septembri – zraniteľnosť v infraštruktúre sociálnych sietí povolený hackermi na získanie tokenov na automatické prihlásenie. Hack zasiahol 50 miliónov používateľov Facebooku, z ktorých 5 miliónov boli obyvatelia EÚ. Podľa vydanie ZDNet, len toto porušenie údajov by mohlo spoločnosť stáť miliardy dolárov.

V dôsledku toho by ste sa mali pripraviť na to, že v roku 2019 GDPR ukáže svoju silu a regulačné orgány už nebudú „zatvárať oči“ pred porušovaním. S najväčšou pravdepodobnosťou bude v budúcnosti pribúdať len známych prípadov porušovania predpisov.

Príspevky z prvého blogu o firemnom IaaS:

• Čo potrebujete vedieť o PCI DSS: štandardný prehľad
• Účinok GDPR: ako nové nariadenie ovplyvnilo IT ekosystém
• Regulácia práce s osobnými údajmi v Rusku a Európe

O čom to píšeme? na našom telegramovom kanáli:

• Kto podporuje cloudové projekty – hovoríme o štyroch open source fondoch
• Ako spravovať hardvér v dátovom centre – dve nové technológie
• Prečo sú pevné disky čoraz menej náchylné na poruchu

Zdroj: hab.com