56 milijonov evrov kazni - rezultati leta z GDPR

Objavljeni so podatki o skupni višini glob za kršitve predpisov.

/ fotografija Bankenverband PD

Ki je objavil poročilo o višini kazni

Splošna uredba o varstvu podatkov bo maja stara šele eno leto – a evropski regulatorji so že rezultatov. Februarja 2019 je Evropski odbor za varstvo podatkov (EDPB), organ, ki nadzoruje skladnost z uredbo, objavil poročilo o ugotovitvah GDPR.

Prve kazni po GDPR so bili nizka zaradi nepripravljenosti podjetij na uveljavitev uredbe. V osnovi so kršitelji predpisov plačali največ nekaj sto tisoč evrov. Vendar se je skupni znesek kazni izkazal za precej impresivnega - skoraj 56 milijonov evrov, EDPB je v poročilu navedel druge informacije o "odnosu" IT podjetij in njihovih strank.

Kaj piše v dokumentu in kdo je že plačal kazen?

Od veljavnosti uredbe so evropski regulatorji odprli približno 206 tisoč primerov kršitev varnosti osebnih podatkov. Skoraj polovica (94) jih je temeljila na pritožbah zasebnikov. Državljani EU lahko vložijo pritožbo zaradi kršitev pri obdelavi in ​​shranjevanju njihovih osebnih podatkov ter se obrnejo na nacionalne regulativne organe, nato pa se primer preišče v pristojnosti posamezne države.

Glavne teme, s katerimi so bile povezane pritožbe Evropejcev, so bile kršitve pravic subjekta osebnih podatkov in pravic potrošnikov ter uhajanje osebnih podatkov.

Dodatnih 64 primerov je bilo odprtih po obvestilih o uhajanju podatkov iz podjetij, odgovornih za incident. Koliko primerov se je končalo z globami, ni natančno znano, skupno pa so kršitelji plačali 864 milijonov evrov. glede na strokovnjaki za informacijsko varnost, bo treba večino tega zneska plačati Googlu. Januarja 2019 je francoski regulator CNIL IT-gigantu naložil globo v višini 50 milijonov evrov.

Postopek v tem primeru je trajal od prvega dne GDPR - pritožbo zoper korporacijo je vložil avstrijski aktivist za varstvo podatkov Max Schrems. Vzrok nezadovoljstva aktivista postali premalo natančna formulacija soglasja za obdelavo osebnih podatkov, ki ga uporabniki sprejmejo ob ustvarjanju računa iz naprav Android.

Pred primerom IT-velikana so bile kazni za neupoštevanje GDPR bistveno nižje. Septembra 2018 je portugalska bolnišnica plačala 400 tisoč evrov za ranljivost v svojem sistemu za shranjevanje zdravil. evidence in 20 tisoč evrov - nemška aplikacija za klepet (prijave in gesla strank so bila shranjena v nešifrirani obliki).

Kaj pravijo strokovnjaki o predpisih

Regulatorji menijo, da je GDPR po devetih mesecih dokazala svojo učinkovitost. Po njihovem mnenju je uredba pomagala uporabnike opozoriti na vprašanje varnosti lastnih podatkov.

Strokovnjaki izpostavljajo tudi nekatere pomanjkljivosti, ki so se pokazale v prvem letu veljavnosti uredbe. Najpomembnejši med njimi je pomanjkanje enotnega sistema za določanje višine glob. Avtor: glede na odvetnikov, pomanjkanje splošno sprejetih pravil vodi do velikega števila pritožb. Pritožbe morajo obravnavati komisije za varstvo podatkov, kar pomeni, da so oblasti prisiljene manj časa posvetiti pritožbam državljanov EU.

Regulatorji iz Združenega kraljestva, Norveške in Nizozemske so to težavo že rešili razvijati pravila za določanje zneska izterjave. Dokument bo zbral dejavnike, ki vplivajo na višino globe: trajanje incidenta, hitrost odziva podjetja, število žrtev uhajanja.

/ fotografija Bankenverband CC BY-ND

Kaj je naslednje?

Strokovnjaki menijo, da je za IT podjetja še prezgodaj za sprostitev. Verjetno se bodo globe za neupoštevanje GDPR v prihodnosti povečale.

Prvi razlog je pogosto uhajanje podatkov. Po statističnih podatkih iz Nizozemske, kjer so o kršitvah shranjevanja osebnih podatkov poročali že pred GDPR, je v letu 2018 število obvestil o uhajanju podatkov je zrasel dvakrat. Avtor: glede na Po mnenju strokovnjaka za varstvo podatkov Guya Bunkerja so nove kršitve GDPR znane skoraj vsak dan, zato bodo regulatorji v bližnji prihodnosti začeli strožje obravnavati podjetja kršitelje.

Drugi razlog je konec »mehkega« pristopa. Leta 2018 so bile globe zadnja možnost – večinoma so regulatorji želeli pomagati podjetjem pri zaščiti podatkov o strankah. Vendar pa se v Evropi že obravnava več primerov, ki bi lahko privedli do visokih glob v skladu z GDPR.

Septembra 2018 je prišlo do obsežnega uhajanja podatkov se je zgodilo pri British Airways. Zaradi ranljivosti v plačilnem sistemu letalske družbe so hekerji za petnajst dni pridobili dostop do podatkov o kreditnih karticah strank. Ocenjuje se, da je vdor prizadel približno 400 posameznikov. Strokovnjaki za informacijsko varnost pričakujejoda lahko letalska družba plača prvo najvišjo kazen v Združenem kraljestvu - znašala bo 20 milijonov evrov ali 4 % letnega prometa korporacije (kateri znesek je višji).

Še en kandidat za veliko denarno kazen je Facebook. Irska komisija za varstvo podatkov je proti IT-gigantu odprla deset primerov zaradi različnih kršitev GDPR. Največji med njimi se je zgodil lani septembra – ranljivost v infrastrukturi družbenega omrežja dovoljeno hekerji za pridobitev žetonov za samodejno prijavo. Vdor je prizadel 50 milijonov uporabnikov Facebooka, od tega 5 milijonov prebivalcev EU. Po navedbah izdaja ZDNet, samo ta kršitev podatkov lahko podjetje stane milijarde dolarjev.

Zato se morate pripraviti na dejstvo, da bo leta 2019 GDPR pokazal svojo moč in regulativni organi ne bodo več "zatiskali oči" pred kršitvami. Najverjetneje bo v prihodnje odmevnih primerov kršitev predpisov le še več.

Objave iz prvega bloga o korporativnem IaaS:

• Kaj morate vedeti o PCI DSS: standardni pregled
• Učinek GDPR: kako je nova uredba vplivala na IT ekosistem
• Ureditev dela z osebnimi podatki v Rusiji in Evropi

O čem pišemo? v našem Telegram kanalu:

• Kdo podpira projekte v oblaku – govorimo o štirih odprtokodnih skladih
• Kako upravljati strojno opremo v podatkovnem centru - dve novi tehnologiji
• Zakaj se trdi diski manj pogosto kvarijo

Vir: www.habr.com