56 милиона евра казни - резултати године са ГДПР-ом

Објављени су подаци о укупном износу казни за кршење прописа.

/ пхото Банкенвербанд PD

Ко је објавио извештај о висини казни

Општа уредба о заштити података ће у мају напунити само годину дана - али европски регулатори су то већ учинили резултати. У фебруару 2019. године Европски одбор за заштиту података (ЕДПБ), тело које прати усклађеност са уредбом, објавио је извештај о налазима ГДПР-а.

Прве казне по ГДПР-у били ниска због неприпремљености предузећа за ступање уредбе на снагу. Углавном, прекршиоци прописа плаћали су не више од неколико стотина хиљада евра. Међутим, укупан износ казни се показао прилично импресивним - скоро 56 милиона евра.У извештају ЕДПБ је навео и друге податке о „односу“ ИТ компанија и њихових клијената.

Шта пише у документу и ко је већ платио казну?

Од када је уредба на снази, европски регулатори отворили су око 206 хиљада случајева кршења безбедности личних података. Скоро половина њих (94) на основу притужби приватних лица. Грађани ЕУ могу поднети притужбу о кршењима у обради и чувању својих личних података и контактирати националне регулаторне органе, након чега ће случај бити истражен у јурисдикцији одређене земље.

Главне теме на које су се односиле жалбе Европљана биле су повреде права субјекта личних података и права потрошача, као и цурење личних података.

Отворено је још 64 предмета након обавештења о цурењу података од компанија одговорних за инцидент. Не зна се тачно колико је случајева резултирало новчаним казнама, али су прекршиоци укупно платили 864 милиона евра. према стручњаци за безбедност информација, највећи део овог износа ће морати да буде уплаћен Гуглу. У јануару 2019, француски регулатор ЦНИЛ изрекао је ИТ гиганту казну од 50 милиона евра.

Поступак у овом случају трајао је од првог дана ГДПР-а - тужбу против корпорације поднео је аустријски активиста за заштиту података Макс Шремс. Узрок незадовољства активисткиње челик недовољно прецизне формулације у сагласности за обраду личних података, које корисници прихватају приликом креирања налога са Андроид уређаја.

Пре случаја ИТ гиганта, казне за непоштовање ГДПР-а биле су знатно ниже. У септембру 2018, једна португалска болница платила је 400 хиљада евра за рањивост у свом медицинском систему за складиштење. евиденције, а 20 хиљада евра - немачка апликација за ћаскање (корисничке пријаве и лозинке су ускладиштене у нешифрованом облику).

Шта стручњаци кажу о прописима

Регулатори сматрају да је након девет месеци ГДПР доказао своју ефикасност. Према њиховим речима, пропис је помогао да се скрене пажња корисника на питање безбедности сопствених података.

Стручњаци истичу и неке недостатке који су постали уочљиви током прве године регулације. Најважнији од њих је непостојање јединственог система одређивања висине казни. Од стране према правника, недостатак општеприхваћених правила доводи до великог броја жалби. Жалбе морају да решавају комисије за заштиту података, што значи да су власти принуђене да мање времена посвећују жалбама грађана ЕУ.

Да би се позабавили овим питањем, регулатори из УК, Норвешке и Холандије су то већ урадили развити правила за одређивање висине надокнаде. Документ ће прикупити факторе који утичу на висину казне: трајање инцидента, брзина реаговања компаније, број жртава цурења.

/ пхото Банкенвербанд ЦЦ БИ-НД

Шта је следеће

Стручњаци сматрају да је прерано да се ИТ компаније опусте. Вероватно је да ће се казне за непоштовање ГДПР-а у будућности повећати.

Први разлог је често цурење података. Према статистикама из Холандије, где су кршења чувања личних података пријављивана и пре ГДПР-а, у 2018. број обавештења о цурењу података порасла два пута. Од стране према Према мишљењу стручњака за заштиту података Гаја Бункера, нова кршења ГДПР-а постају позната готово свакодневно, па ће стога регулатори у блиској будућности почети оштрије да третирају компаније које су прекршиле.

Други разлог је крај „меког“ приступа. У 2018. новчане казне су биле последње средство - углавном су регулатори настојали да помогну компанијама да заштите податке о клијентима. Међутим, у Европи се већ разматра неколико случајева који би могли довести до великих казни према ГДПР-у.

У септембру 2018. дошло је до великог цурења података десило у Бритисх Аирваису. Због рањивости у систему плаћања авиокомпаније, хакери су петнаест дана добили приступ подацима о кредитним картицама клијената. Процењује се да је хаком погођено 400 појединаца. Специјалисти за безбедност информација ожидаутда авио-компанија може да плати прву максималну казну у УК - то ће бити 20 милиона евра или 4% годишњег промета корпорације (који износ је већи).

Још један кандидат за велику финансијску казну је Фејсбук. Ирска комисија за заштиту података отворила је десет случајева против ИТ гиганта због различитих кршења ГДПР-а. Највећи од њих догодио се прошлог септембра - рањивост у инфраструктури друштвених мрежа дозвољен хакери да добију токене за аутоматску пријаву. Хак је утицао на 50 милиона корисника Фејсбука, од којих су 5 милиона били становници ЕУ. Према публикација ЗДНет, само ово кршење података могло би коштати компанију милијарде долара.

Као резултат тога, требало би да будете спремни на чињеницу да ће ГДПР 2019. показати своју снагу, а регулаторни органи више неће „зажмирити“ на кршења. Највероватније ће убудуће бити само још релакснијих случајева кршења прописа.

Постови са Првог блога о корпоративном ИааС-у:

• Шта треба да знате о ПЦИ ДСС: стандардни преглед
• Ефекат ГДПР-а: како је нова регулатива утицала на ИТ екосистем
• Регулација рада са личним подацима у Русији и Европи

О чему пишемо? на нашем Телеграм каналу:

• Ко подржава пројекте у облаку - говоримо о четири фонда отвореног кода
• Како управљати хардвером у дата центру - две нове технологије
• Зашто је мања вероватноћа да ће се хард дискови покварити

Извор: ввв.хабр.цом