ค่าปรับ 56 ล้านยูโร - ผลลัพธ์แห่งปีด้วย GDPR

มีการเผยแพร่ข้อมูลเกี่ยวกับจำนวนค่าปรับทั้งหมดสำหรับการละเมิดกฎระเบียบ

/ รูปถ่าย Bankenverband PD

ผู้เผยแพร่รายงานจำนวนเงินค่าปรับ

กฎระเบียบคุ้มครองข้อมูลทั่วไปจะมีอายุเพียง XNUMX ปีในเดือนพฤษภาคม แต่หน่วยงานกำกับดูแลของยุโรปได้บังคับใช้แล้ว ผล. ในเดือนกุมภาพันธ์ 2019 รายงานเกี่ยวกับการค้นพบ GDPR ได้รับการเผยแพร่โดย European Data Protection Board (EDPB) ซึ่งเป็นหน่วยงานที่ตรวจสอบการปฏิบัติตามกฎระเบียบ

ค่าปรับครั้งแรกภายใต้ GDPR มันเป็น ต่ำเนื่องจากความไม่เตรียมพร้อมของบริษัทในการบังคับใช้กฎระเบียบ โดยพื้นฐานแล้วผู้ฝ่าฝืนกฎระเบียบต้องจ่ายเงินไม่เกินสองสามแสนยูโร อย่างไรก็ตาม จำนวนบทลงโทษทั้งหมดค่อนข้างน่าประทับใจ - เกือบ 56 ล้านยูโร ในรายงาน EDPB ได้ให้ข้อมูลอื่น ๆ เกี่ยวกับ "ความสัมพันธ์" ของบริษัทไอทีและลูกค้าของพวกเขา

เอกสารบอกว่าอย่างไรและใครได้จ่ายค่าปรับแล้ว?

เนื่องจากกฎระเบียบมีผลบังคับใช้ หน่วยงานกำกับดูแลของยุโรปได้เปิดคดีการละเมิดความปลอดภัยของข้อมูลส่วนบุคคลประมาณ 206 กรณี เกือบครึ่งหนึ่ง (94) เกิดจากการร้องเรียนจากบุคคลทั่วไป พลเมืองสหภาพยุโรปสามารถยื่นเรื่องร้องเรียนเกี่ยวกับการละเมิดในการประมวลผลและการจัดเก็บข้อมูลส่วนบุคคลของตน และติดต่อหน่วยงานกำกับดูแลระดับชาติ หลังจากนั้นคดีดังกล่าวจะถูกสอบสวนในเขตอำนาจศาลของประเทศใดประเทศหนึ่ง

หัวข้อหลักที่เกี่ยวข้องกับการร้องเรียนจากชาวยุโรปคือการละเมิดสิทธิในข้อมูลส่วนบุคคลและสิทธิผู้บริโภคตลอดจนการรั่วไหลของข้อมูลส่วนบุคคล

มีการเปิดคดีอีก 64 คดีหลังจากได้รับแจ้งข้อมูลรั่วไหลจากบริษัทที่รับผิดชอบเหตุการณ์ดังกล่าว ยังไม่ทราบแน่ชัดว่ามีคดีใดบ้างที่ส่งผลให้ต้องเสียค่าปรับ แต่ผู้ฝ่าฝืนได้จ่ายเงินทั้งหมด 864 ล้านยูโร ตามข้อมูลของ ตาม ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล เงินจำนวนนี้ส่วนใหญ่จะต้องชำระให้กับ Google ในเดือนมกราคม 2019 หน่วยงานกำกับดูแลของฝรั่งเศส CNIL ได้กำหนดค่าปรับ 50 ล้านยูโรกับยักษ์ใหญ่ด้านไอที

การดำเนินการในกรณีนี้ดำเนินไปตั้งแต่วันแรกของ GDPR - Max Schrems นักเคลื่อนไหวด้านการปกป้องข้อมูลชาวออสเตรียยื่นเรื่องร้องเรียนต่อบริษัท สาเหตุของความไม่พอใจของนักเคลื่อนไหว ได้กลายเป็น การใช้ถ้อยคำที่แม่นยำไม่เพียงพอในการยินยอมให้มีการประมวลผลข้อมูลส่วนบุคคล ซึ่งผู้ใช้ยอมรับเมื่อสร้างบัญชีจากอุปกรณ์ Android

ก่อนเกิดกรณีของยักษ์ใหญ่ด้านไอที ค่าปรับสำหรับการไม่ปฏิบัติตาม GDPR นั้นต่ำกว่ามาก ในเดือนกันยายน 2018 โรงพยาบาลแห่งหนึ่งในโปรตุเกสจ่ายเงิน 400 ยูโรสำหรับช่องโหว่ในระบบจัดเก็บทางการแพทย์ บันทึกและ 20 ยูโร - แอปพลิเคชันแชทภาษาเยอรมัน (การเข้าสู่ระบบและรหัสผ่านของลูกค้าถูกจัดเก็บในรูปแบบที่ไม่ได้เข้ารหัส)

สิ่งที่ผู้เชี่ยวชาญพูดเกี่ยวกับกฎระเบียบ

หน่วยงานกำกับดูแลเชื่อว่าหลังจากเก้าเดือน GDPR ได้พิสูจน์ประสิทธิภาพแล้ว กฎระเบียบดังกล่าวช่วยดึงดูดความสนใจของผู้ใช้ในเรื่องความปลอดภัยของข้อมูลของตนเอง

ผู้เชี่ยวชาญยังเน้นย้ำถึงข้อบกพร่องบางประการที่เห็นได้ชัดเจนในช่วงปีแรกของกฎระเบียบ สิ่งสำคัญที่สุดคือการขาดระบบที่เป็นเอกภาพในการกำหนดจำนวนค่าปรับ โดย ตาม ทนายความ การขาดกฎเกณฑ์ที่ยอมรับกันโดยทั่วไปนำไปสู่การอุทธรณ์จำนวนมาก การร้องเรียนจะต้องได้รับการจัดการโดยคณะกรรมการคุ้มครองข้อมูล ซึ่งหมายความว่าทางการถูกบังคับให้ใช้เวลาน้อยลงในการอุทธรณ์จากพลเมืองสหภาพยุโรป

เพื่อแก้ไขปัญหานี้ หน่วยงานกำกับดูแลจากสหราชอาณาจักร นอร์เวย์ และเนเธอร์แลนด์ได้ดำเนินการเรียบร้อยแล้ว พัฒนา กฎสำหรับการกำหนดจำนวนการกู้คืน เอกสารจะรวบรวมปัจจัยที่มีอิทธิพลต่อจำนวนเงินค่าปรับ: ระยะเวลาของเหตุการณ์ ความรวดเร็วในการตอบสนองของบริษัท จำนวนเหยื่อของการรั่วไหล

/ รูปถ่าย Bankenverband CC BY-ND

มีอะไรต่อไป

ผู้เชี่ยวชาญเชื่อว่ายังเร็วเกินไปที่บริษัทไอทีจะผ่อนคลาย มีแนวโน้มว่าค่าปรับสำหรับการไม่ปฏิบัติตาม GDPR จะเพิ่มขึ้นในอนาคต

สาเหตุแรกคือข้อมูลรั่วไหลบ่อยครั้ง ตามสถิติของประเทศเนเธอร์แลนด์ซึ่งมีการรายงานการละเมิดการจัดเก็บข้อมูลส่วนบุคคลก่อน GDPR ในปี 2018 จำนวนการแจ้งเตือนเกี่ยวกับการรั่วไหล ได้เติบโตขึ้น สองครั้ง. โดย ตาม ตามที่ผู้เชี่ยวชาญด้านการปกป้องข้อมูล Guy Bunker ระบุว่าการละเมิด GDPR ครั้งใหม่กำลังกลายเป็นที่รู้จักเกือบทุกวัน ดังนั้นในอนาคตอันใกล้นี้ หน่วยงานกำกับดูแลจะเริ่มปฏิบัติต่อบริษัทที่กระทำผิดอย่างรุนแรงมากขึ้น

เหตุผลที่สองคือการสิ้นสุดแนวทางแบบ "นุ่มนวล" ในปี 2018 ค่าปรับเป็นทางเลือกสุดท้าย โดยส่วนใหญ่หน่วยงานกำกับดูแลพยายามช่วยเหลือบริษัทต่างๆ ในการปกป้องข้อมูลลูกค้า อย่างไรก็ตาม มีหลายกรณีที่ได้รับการพิจารณาในยุโรปซึ่งอาจนำไปสู่การเสียค่าปรับจำนวนมากภายใต้ GDPR

ในเดือนกันยายน 2018 เกิดข้อมูลรั่วไหลครั้งใหญ่ เกิดขึ้น ที่บริติชแอร์เวย์ เนื่องจากช่องโหว่ในระบบการชำระเงินของสายการบิน แฮกเกอร์จึงสามารถเข้าถึงข้อมูลบัตรเครดิตของลูกค้าได้เป็นเวลาสิบห้าวัน ประมาณ 400 คนได้รับผลกระทบจากการแฮ็ก ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูล คาดหวังสายการบินสามารถจ่ายค่าปรับสูงสุดครั้งแรกในสหราชอาณาจักรได้ โดยจะอยู่ที่ 20 ล้านยูโรหรือ 4% ของมูลค่าการซื้อขายประจำปีของบริษัท (แล้วแต่จำนวนใดจะมากกว่า)

คู่แข่งสำหรับการลงโทษทางการเงินที่สำคัญอีกรายหนึ่งคือ Facebook คณะกรรมการคุ้มครองข้อมูลของไอร์แลนด์ได้เปิดคดีสิบคดีกับยักษ์ใหญ่ด้านไอทีเนื่องจากมีการละเมิด GDPR หลายครั้ง ครั้งใหญ่ที่สุดเกิดขึ้นเมื่อเดือนกันยายนปีที่แล้ว ซึ่งเป็นช่องโหว่ในโครงสร้างพื้นฐานเครือข่ายโซเชียล อนุญาต แฮกเกอร์เพื่อรับโทเค็นสำหรับการเข้าสู่ระบบอัตโนมัติ การแฮ็กดังกล่าวส่งผลกระทบต่อผู้ใช้ Facebook 50 ล้านคน โดย 5 ล้านคนในจำนวนนี้เป็นผู้อยู่อาศัยในสหภาพยุโรป ตาม ฉบับ ZDNet การละเมิดข้อมูลนี้เพียงอย่างเดียวอาจทำให้บริษัทต้องสูญเสียเงินหลายพันล้านดอลลาร์

ด้วยเหตุนี้ คุณควรเตรียมพร้อมสำหรับข้อเท็จจริงที่ว่าในปี 2019 GDPR จะแสดงความแข็งแกร่ง และหน่วยงานกำกับดูแลจะไม่ "เมิน" ต่อการละเมิดอีกต่อไป เป็นไปได้มากว่าจะมีเฉพาะกรณีการละเมิดกฎระเบียบที่มีชื่อเสียงมากขึ้นในอนาคต

โพสต์จากบล็อกแรกเกี่ยวกับ IaaS ขององค์กร:

• สิ่งที่คุณต้องรู้เกี่ยวกับ PCI DSS: ภาพรวมมาตรฐาน
• ผลกระทบของ GDPR: กฎระเบียบใหม่ส่งผลต่อระบบนิเวศด้านไอทีอย่างไร
• ระเบียบการทำงานกับข้อมูลส่วนบุคคลในรัสเซียและยุโรป

เรากำลังเขียนเกี่ยวกับอะไร? ในช่องโทรเลขของเรา:

• ใครสนับสนุนโครงการคลาวด์ - เราพูดถึงกองทุนโอเพ่นซอร์สสี่กองทุน
• วิธีจัดการฮาร์ดแวร์ในศูนย์ข้อมูล - เทคโนโลยีใหม่สองประการ
• เหตุใดฮาร์ดไดรฟ์จึงพังไม่บ่อยนัก

ที่มา: will.com