56 milyong euro sa mga multa - mga resulta ng taon sa GDPR

Nai-publish na ang data sa kabuuang halaga ng mga multa para sa mga paglabag sa mga regulasyon.

/ larawan Bankenverband PD

Sino ang naglathala ng ulat sa halaga ng mga multa

Ang Pangkalahatang Regulasyon sa Proteksyon ng Data ay magiging isang taong gulang lamang sa Mayo - ngunit ang mga European regulator ay mayroon na mga resulta. Noong Pebrero 2019, isang ulat sa mga natuklasan ng GDPR ang inilabas ng European Data Protection Board (EDPB), ang katawan na sumusubaybay sa pagsunod sa regulasyon.

Mga unang multa sa ilalim ng GDPR ay mababa dahil sa hindi kahandaan ng mga kumpanya para sa pagpasok sa puwersa ng regulasyon. Karaniwan, ang mga lumalabag sa mga regulasyon ay nagbabayad ng hindi hihigit sa ilang daang libong euro. Gayunpaman, ang kabuuang halaga ng mga parusa ay naging kahanga-hanga - halos € 56 milyon. Sa ulat, ang EDPB ay nagbigay ng iba pang impormasyon tungkol sa "relasyon" ng mga kumpanya ng IT at kanilang mga kliyente.

Ano ang sinasabi ng dokumento at sino ang nagbayad na ng multa?

Dahil may bisa ang regulasyon, nagbukas ang mga European regulator ng humigit-kumulang 206 libong kaso ng mga paglabag sa seguridad ng personal na data. Halos kalahati sa kanila (94) ay batay sa mga reklamo mula sa mga pribadong indibidwal. Ang mga mamamayan ng EU ay maaaring magsampa ng reklamo tungkol sa mga paglabag sa pagproseso at pag-iimbak ng kanilang personal na data at makipag-ugnayan sa mga pambansang awtoridad sa regulasyon, pagkatapos nito ay iimbestigahan ang kaso sa hurisdiksyon ng isang partikular na bansa.

Ang mga pangunahing paksa kung saan nauugnay ang mga reklamo mula sa mga European ay mga paglabag sa mga karapatan ng paksa ng personal na data at mga karapatan ng consumer, pati na rin ang mga paglabas ng personal na data.

Isa pang 64 na kaso ang binuksan kasunod ng mga abiso ng mga pagtagas ng data mula sa mga kumpanyang responsable sa insidente. Hindi alam kung gaano karami sa mga kaso ang nagresulta sa mga multa, ngunit sa kabuuan ang mga lumabag ay nagbayad ng €864 milyon. ayon sa mga eksperto sa seguridad ng impormasyon, karamihan sa halagang ito ay kailangang bayaran sa Google. Noong Enero 2019, ang French regulator na CNIL ay nagpataw ng multa na €50 milyon sa IT giant.

Ang mga paglilitis sa kasong ito ay tumagal mula sa unang araw ng GDPR - isang reklamo laban sa korporasyon ang isinampa ng Austrian data protection activist na si Max Schrems. Ang dahilan ng kawalang-kasiyahan ng aktibista bakal hindi sapat na tumpak na mga salita sa pahintulot sa pagproseso ng personal na data, na tinatanggap ng mga user kapag gumagawa ng account mula sa mga Android device.

Bago ang kaso ng IT giant, ang mga multa para sa hindi pagsunod sa GDPR ay makabuluhang mas mababa. Noong Setyembre 2018, nagbayad ng €400 thousand ang isang ospital sa Portugal para sa isang kahinaan sa sistema ng imbakan ng medikal nito. mga tala, at €20 - isang German chat application (mga pag-login at password ng customer ay naka-imbak sa hindi naka-encrypt na form).

Ano ang sinasabi ng mga eksperto tungkol sa mga regulasyon

Naniniwala ang mga regulator na pagkatapos ng siyam na buwan, napatunayan na ng GDPR ang pagiging epektibo nito. Ayon sa kanila, nakatulong ang regulasyon na maakit ang atensyon ng mga user sa isyu ng seguridad ng kanilang sariling data.

Itinampok din ng mga eksperto ang ilang mga pagkukulang na naging kapansin-pansin sa unang taon ng regulasyon. Ang pinakamahalaga sa kanila ay ang kakulangan ng pinag-isang sistema para sa pagtukoy ng halaga ng mga multa. Sa pamamagitan ng ayon sa abogado, ang kakulangan ng karaniwang tinatanggap na mga tuntunin ay humahantong sa isang malaking bilang ng mga apela. Ang mga reklamo ay kailangang harapin ng mga komisyon sa proteksyon ng data, na nangangahulugang ang mga awtoridad ay napipilitang maglaan ng mas kaunting oras sa mga apela mula sa mga mamamayan ng EU.

Upang matugunan ang isyung ito, mayroon nang mga regulator mula sa UK, Norway at Netherlands bumuo mga panuntunan para sa pagtukoy ng halaga ng pagbawi. Mangongolekta ang dokumento ng mga salik na makakaimpluwensya sa halaga ng multa: ang tagal ng insidente, ang bilis ng pagtugon ng kumpanya, ang bilang ng mga biktima ng pagtagas.

/ larawan Bankenverband CC BY-ND

kung ano ang susunod

Naniniwala ang mga eksperto na masyadong maaga para sa mga IT company na mag-relax. Malamang na ang mga multa para sa hindi pagsunod sa GDPR ay tataas sa hinaharap.

Ang unang dahilan ay ang madalas na pagtagas ng data. Ayon sa mga istatistika mula sa Netherlands, kung saan naiulat ang mga paglabag sa pag-iimbak ng personal na data bago pa man ang GDPR, noong 2018 ang bilang ng mga abiso tungkol sa mga pagtagas. Lumaki na dalawang beses. Sa pamamagitan ng ayon sa Ayon sa dalubhasa sa proteksyon ng data na si Guy Bunker, ang mga bagong paglabag sa GDPR ay nagiging kilala halos araw-araw, at samakatuwid, sa malapit na hinaharap, ang mga regulator ay magsisimulang tratuhin ang mga nakakasakit na kumpanya nang mas malupit.

Ang pangalawang dahilan ay ang pagtatapos ng "malambot" na diskarte. Noong 2018, huling paraan ang mga multa - karamihan ay hinahangad ng mga regulator na tulungan ang mga kumpanya na protektahan ang data ng customer. Gayunpaman, mayroon nang ilang mga kaso na isinasaalang-alang sa Europa na maaaring humantong sa malalaking multa sa ilalim ng GDPR.

Noong Setyembre 2018, isang malakihang pagtagas ng data nangyari sa British Airways. Dahil sa isang kahinaan sa sistema ng pagbabayad ng airline, nakakuha ng access ang mga hacker sa data ng credit card ng customer sa loob ng labinlimang araw. Tinatayang 400 indibidwal ang naapektuhan ng hack. Mga espesyalista sa seguridad ng impormasyon asahanna maaaring bayaran ng airline ang unang pinakamataas na multa sa UK - ito ay magiging €20 milyon o 4% ng taunang turnover ng korporasyon (alinmang halaga ang mas malaki).

Ang isa pang kalaban para sa malaking parusang pinansyal ay ang Facebook. Ang Irish Data Protection Commission ay nagbukas ng sampung kaso laban sa higanteng IT dahil sa iba't ibang mga paglabag sa GDPR. Ang pinakamalaki sa mga ito ay nangyari noong Setyembre - isang kahinaan sa imprastraktura ng social network pinapayagan hacker upang makakuha ng mga token para sa awtomatikong pag-login. Naapektuhan ng hack ang 50 milyong gumagamit ng Facebook, 5 milyon sa kanila ay mga residente ng EU. Ayon kay edisyon ZDNet, ang data breach na ito lamang ay maaaring magastos sa kumpanya ng bilyun-bilyong dolyar.

Bilang resulta, dapat kang maging handa sa katotohanan na sa 2019 ang GDPR ay magpapakita ng lakas nito, at ang mga awtoridad sa regulasyon ay hindi na "pumikit" sa mga paglabag. Malamang, magkakaroon lamang ng mas mataas na profile na mga kaso ng mga paglabag sa mga regulasyon sa hinaharap.

Mga post mula sa Unang blog tungkol sa corporate IaaS:

• Ano ang kailangan mong malaman tungkol sa PCI DSS: karaniwang pangkalahatang-ideya
• Ang epekto ng GDPR: kung paano naapektuhan ng bagong regulasyon ang IT ecosystem
• Regulasyon ng trabaho sa personal na data sa Russia at Europa

Tungkol saan ang isinusulat natin? sa aming Telegram channel:

• Sino ang sumusuporta sa mga proyekto sa cloud - pinag-uusapan natin ang tungkol sa apat na open source na pondo
• Paano pamahalaan ang hardware sa isang data center - dalawang bagong teknolohiya
• Bakit ang mga hard drive ay nagiging mas malamang na masira

Pinagmulan: www.habr.com