56 milyon avro para cezası - GDPR ile yılın sonuçları

Yönetmeliklerin ihlali için toplam para cezası miktarına ilişkin yayınlanmış veriler.

/ Fotoğraf bankenverband PD

Para cezalarının miktarına ilişkin raporu kim yayınladı?

Genel Veri Koruma Yönetmeliği, Mayıs ayında yalnızca bir yılını dolduracak - ancak Avrupalı ​​düzenleyiciler bu ara dönemi çoktan özetledi sonuçlar. Şubat 2019'da, yönetmeliğe uyumu izleyen organ olan Avrupa Veri Koruma Kurulu (EDPB) tarafından GDPR'nin sonuçlarına ilişkin bir rapor yayınlandı.

GDPR kapsamındaki ilk para cezaları edildi şirketlerin düzenlemenin yürürlüğe girmesine hazırlıklı olmaması nedeniyle düşüktür. Temel olarak, düzenlemeleri ihlal edenler birkaç yüz bin avrodan fazla ödemediler. Bununla birlikte, toplam ceza miktarının oldukça etkileyici olduğu ortaya çıktı - neredeyse 56 milyon € EDPB raporunda, BT şirketleri ile müşterilerinin "ilişkisi" hakkında başka bilgiler de verdi.

Belge ne diyor ve cezayı kim ödedi?

Düzenleme döneminde, Avrupalı ​​düzenleyiciler kişisel verilerin güvenliğini ihlal eden yaklaşık 206 bin dava açtı. Bunların neredeyse yarısı (94) bireylerin şikayetlerine dayanmaktadır. AB vatandaşları, kişisel verilerinin işlenmesi ve saklanmasındaki ihlaller hakkında şikayette bulunabilir ve ulusal düzenleyici makamlara başvurabilir, ardından dava belirli bir ülkenin yargı yetkisinde soruşturulacaktır.

Avrupalıların şikayet ettiği başlıca konular, kişisel veri sahibinin haklarının ve tüketici haklarının ihlali ile kişisel verilerin sızdırılmasıydı.

Olaydan sorumlu şirketlerden gelen bir veri ihlali bildiriminin ardından 64 dava daha açıldı. Kaç vakanın para cezasıyla sonuçlandığı tam olarak bilinmemekle birlikte, suçlular toplamda 864 milyon Euro ödedi. göre bilgi güvenliği uzmanları, bu miktarın büyük kısmının Google tarafından ödenmesi gerekecek. Ocak 2019'da Fransız düzenleyici CNIL, BT devine 50 milyon Euro para cezası verdi.

Bu davadaki yargılamalar, GDPR'nin ilk gününden itibaren sürdü - Avusturyalı veri koruma aktivisti Max Schrems, şirkete karşı bir şikayette bulundu. Aktivistin memnuniyetsizliğinin nedeni çelik kullanıcıların Android cihazlardan bir hesap oluştururken kabul ettikleri, kişisel verilerin işlenmesine ilişkin rızada yeterince kesin olmayan ifadeler.

BT devinin davasından önce, GDPR'ye uymama cezaları önemli ölçüde düşüktü. Eylül 2018'de bir Portekiz hastanesi bal depolama sistemindeki bir güvenlik açığı için 400 € ödedi. kayıtları ve bir Alman sohbet uygulaması için 20 € (müşteri oturum açma bilgileri ve şifreler şifrelenmemiş olarak saklandı).

Uzmanlar yönetmelik hakkında ne diyor?

Düzenleyicilerin temsilcileri, dokuz ay içinde GDPR'nin etkinliğini kanıtladığına inanıyor. Onlara göre düzenleme, kullanıcıların dikkatini kendi verilerinin güvenliği konusuna çekmeye yardımcı oldu.

Uzmanlar, düzenlemenin ilk yılında fark edilir hale gelen bazı eksikliklerin altını çiziyor. Bunlardan en önemlisi, para cezalarının miktarını belirlemek için birleşik bir sistemin olmamasıdır. İle göre avukatlar, genel kabul görmüş kuralların olmaması çok sayıda temyize yol açar. Şikayetlerin veri koruma komisyonları tarafından çözülmesi gerekiyor, bu nedenle yetkililer AB vatandaşlarının itirazlarına daha az zaman ayırmak zorunda kalıyor.

Bu sorunu ele almak için Birleşik Krallık, Norveç ve Hollanda'daki düzenleyiciler halihazırda geliştirmek ceza miktarının belirlenmesine ilişkin kurallar. Belge, para cezasının miktarını etkileyen faktörleri toplayacak: olayın süresi, şirketin yanıt verme hızı, sızıntı kurbanlarının sayısı.

/ Fotoğraf bankenverband CC BY-ND

sonra ne

Uzmanlar, BT şirketlerinin gevşemesi için henüz çok erken olduğuna inanıyor. GDPR'ye uymama cezalarının gelecekte artması muhtemeldir.

İlk sebep, sık veri sızıntılarıdır. PD depolama ihlallerinin GDPR'den önce bile rapor edildiği Hollanda'daki istatistiklere göre, 2018'de ihlal bildirimlerinin sayısı büyüdü iki kere. İle göre veri koruma uzmanı Guy Bunker'e göre, GDPR'nin yeni ihlalleri neredeyse her gün biliniyor ve bu nedenle, yakın gelecekte düzenleyiciler suçlu şirketlere karşı daha sert hale gelecek.

İkinci sebep, “yumuşak” yaklaşımın sonu. 2018'de para cezaları son çareydi - çoğunlukla düzenleyiciler, şirketlerin müşteri verilerini korumasına yardımcı olmaya çalıştı. Bununla birlikte, Avrupa'da GDPR kapsamında büyük para cezalarına yol açabilecek birkaç dava zaten değerlendiriliyor.

Eylül 2018'de büyük bir veri ihlali oluştu British Airways'te. Havayolunun ödeme sistemindeki bir güvenlik açığı nedeniyle bilgisayar korsanları, on beş gün boyunca müşterilerin kredi kartı verilerine erişim sağladı. Saldırıdan tahminen 400 kişi etkilendi. Bilgi güvenliği uzmanları beklemekhavayolunun Birleşik Krallık'taki ilk maksimum cezayı ödeyebileceği - 20 milyon Euro veya şirketin yıllık cirosunun %4'ü (hangi tutarın daha yüksek olduğuna bağlı olarak) tutarında olacaktır.

Büyük bir mali ceza için başka bir yarışmacı Facebook. İrlanda Veri Koruma Komisyonu, çeşitli GDPR ihlalleri nedeniyle BT devine karşı on dava açtı. Bunların en büyüğü geçen Eylül ayında meydana geldi — sosyal ağ altyapısında bir güvenlik açığı izin bilgisayar korsanları otomatik oturum açma için belirteçler alır. Hack, 50 milyonu AB'de ikamet eden 5 milyon Facebook kullanıcısını etkiledi. Buna göre baskı ZDNet, bu veri ihlali tek başına şirkete milyarlarca dolara mal olabilir.

Sonuç olarak, 2019'da GDPR'nin gücünü göstereceği ve düzenleyicilerin artık ihlallere göz yummayacağı gerçeğine hazırlıklı olmalısınız. Büyük olasılıkla, gelecekte yalnızca daha yüksek profilli yönetmelik ihlali vakaları olacaktır.

İlk Kurumsal IaaS Blogundan Gönderiler:

• PCI DSS hakkında bilmeniz gerekenler: standarda genel bakış
• GDPR etkisi: yeni düzenleme BT ekosistemini nasıl etkiledi?
• Rusya ve Avrupa'da kişisel verilerle çalışmanın düzenlenmesi

ne hakkında yazıyoruz Telegram kanalımızda:

• Bulut projelerini kim destekliyor - dört açık kaynak fonundan bahsediyoruz
• Bir veri merkezinde donanım nasıl yönetilir - iki yeni teknoloji
• Sabit disklerin bozulma olasılığı neden azalıyor?

Kaynak: habr.com