56 мільйонів євро штрафів - підсумки року з GDPR

Опубліковано дані про сумарний розмір штрафів за порушення регламенту.

/ фото Bankenverband PD

Хто опублікував звіт про розмір штрафів

Загальному регламенту захисту даних виповниться рік лише у травні — проте європейські регуляторні органи вже підвели проміжні підсумки. У лютому 2019 року звіт про результати GDPR випустила Європейська рада із захисту даних (EDPB) — орган, який слідкує за дотриманням регламенту.

Перші штрафи по GDPR було невисокими через неготовність підприємств до набуття чинності. Здебільшого порушники регламенту платили трохи більше кількох сотень тисяч євро. Проте загальна сума стягнень виявилася досить великою — майже 56 млн. євро. У звіті EDPB навів і іншу інформацію про «взаємини» ІТ-компаній та їх клієнтів.

Про що йдеться у документі та хто вже заплатив штраф

За час дії регламенту європейські регуляторні органи відкрили близько 206 тисяч справ щодо порушення безпеки персональних даних. Майже половина з них (94) - за скаргами приватних осіб. Громадяни ЄС можуть написати заяву про порушення в процесі обробки та зберігання їх персональних даних та звернутися до національних регуляторних органів, після чого справу розслідуватимуть у юрисдикції певної країни.

Головні теми, з якими були пов'язані скарги європейців, — порушення прав суб'єкта ПД та прав споживачів, а також витікання персональних даних.

Ще 64 864 справи відкрили за повідомленням про витік даних від компаній-винуватців пригоди. Достеменно невідомо, скільки зі справ завершилися штрафами, але в сумі порушники заплатили €56 млн. словами експертів з ІБ, більшу частину цієї суми доведеться виплатити Google. У січні 2019 року французький регуляторний орган CNIL виніс ІТ-гіганту штраф у €50 млн.

Розгляд у цій справі тривав з першого дня дії GDPR – скаргу на корпорацію подав австрійський борець за захист даних Макс Шремс (Max Schrems). Причиною невдоволення активіста стали недостатньо точні формулювання у згоді на обробку персональних даних, яку користувачі приймають під час створення облікового запису з Android-пристроїв.

До справи ІТ-гіганта штрафи за недотримання GDPR були значно нижчими. У вересні 2018 року 400 тисяч євро заплатила португальська лікарня за вразливість у системі зберігання мед. записів, а €20 тисяч — німецький чат-додаток (логіни та паролі клієнтів зберігалися у незашифрованому вигляді).

Що кажуть експерти про регламент

Представники регуляторних органів вважають, що за дев'ять місяців GDPR довів свою ефективність. За їхніми словами, регламент допоміг звернути увагу користувачів до безпеки своїх власних даних.

Експерти виділяють і деякі недоліки, які стали помітними за перший рік дії регламенту. Найважливіший із них — відсутність єдиної системи визначення розміру штрафів. за словами юристів, брак загальноприйнятих правил призводить до великої кількості апеляцій. Скарги доводиться розбирати комісіям із захисту даних, через що органи змушені приділяти менше часу на звернення громадян ЄС.

Для вирішення цієї проблеми регулятори з Великобританії, Норвегії та Нідерландів вже розробляють правила визначення розміру стягнення. У документі буде зібрано фактори, що впливають на суму штрафу: тривалість інциденту, швидкість реакції компанії, кількість постраждалих від витоку.

/ фото Bankenverband CC BY-ND

Що далі

Експерти вважають, що ІТ-компаніям поки що рано розслаблятися. Найімовірніше, у майбутньому розміри штрафів за недотримання GDPR збільшаться.

Перша причина - часті витоку даних. Згідно зі статистикою з Нідерландів, де про порушення зберігання ПД повідомляли і до GDPR, за 2018 рік кількість повідомлень про витік зросла в два рази. за словами експерта із захисту даних Гая Банкера (Guy Bunker), про нові порушення GDPR стає відомо майже щодня, і тому в найближчому майбутньому регулятори ставляться до компаній, що провинилися, жорсткіше.

Друга причина – закінчення дії «м'якого» підходу. У 2018 році штрафи були крайнім заходом — переважно регулятори прагнули допомогти компаніям захистити дані клієнтів. Проте вже зараз у Європі розглядається кілька справ, які можуть призвести до великих штрафів за GDPR.

У вересні 2018 року масштабний витік даних сталася у British Airways. Через вразливість у платіжній системі авіакомпанії хакери отримали доступ до даних кредитних карток клієнтів протягом п'ятнадцяти днів. За оцінками, від злому постраждали 400 тисяч осіб. Фахівці з інформаційної безпеки очікують, Що авіакомпанія може виплатити перший максимальний штраф у Великобританії - він складе € 20 млн або 4% річного обороту корпорації (дивлячись яка сума виявиться більше).

Ще один претендент на велике фінансове покарання – Facebook. Ірландська комісія із захисту даних відкрила проти ІТ-гіганта десять справ через різні порушення GDPR. Найбільше з них відбулося минулого вересня — вразливість в інфраструктурі соціальної мережі дозволила хакерам отримати токени для автоматичного входу до системи. Від злому постраждали 50 млн користувачів Facebook, 5 млн з яких виявились мешканцями ЄС. Згідно виданню ZDNet, тільки цей витік даних може обійтися компанії в мільярди доларів.

У результаті варто бути готовими до того, що у 2019 році GDPR покаже свою силу, а регуляторні органи перестануть «заплющувати очі» на порушення. Найімовірніше, гучних справ про порушення регламенту в майбутньому стане лише більше.

Пости з Першого блогу про корпоративний IaaS:

• Що потрібно знати про PCI DSS: огляд стандарту
• Ефект GDPR: як новий регламент вплинув на IT-екосистему
• Регулювання роботи з персональними даними у Росії та Європі

Про що ми пишемо у нашому Telegram-каналі:

• Хто підтримує хмарні проекти — розповідаємо про чотири open source фонди
• Як керувати залізом у дата-центрі — дві нові технології
• Чому жорсткі диски стали рідше ламатися

Джерело: habr.com