Số liệu về tổng số tiền phạt vi phạm quy định đã được công bố.
/ hình chụp PD
Ai công bố báo cáo về số tiền phạt
Quy định chung về bảo vệ dữ liệu sẽ chỉ tròn một tuổi vào tháng XNUMX - nhưng các cơ quan quản lý châu Âu đã có . Vào tháng 2019 năm XNUMX, một báo cáo về những phát hiện của GDPR đã được công bố bởi Ủy ban Bảo vệ Dữ liệu Châu Âu (EDPB), cơ quan giám sát việc tuân thủ quy định.
Khoản tiền phạt đầu tiên theo GDPR thấp do các công ty chưa chuẩn bị cho việc quy định này có hiệu lực. Về cơ bản, những người vi phạm quy định phải trả không quá vài trăm nghìn euro. Tuy nhiên, tổng số tiền phạt hóa ra khá ấn tượng - gần 56 triệu euro. Trong báo cáo, EDPB đã cung cấp thông tin khác về “mối quan hệ” giữa các công ty CNTT và khách hàng của họ.
Tài liệu nói gì và ai đã trả tiền phạt?
Kể từ khi quy định có hiệu lực, các cơ quan quản lý châu Âu đã khởi tố khoảng 206 nghìn vụ vi phạm an ninh dữ liệu cá nhân. Gần một nửa trong số đó (94) là dựa trên khiếu nại của các cá nhân. Công dân EU có thể nộp đơn khiếu nại về các vi phạm trong việc xử lý và lưu trữ dữ liệu cá nhân của họ và liên hệ với các cơ quan quản lý quốc gia, sau đó vụ việc sẽ được điều tra theo thẩm quyền của một quốc gia cụ thể.
Các chủ đề chính liên quan đến khiếu nại của người châu Âu là vi phạm quyền của chủ thể dữ liệu cá nhân và quyền của người tiêu dùng, cũng như rò rỉ dữ liệu cá nhân.
64 trường hợp khác đã được mở sau thông báo rò rỉ dữ liệu từ các công ty chịu trách nhiệm về vụ việc. Người ta không biết chính xác có bao nhiêu trường hợp bị phạt, nhưng tổng cộng những người vi phạm đã phải trả 864 triệu euro. các chuyên gia bảo mật thông tin, phần lớn số tiền này sẽ phải trả cho Google. Vào tháng 2019 năm 50, cơ quan quản lý CNIL của Pháp đã phạt gã khổng lồ CNTT XNUMX triệu euro.
Quá trình tố tụng trong trường hợp này kéo dài từ ngày đầu tiên của GDPR - nhà hoạt động bảo vệ dữ liệu người Áo Max Schrems đã đệ đơn khiếu nại tập đoàn. Nguyên nhân khiến nhà hoạt động không hài lòng từ ngữ không đủ chính xác trong sự đồng ý xử lý dữ liệu cá nhân mà người dùng chấp nhận khi tạo tài khoản từ thiết bị Android.
Trước trường hợp của gã khổng lồ CNTT, tiền phạt do không tuân thủ GDPR thấp hơn đáng kể. Vào tháng 2018 năm 400, một bệnh viện Bồ Đào Nha đã phải trả 20 nghìn euro cho một lỗ hổng trong hệ thống lưu trữ y tế của họ. hồ sơ và XNUMX nghìn euro - một ứng dụng trò chuyện của Đức (thông tin đăng nhập và mật khẩu của khách hàng được lưu trữ ở dạng không được mã hóa).
Chuyên gia nói gì về quy định
Các cơ quan quản lý tin rằng sau chín tháng, GDPR đã chứng minh được tính hiệu quả của nó. Theo họ, quy định này đã giúp thu hút sự chú ý của người dùng đến vấn đề bảo mật dữ liệu của chính họ.
Các chuyên gia cũng nêu ra một số bất cập dễ nhận thấy trong năm đầu tiên áp dụng quy định này. Điều quan trọng nhất trong số đó là thiếu một hệ thống thống nhất để xác định số tiền phạt. Qua luật sư, việc thiếu các quy tắc được chấp nhận rộng rãi dẫn đến số lượng lớn các đơn kháng cáo. Khiếu nại phải được giải quyết bởi ủy ban bảo vệ dữ liệu, điều đó có nghĩa là chính quyền buộc phải dành ít thời gian hơn cho việc kháng cáo của công dân EU.
Để giải quyết vấn đề này, các cơ quan quản lý ở Anh, Na Uy và Hà Lan đã nguyên tắc xác định mức thu hồi. Tài liệu sẽ thu thập các yếu tố ảnh hưởng đến số tiền phạt: thời gian xảy ra vụ việc, tốc độ phản ứng của công ty, số nạn nhân của vụ rò rỉ.
/ hình chụp
những gì tiếp theo
Các chuyên gia cho rằng còn quá sớm để các công ty CNTT thư giãn. Có khả năng tiền phạt do không tuân thủ GDPR sẽ tăng lên trong tương lai.
Nguyên nhân đầu tiên là rò rỉ dữ liệu thường xuyên. Theo thống kê từ Hà Lan, nơi đã báo cáo vi phạm lưu trữ dữ liệu cá nhân ngay cả trước GDPR, năm 2018 số lượng thông báo về rò rỉ hai lần. Qua Theo chuyên gia bảo vệ dữ liệu Guy Bunker, những hành vi vi phạm GDPR mới đang được biết đến gần như hàng ngày và do đó, trong tương lai gần, các cơ quan quản lý sẽ bắt đầu xử lý nghiêm khắc hơn các công ty vi phạm.
Lý do thứ hai là sự kết thúc của cách tiếp cận “mềm”. Năm 2018, tiền phạt là biện pháp cuối cùng - hầu hết các cơ quan quản lý đều tìm cách giúp các công ty bảo vệ dữ liệu khách hàng. Tuy nhiên, đã có một số trường hợp đang được xem xét ở Châu Âu có thể dẫn đến các khoản tiền phạt lớn theo GDPR.
Vào tháng 2018 năm XNUMX, một vụ rò rỉ dữ liệu quy mô lớn tại British Airways. Do lỗ hổng trong hệ thống thanh toán của hãng hàng không, tin tặc đã giành được quyền truy cập vào dữ liệu thẻ tín dụng của khách hàng trong mười lăm ngày. Ước tính có khoảng 400 cá nhân bị ảnh hưởng bởi vụ hack. Các chuyên gia bảo mật thông tin rằng hãng hàng không có thể trả mức phạt tối đa đầu tiên ở Vương quốc Anh - số tiền này sẽ là 20 triệu euro hoặc 4% doanh thu hàng năm của tập đoàn (tùy theo số tiền nào lớn hơn).
Một ứng cử viên khác cho hình phạt tài chính lớn là Facebook. Ủy ban bảo vệ dữ liệu Ireland đã mở mười vụ kiện chống lại gã khổng lồ CNTT do nhiều hành vi vi phạm GDPR. Vụ lớn nhất xảy ra vào tháng XNUMX năm ngoái - lỗ hổng trong cơ sở hạ tầng mạng xã hội tin tặc để lấy mã thông báo để đăng nhập tự động. Vụ hack đã ảnh hưởng đến 50 triệu người dùng Facebook, 5 triệu trong số đó là cư dân của EU. Dựa theo ZDNet, riêng việc vi phạm dữ liệu này có thể khiến công ty thiệt hại hàng tỷ đô la.
Do đó, bạn nên chuẩn bị cho thực tế rằng vào năm 2019, GDPR sẽ thể hiện sức mạnh của mình và các cơ quan quản lý sẽ không còn “nhắm mắt làm ngơ” trước các hành vi vi phạm. Rất có thể, trong tương lai sẽ chỉ có thêm nhiều vụ vi phạm quy định nổi bật hơn.
Các bài đăng từ blog đầu tiên về IaaS của công ty:
Chúng ta đang viết về cái gì? trong kênh Telegram của chúng tôi:
Nguồn: www.habr.com