違規罰款總額資料已公佈。
/ 照片 PD
誰發布了罰款金額報告
《一般資料保護規範》到五月才滿一歲——但歐洲監管機構已經 。 2019 年 XNUMX 月,歐洲資料保護委員會 (EDPB) 發布了一份關於 GDPR 調查結果的報告,該委員會負責監督該法規的遵守情況。
GDPR 下的首次罰款 由於公司對監管生效準備不足,因此該比例較低。基本上,違反規定的人所支付的罰款不超過幾十萬歐元。然而,罰款總額卻相當驚人——近 56 萬歐元。在報告中,EDPB 提供了有關 IT 公司及其客戶「關係」的其他資訊。
文件說了些什麼?誰已經支付了罰款?
自該法規生效以來,歐洲監管機構已立案約 206 萬起個人資料安全違規案件。其中幾乎一半(94)是基於個人的投訴。歐盟公民可以就個人資料處理和儲存方面的違規行為提出投訴,並聯繫國家監管機構,之後案件將在特定國家的司法管轄區進行調查。
歐洲人投訴的主要話題是侵犯個人資料主體權利和消費者權利以及個人資料外洩。
在負責此事件的公司發出資料外洩通知後,另外立案了 64 起案件。目前尚不清楚有多少起案件導致了罰款,但違規者總共支付了 864 萬歐元。 資安專家表示,這筆金額的大部分將必須支付給Google。 2019年50月,法國監管機構CNIL對這家IT巨頭處以XNUMX萬歐元的罰款。
本案的訴訟程序從 GDPR 生效的第一天就開始了——奧地利資料保護活動人士馬克斯·施雷姆斯 (Max Schrems) 對該公司提出了投訴。活動人士不滿的原因 用戶在從 Android 裝置建立帳戶時接受的個人資料處理同意書中的措辭不夠精確。
在這家 IT 巨頭提起訴訟之前,不遵守 GDPR 的罰款要低得多。 2018 年 400 月,葡萄牙一家醫院因其醫療儲存系統存在漏洞而支付了 20 萬歐元的賠償。記錄,以及 XNUMX 萬歐元 - 德國聊天應用程式(客戶登入名稱和密碼以未加密的形式儲存)。
專家對法規的評價
監管機構認為,九個月後,GDPR 已經證明了其有效性。他們表示,該規定有助於引起用戶對自身資料安全問題的關注。
專家們也強調了該法規第一年顯而易見的一些缺陷。其中最重要的是缺乏確定罰款金額的統一制度。經過 對律師來說,缺乏普遍接受的規則導致大量上訴。投訴必須由資料保護委員會處理,這意味著當局被迫花更少的時間處理歐盟公民的上訴。
為了解決這個問題,英國、挪威和荷蘭的監管機構已經 確定恢復金額的規則。該文件將收集影響罰款金額的因素:事件持續時間、公司回應速度、洩密受害者人數。
/ 照片
下一步是什麼
專家認為,IT企業現在放鬆還為時過早。未來,不遵守 GDPR 的罰款可能會增加。
第一個原因是頻繁的資料外洩。荷蘭的統計數據顯示,在 GDPR 出台之前,荷蘭就已經報告了個人資料儲存違規行為,2018 年有關洩漏的通知數量 兩次。經過 資料保護專家 Guy Bunker 表示,新的 GDPR 違規行為幾乎每天都在發生,因此,在不久的將來,監管機構將開始更嚴厲地對待違規公司。
第二個原因是「軟」方法的結束。 2018 年,罰款是最後的手段—監管機構大多試圖幫助公司保護客戶資料。然而,歐洲已經考慮了幾起可能導致 GDPR 規定的巨額罰款的案件。
2018年XNUMX月,大規模資料外洩 在英國航空公司。由於航空公司支付系統存在漏洞,駭客在十五天內獲得了客戶信用卡資料的存取權。估計有 400 萬人受到這次駭客攻擊的影響。資訊安全專家 該航空公司可以支付英國首個最高罰款-20萬歐元或公司年營業額的4%(以較高金額為準)。
面臨重大經濟處罰的另一個競爭者是 Facebook。由於各種違反 GDPR 的行為,愛爾蘭資料保護委員會已針對這家 IT 巨頭提起了 10 起案件。其中最大的一次發生在去年九月——社交網路基礎設施中的一個漏洞 駭客取得自動登入的令牌。這次駭客攻擊影響了 50 萬 Facebook 用戶,其中 5 萬是歐盟居民。根據 ZDNet 表示,光是這次資料外洩就可能造成公司數十億美元的損失。
因此,大家應該做好心理準備,2019年GDPR將大顯身手,監理機關將不再對違規行為「視而不見」。未來很可能只會出現更多引人注目的違規案件。
第一篇部落格中關於企業 IaaS 的貼文:
我們在寫什麼? 在我們的 Telegram 頻道:
來源: www.habr.com