56 миллионов евро штрафов — итоги года с GDPR

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Опубликованы данные о суммарном размере штрафов за нарушения регламента.



/ фото Bankenverband PD

Кто опубликовал отчёт о размере штрафов


Общему регламенту по защите данных исполнится год только в мае — однако европейские регуляторные органы уже подвели промежуточные итоги. В феврале 2019 года отчёт о результатах GDPR выпустил Европейский совет по защите данных (EDPB) — орган, который следит за соблюдением регламента.

Первые штрафы по GDPR были невысокими из-за неготовности компаний к вступлению регулирования в силу. В основном нарушители регламента платили не более нескольких сотен тысяч евро. Однако общая сумма взысканий оказалась довольно внушительной — почти €56 млн. В отчёте EDPB привёл и другую информацию о «взаимоотношениях» ИТ-компаний и их клиентов.

О чём говорится в документе и кто уже заплатил штраф


За время действия регламента европейские регуляторные органы открыли около 206 тысяч дел о нарушении безопасности персональных данных. Почти половина из них (94 622) — по жалобам частных лиц. Граждане ЕС могут написать заявление о нарушениях в процессе обработки и хранения их персональных данных и обратиться в национальные регуляторные органы, после чего дело будут расследовать в юрисдикции определенной страны.

Главные темы, с которыми были связаны жалобы европейцев, — нарушение прав субъекта ПД и прав потребителей, а также утечки персональных данных.

Ещё 64 864 дела открыли по уведомлению об утечке данных от компаний-виновников происшествия. Точно неизвестно, сколько из дел завершились штрафами, но в сумме нарушители заплатили €56 млн. По словам экспертов по ИБ, большую часть этой суммы придётся выплатить Google. В январе 2019 года французский регуляторный орган CNIL вынес ИТ-гиганту штраф в €50 млн.

Разбирательство по этому делу длилось с первого дня действия GDPR — жалобу на корпорацию подал австрийский борец за защиту данных Макс Шремс (Max Schrems). Причиной недовольства активиста стали недостаточно точные формулировки в согласии на обработку персональных данных, которое пользователи принимают при создании аккаунта с Android-устройств.

До дела ИТ-гиганта штрафы за несоблюдение GDPR были значительно ниже. В сентябре 2018 года €400 тысяч заплатила португальская больница за уязвимость в системе хранения мед. записей, а €20 тысяч — немецкое чат-приложение (логины и пароли клиентов хранились в незашифрованном виде).

Что говорят эксперты о регламенте


Представители регуляторных органов считают, что за девять месяцев GDPR доказал свою эффективность. По их словам, регламент помог обратить внимание пользователей к вопросу безопасности их собственных данных.

Эксперты выделяют и некоторые недостатки, которые стали заметны за первый год действия регламента. Наиболее важный из них — отсутствие единой системы определения размера штрафов. По словам юристов, нехватка общепринятых правил приводит к большому количеству апелляций. Жалобы приходится разбирать комиссиям по защите данных, из-за чего органы вынуждены уделять меньше времени на обращения граждан ЕС.

Для решения этой проблемы регуляторы из Великобритании, Норвегии и Нидерландов уже разрабатывают правила определения размера взыскания. В документе будут собраны факторы, влияющие на сумму штрафа: длительность инцидента, скорость реакции компании, количество пострадавших от утечки.


/ фото Bankenverband CC BY-ND

Что дальше


Эксперты считают, что ИТ-компаниям пока рано расслабляться. Вероятнее всего, в будущем размеры штрафов за несоблюдение GDPR увеличатся.

Первая причина — частые утечки данных. Согласно статистике из Нидерландов, где о нарушениях хранения ПД сообщали и до GDPR, за 2018 год число уведомлений об утечках выросло в два раза. По словам эксперта по защите данных Гая Банкера (Guy Bunker), о новых нарушениях GDPR становится известно почти ежедневно, и поэтому в ближайшем будущем регуляторы станут относиться к провинившимся компаниям жёстче.

Вторая причина — окончание действия «мягкого» подхода. В 2018 году штрафы были крайней мерой — в основном регуляторы стремились помочь компаниям защитить данные клиентов. Однако уже сейчас в Европе рассматривается несколько дел, которые могут привести к крупным штрафам по GDPR.

В сентябре 2018 года масштабная утечка данных произошла в British Airways. Из-за уязвимости в платёжной системе авиакомпании хакеры получили доступ к данным кредитных карт клиентов на протяжении пятнадцати дней. По оценкам, от взлома пострадали 400 тысяч частных лиц. Специалисты по информационной безопасности ожидают, что авиакомпания может выплатить первый максимальный штраф в Великобритании — он составит €20 млн или 4% годового оборота корпорации (смотря какая сумма окажется больше).

Ещё один претендент на крупное финансовое наказание — Facebook. Ирландская комиссия по защите данных открыла против ИТ-гиганта десять дел из-за разных нарушений GDPR. Наиболее крупное из них произошло в прошлом сентябре — уязвимость в инфраструктуре социальной сети позволила хакерам получить токены для автоматического входа в систему. От взлома пострадали 50 млн пользователей Facebook, 5 млн из которых оказались жителями ЕС. Согласно изданию ZDNet, только эта утечка данных может обойтись компании в миллиарды долларов.

В итоге стоит быть готовыми к тому, что в 2019 году GDPR покажет свою силу, а регуляторные органы перестанут «закрывать глаза» на нарушения. Вероятнее всего, громких дел о нарушениях регламента в будущем станет только больше.



Посты из Первого блога о корпоративном IaaS:

  • Что нужно знать о PCI DSS: обзор стандарта
  • Эффект GDPR: как новый регламент повлиял на IT-экосистему
  • Регулирование работы с персональными данными в России и Европе

О чем мы пишем в нашем Telegram-канале:

  • Кто поддерживает облачные проекты — рассказываем о четырех open source фондах
  • Как управлять железом в дата-центре — две новые технологии
  • Почему жёсткие диски стали реже ломаться
Источник: https://habr.com/ru/company/it-grad/blog/444968/#habracut

Интересные статьи

Интересные статьи

У WG21 есть строгий график (см. P1000) выпуска стандарта каждые три года. И никаких задержек. В течение каждого цикла мы регулярно получаем вопросы «ну почему так строго?», особенно от новых...
Несмотря на то, что начало 2019 года выдалось для компании Tesla не совсем удачным, руководство, включая Илона Маска, не унывает. Наоборот, многие сотрудники компании полны энтузиазма и плани...
В Европе пришли к выводу, что cookie-баннеры не соответствуют требованиям GDPR. Обсуждаем предысторию вопроса, делимся мнениями экспертов и смотрим на варианты развития ситуации. ...
На днях на местной гранадской барахолке мне попался на глаза необычный ноутбук. Он был ну очень толстым, продавался с собственными документами (мануал, гарантийка и т.п.) и имел наклейку Win...
Недавно мы обеспечили высокоскоростным мобильным интернетом и мобильной связью верхние участки горнолыжных трасс Эльбруса. Теперь сигнал там доходит до высоты 5100 метров. И это был не самый прос...