Главная » Хабрахабр » 56 миллионов евро штрафов — итоги года с GDPR

56 миллионов евро штрафов — итоги года с GDPR

Опубликованы данные о суммарном размере штрафов за нарушения регламента.


/ фото Bankenverband PD

Кто опубликовал отчёт о размере штрафов

Общему регламенту по защите данных исполнится год только в мае — однако европейские регуляторные органы уже подвели промежуточные итоги. В феврале 2019 года отчёт о результатах GDPR выпустил Европейский совет по защите данных (EDPB) — орган, который следит за соблюдением регламента.

В основном нарушители регламента платили не более нескольких сотен тысяч евро. Первые штрафы по GDPR были невысокими из-за неготовности компаний к вступлению регулирования в силу. В отчёте EDPB привёл и другую информацию о «взаимоотношениях» ИТ-компаний и их клиентов. Однако общая сумма взысканий оказалась довольно внушительной — почти €56 млн.

О чём говорится в документе и кто уже заплатил штраф

За время действия регламента европейские регуляторные органы открыли около 206 тысяч дел о нарушении безопасности персональных данных. Почти половина из них (94 622) — по жалобам частных лиц. Граждане ЕС могут написать заявление о нарушениях в процессе обработки и хранения их персональных данных и обратиться в национальные регуляторные органы, после чего дело будут расследовать в юрисдикции определенной страны.

Главные темы, с которыми были связаны жалобы европейцев, — нарушение прав субъекта ПД и прав потребителей, а также утечки персональных данных.

Ещё 64 864 дела открыли по уведомлению об утечке данных от компаний-виновников происшествия. Точно неизвестно, сколько из дел завершились штрафами, но в сумме нарушители заплатили €56 млн. По словам экспертов по ИБ, большую часть этой суммы придётся выплатить Google. В январе 2019 года французский регуляторный орган CNIL вынес ИТ-гиганту штраф в €50 млн.

Причиной недовольства активиста стали недостаточно точные формулировки в согласии на обработку персональных данных, которое пользователи принимают при создании аккаунта с Android-устройств. Разбирательство по этому делу длилось с первого дня действия GDPR — жалобу на корпорацию подал австрийский борец за защиту данных Макс Шремс (Max Schrems).

В сентябре 2018 года €400 тысяч заплатила португальская больница за уязвимость в системе хранения мед. До дела ИТ-гиганта штрафы за несоблюдение GDPR были значительно ниже. записей, а €20 тысяч — немецкое чат-приложение (логины и пароли клиентов хранились в незашифрованном виде).

Что говорят эксперты о регламенте

Представители регуляторных органов считают, что за девять месяцев GDPR доказал свою эффективность. По их словам, регламент помог обратить внимание пользователей к вопросу безопасности их собственных данных.

Наиболее важный из них — отсутствие единой системы определения размера штрафов. Эксперты выделяют и некоторые недостатки, которые стали заметны за первый год действия регламента. Жалобы приходится разбирать комиссиям по защите данных, из-за чего органы вынуждены уделять меньше времени на обращения граждан ЕС. По словам юристов, нехватка общепринятых правил приводит к большому количеству апелляций.

В документе будут собраны факторы, влияющие на сумму штрафа: длительность инцидента, скорость реакции компании, количество пострадавших от утечки. Для решения этой проблемы регуляторы из Великобритании, Норвегии и Нидерландов уже разрабатывают правила определения размера взыскания.


/ фото Bankenverband CC BY-ND

Что дальше

Эксперты считают, что ИТ-компаниям пока рано расслабляться. Вероятнее всего, в будущем размеры штрафов за несоблюдение GDPR увеличатся.

Согласно статистике из Нидерландов, где о нарушениях хранения ПД сообщали и до GDPR, за 2018 год число уведомлений об утечках выросло в два раза. Первая причина — частые утечки данных. По словам эксперта по защите данных Гая Банкера (Guy Bunker), о новых нарушениях GDPR становится известно почти ежедневно, и поэтому в ближайшем будущем регуляторы станут относиться к провинившимся компаниям жёстче.

В 2018 году штрафы были крайней мерой — в основном регуляторы стремились помочь компаниям защитить данные клиентов. Вторая причина — окончание действия «мягкого» подхода. Однако уже сейчас в Европе рассматривается несколько дел, которые могут привести к крупным штрафам по GDPR.

В сентябре 2018 года масштабная утечка данных произошла в British Airways. Из-за уязвимости в платёжной системе авиакомпании хакеры получили доступ к данным кредитных карт клиентов на протяжении пятнадцати дней. По оценкам, от взлома пострадали 400 тысяч частных лиц. Специалисты по информационной безопасности ожидают, что авиакомпания может выплатить первый максимальный штраф в Великобритании — он составит €20 млн или 4% годового оборота корпорации (смотря какая сумма окажется больше).

Ирландская комиссия по защите данных открыла против ИТ-гиганта десять дел из-за разных нарушений GDPR. Ещё один претендент на крупное финансовое наказание — Facebook. От взлома пострадали 50 млн пользователей Facebook, 5 млн из которых оказались жителями ЕС. Наиболее крупное из них произошло в прошлом сентябре — уязвимость в инфраструктуре социальной сети позволила хакерам получить токены для автоматического входа в систему. Согласно изданию ZDNet, только эта утечка данных может обойтись компании в миллиарды долларов.

Вероятнее всего, громких дел о нарушениях регламента в будущем станет только больше. В итоге стоит быть готовыми к тому, что в 2019 году GDPR покажет свою силу, а регуляторные органы перестанут «закрывать глаза» на нарушения.

Посты из Первого блога о корпоративном IaaS:
О чем мы пишем в нашем Telegram-канале:


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Анализ кода CUBA Platform с помощью PVS-Studio

Для Java программистов существуют полезные инструменты, помогающие писать качественный код, например, мощная среда разработки IntelliJ IDEA, бесплатные анализаторы SpotBugs, PMD и другие. Всё это уже используется в разработке проекта CUBA Platform, и в этом обзоре найденных дефектов кода я расскажу, ...

[Из песочницы] Подготовка к промышленному производству ДО-РА

1. Транспортировка образцов после ядерной катастрофы на АЭС Фукусима в Японии и задумывался в виде гаджета – персонального дозиметра-радиометра работающего с одноименным ПО – DO-RA. Проект DO-RA DO-RA.com был рождён в марте 2011 г. Soft на любом смартфоне под мобильные ...