56 миллионов евро штрафов — итоги года с GDPR

    Опубликованы данные о суммарном размере штрафов за нарушения регламента.



    / фото Bankenverband PD

    Кто опубликовал отчёт о размере штрафов


    Общему регламенту по защите данных исполнится год только в мае — однако европейские регуляторные органы уже подвели промежуточные итоги. В феврале 2019 года отчёт о результатах GDPR выпустил Европейский совет по защите данных (EDPB) — орган, который следит за соблюдением регламента.

    Первые штрафы по GDPR были невысокими из-за неготовности компаний к вступлению регулирования в силу. В основном нарушители регламента платили не более нескольких сотен тысяч евро. Однако общая сумма взысканий оказалась довольно внушительной — почти €56 млн. В отчёте EDPB привёл и другую информацию о «взаимоотношениях» ИТ-компаний и их клиентов.

    О чём говорится в документе и кто уже заплатил штраф


    За время действия регламента европейские регуляторные органы открыли около 206 тысяч дел о нарушении безопасности персональных данных. Почти половина из них (94 622) — по жалобам частных лиц. Граждане ЕС могут написать заявление о нарушениях в процессе обработки и хранения их персональных данных и обратиться в национальные регуляторные органы, после чего дело будут расследовать в юрисдикции определенной страны.

    Главные темы, с которыми были связаны жалобы европейцев, — нарушение прав субъекта ПД и прав потребителей, а также утечки персональных данных.

    Ещё 64 864 дела открыли по уведомлению об утечке данных от компаний-виновников происшествия. Точно неизвестно, сколько из дел завершились штрафами, но в сумме нарушители заплатили €56 млн. По словам экспертов по ИБ, большую часть этой суммы придётся выплатить Google. В январе 2019 года французский регуляторный орган CNIL вынес ИТ-гиганту штраф в €50 млн.

    Разбирательство по этому делу длилось с первого дня действия GDPR — жалобу на корпорацию подал австрийский борец за защиту данных Макс Шремс (Max Schrems). Причиной недовольства активиста стали недостаточно точные формулировки в согласии на обработку персональных данных, которое пользователи принимают при создании аккаунта с Android-устройств.

    До дела ИТ-гиганта штрафы за несоблюдение GDPR были значительно ниже. В сентябре 2018 года €400 тысяч заплатила португальская больница за уязвимость в системе хранения мед. записей, а €20 тысяч — немецкое чат-приложение (логины и пароли клиентов хранились в незашифрованном виде).

    Что говорят эксперты о регламенте


    Представители регуляторных органов считают, что за девять месяцев GDPR доказал свою эффективность. По их словам, регламент помог обратить внимание пользователей к вопросу безопасности их собственных данных.

    Эксперты выделяют и некоторые недостатки, которые стали заметны за первый год действия регламента. Наиболее важный из них — отсутствие единой системы определения размера штрафов. По словам юристов, нехватка общепринятых правил приводит к большому количеству апелляций. Жалобы приходится разбирать комиссиям по защите данных, из-за чего органы вынуждены уделять меньше времени на обращения граждан ЕС.

    Для решения этой проблемы регуляторы из Великобритании, Норвегии и Нидерландов уже разрабатывают правила определения размера взыскания. В документе будут собраны факторы, влияющие на сумму штрафа: длительность инцидента, скорость реакции компании, количество пострадавших от утечки.


    / фото Bankenverband CC BY-ND

    Что дальше


    Эксперты считают, что ИТ-компаниям пока рано расслабляться. Вероятнее всего, в будущем размеры штрафов за несоблюдение GDPR увеличатся.

    Первая причина — частые утечки данных. Согласно статистике из Нидерландов, где о нарушениях хранения ПД сообщали и до GDPR, за 2018 год число уведомлений об утечках выросло в два раза. По словам эксперта по защите данных Гая Банкера (Guy Bunker), о новых нарушениях GDPR становится известно почти ежедневно, и поэтому в ближайшем будущем регуляторы станут относиться к провинившимся компаниям жёстче.

    Вторая причина — окончание действия «мягкого» подхода. В 2018 году штрафы были крайней мерой — в основном регуляторы стремились помочь компаниям защитить данные клиентов. Однако уже сейчас в Европе рассматривается несколько дел, которые могут привести к крупным штрафам по GDPR.

    В сентябре 2018 года масштабная утечка данных произошла в British Airways. Из-за уязвимости в платёжной системе авиакомпании хакеры получили доступ к данным кредитных карт клиентов на протяжении пятнадцати дней. По оценкам, от взлома пострадали 400 тысяч частных лиц. Специалисты по информационной безопасности ожидают, что авиакомпания может выплатить первый максимальный штраф в Великобритании — он составит €20 млн или 4% годового оборота корпорации (смотря какая сумма окажется больше).

    Ещё один претендент на крупное финансовое наказание — Facebook. Ирландская комиссия по защите данных открыла против ИТ-гиганта десять дел из-за разных нарушений GDPR. Наиболее крупное из них произошло в прошлом сентябре — уязвимость в инфраструктуре социальной сети позволила хакерам получить токены для автоматического входа в систему. От взлома пострадали 50 млн пользователей Facebook, 5 млн из которых оказались жителями ЕС. Согласно изданию ZDNet, только эта утечка данных может обойтись компании в миллиарды долларов.

    В итоге стоит быть готовыми к тому, что в 2019 году GDPR покажет свою силу, а регуляторные органы перестанут «закрывать глаза» на нарушения. Вероятнее всего, громких дел о нарушениях регламента в будущем станет только больше.



    Посты из Первого блога о корпоративном IaaS:


    О чем мы пишем в нашем Telegram-канале:

    • +23
    • 6,8k
    • 7
    ИТ-ГРАД
    307,00
    vmware iaas provider
    Поделиться публикацией

    Комментарии 7

      +1
      Интересно, куда пойдут эти деньги?
        0
        В теории идея правильная. Хороша ли в данном случае реализация, пока не берусь судить. Однако для больницы штраф в €400 тысяч может быть катастрофой, в то время как для Гугла штраф в €56 миллионов — мелочь.

        Часто забывают ещё про две важные проблемы, связанные с обработкой персональных данных.
          0

          Интересно, что штрафуют за баги, которые в сложно организованной системе будут всегда. И более того, штраф уже не вернёт людям потерянную приватность. Так какой во всем этом смысл?

            0
            но какую-то обратную связь необходимо налаживать и проводить;

            приговор и срок водителю камаза за въезд в группу людей тоже не вернёт ни кому ни жизни, ни здоровья, ни душевного покоя; разбазаривание чужих персональных данных — это серьёзное преступление в нынешних условиях, а чтобы это не было преступлением, надо тогда в обязательном порядке открывать доступ к личным досье в формате всё-для-всех; кто-то и сейчас по работе/службе имеет доступ к базам данных, и нет-нет да и воспользуется в личных целях этой своей возможностью, а всяческие погононосцы ещё и имеют привычку неформально помогать друг другу без выяснения чужих мотивов и целей, вот и получаем «погонщиков» и «стадо», и один из «стада» зачастую не имеет доступа даже к тем данным, которые собраны про него, хотя он сам, очевидно, и есть источник этих данных, и даже сам, как гражданин, спонсирует эти сбор и содержание баз данных, а после этим пользуются в личных корыстных целях всяческие неблагонадёжные персонажи;

            есть две крайности, 1я) реальный непреодолимый технический запрет (административные запреты — нефункциональны) на сбор и хранение баз данных — что невыполнимо, очевидно, 2я) обеспечение доступа всех ко всему — к чему и придём когда-нибудь; а сейчас мы зависли «раскорячившись в прыжке» между этими двумя крайностями, т.е. кто-то занимается банальной слежкой и собирает про меня данные, но мне показывать результаты не хочет, ещё и налево торгует — это, на мой взгляд, такое же преступление против личности;
            0
            А цель — собранные штрафы или защита пользователей?
              0
              цель — дать по жадным-неумелым-преступным рукам всем тем, кто свою коммерческую выгоду ставит выше вашей личной безопасности и закона; в капиталистической системе штрафы — очень действенная мера, конечно же они при этом обязательно должны быть пропорциональны наносимому вреду и извлекаемой от их нарушения прибыли; пожалели деляги миллиончик на обеспечение мер безопасности (типа сработали эффективно, типа меньше расходов, типа выпишем себе премию) — получили штраф в три-пять-десять миллиончиков и предписание, всё равно безопасность обеспечить, т.е. тот «сэкономленный» миллиончик тоже придётся потратить, в следующий раз задумаются в первую очередь над эффективность технической защиты, а не над финансовыми профитами, потому что нарушитель правил должен быть в глубоком убытке — вот истинная цель;

              а в убытки можно загнать и гугл, и майкрософт, и эппл, и оракл, и т.д., собственно, гигантов надо осаживать в первую очередь, бескомпромисно и показательно, в разы жёстче чем мелких; и наплевать, что какая-то там «полезная» фирма разорится, они разорять толпу людей не стесняются, и вреда обществу в совокупности наносят больше, чем дают пользы, пусть этот вред даже и выпадает всего лишь части общества безадресно и по принципу лотереи, таких лотерей не должно быть в принципе;

              а штрафы — это мизерные доходы для любого государства, так, «на семечки»; главная функция штрафа — осадить и притормозить такого резвого и «самого умного» нарушителя, и вернуть его в рамки общей конкуренции по общим правилам; встроил ты свой бизнес в общество — получи «лайки» в виде прибылей, начал при этом общество жрать и действовать по принципу «выжженной земли» — получи «дизлайки» в виде штрафов, пока действительно общество не пожрал, и пока оно тебя не побило и не растерзало вживую;

              как-то так видится;
              +1
              Хороший закон, прибыльный. Интересно, есть ли статистика насчет того, сколько компаний было оштрафовано за то, что их сайт не предупреждает об использовании кук?

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое