+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Звіт про результати GDPR випущено Європейською радою захисту даних (EDPB)

Звіт про результати GDPR випущено Європейською радою захисту даних (EDPB)

Загальному регламенту захисту даних виповниться рік лише в травні — проте європейські регуляторні органи вже підбили проміжні підсумки. У лютому 2019 року звіт про результати GDPR випустила Європейська рада із захисту даних (EDPB) — орган, який слідкує за дотриманням регламенту.

Перші штрафи за GDPR були невисокими через неготовність компаній до набуття чинності регулювання . Здебільшого порушники регламенту платили не більше кількох сотень тисяч євро. Проте загальна сума стягнень виявилася досить великою — майже €56 млн. У звіті EDPB навів і іншу інформацію про «взаємини» ІТ-компаній та їхніх клієнтів.

За час дії регламенту європейські регуляторні органи відкрили близько 206 тисяч справ про порушення безпеки персональних даних Майже половина з них (94622) - за скаргами приватних осіб. Громадяни ЄС можуть написати заяву про порушення в процесі обробки та зберігання їх персональних даних та звернутися до національних регуляторних органів, після чого справу розслідуватимуть у юрисдикції певної країни.

Ще 64 864 справи відкрили за повідомленням про витік даних від компаній-винуватців пригоди. Достеменно невідомо, скільки зі справ завершилися штрафами, але в сумі порушники заплатили €56 млн. За словами експертів з ІБ, більшу частину цієї суми доведеться виплатити Google. У січні 2019 року французький регуляторний орган CNIL виніс ІТ-гіганту штраф у €50 млн.

Розгляд у цій справі тривав з першого дня дії GDPR — скаргу на корпорацію подав австрійський борець за захист даних Макс Шремс (Max Schrems). Причиною невдоволення активіста стали недостатньо точні формулювання у згоді на обробку персональних даних, яку користувачі приймають при створенні облікового запису з Android-пристроїв.

До справи ІТ-гіганта штрафи за недотримання GDPR були значно нижчими. У вересні 2018 року 400 тисяч євро заплатила португальська лікарня за вразливість у системі зберігання мед. записів, а €20 тисяч — німецький чат-додаток (логіни та паролі клієнтів зберігалися у незашифрованому вигляді).

Представники регуляторних органів вважають, що за дев'ять місяців GDPR довів свою ефективність. За їхніми словами, регламент допоміг звернути увагу користувачів до питання безпеки їхніх власних даних. Експерти виділяють і деякі недоліки, які стали помітними за перший рік дії регламенту. Найважливіший із них — відсутність єдиної системи визначення розміру штрафів. За словами юристів, брак загальноприйнятих правил призводить до великої кількості апеляцій. Скарги доводиться розбирати комісіям із захисту даних, через що органи змушені приділяти менше часу на звернення громадян ЄС.

Для вирішення цієї проблеми регулятори з Великобританії, Норвегії та Нідерландів вже розробляють правила визначення розміру стягнення. У документі буде зібрано фактори, що впливають на суму штрафу: тривалість інциденту, швидкість реакції компанії, кількість постраждалих від витоку.

Експерти вважають, що ІТ-компаніям поки що рано розслаблятися. Найімовірніше, у майбутньому розміри штрафів за недотримання GDPR збільшаться.

Перша причина — часті витоки даних. Згідно зі статистикою з Нідерландів, де про порушення зберігання ПД повідомляли і до GDPR, за 2018 рік кількість повідомлень про витік зросла вдвічі. За словами експерта із захисту даних Гая Банкера (Guy Bunker), про нові порушення GDPR стає відомо майже щодня, і тому в найближчому майбутньому регулятори ставляться до компаній, що провинилися, жорсткіше.

Друга причина – закінчення дії «м'якого» підходу. У 2018 році штрафи були крайнім заходом — переважно регулятори прагнули допомогти компаніям захистити дані клієнтів. Проте вже зараз у Європі розглядається кілька справ, які можуть призвести до великих штрафів за GDPR.

У вересні 2018 року масштабний витік даних стався у British Airways. Через вразливість у платіжній системі авіакомпанії хакери отримали доступ до даних кредитних карток клієнтів протягом п'ятнадцяти днів. За оцінками, від злому постраждали 400 тисяч осіб. Фахівці з інформаційної безпеки очікують, що авіакомпанія може виплатити перший максимальний штраф у Великій Британії — він становитиме €20 млн або 4% річного обороту корпорації (дивлячись яка сума виявиться більшою).

Ще один претендент на велике фінансове покарання - Facebook. Ірландська комісія із захисту даних відкрила проти ІТ-гіганта десять справ через різні порушення GDPR. Найбільше з них сталося у вересні минулого — вразливість в інфраструктурі соціальної мережі дозволила хакерам отримати токени для автоматичного входу в систему. Від злому постраждали 50 млн користувачів Facebook, 5 млн з яких виявились мешканцями ЄС. Згідно з виданням ZDNet, лише цей витік даних може обійтися компанії в мільярди доларів.

У результаті варто бути готовими до того, що в 2019 році GDPR покаже свою силу, а регуляторні органи перестануть «закривати очі» на порушення . Найімовірніше, гучних справ про порушення регламенту в майбутньому стане лише більше.

Інші новини

Найкраща ціна