Первые штрафы по GDPR: кого уже наказали
GDRP вступил в силу больше шести месяцев назад, но первые «письма счастья» регуляторы начали выписывать лишь недавно. В материале — о тех компаниях, которые их уже получили.
[1]
/ фото Kiefer [2] CC BY-SA [3]
«Мягкий запуск» GDPR
GDPR вступил в силу 25 мая 2018 года [4]. К тому моменту все организации, которые хранят и обрабатывают персональные данные резидентов Евросоюза, должны были обновить пользовательские соглашения и привести все рабочие процессы в соответствие с требованиями регламента. За несоблюдение требований был установлен штраф в размере двадцати миллионов евро или четырех процентов годовой выручки компании-нарушителя.
Но не все компании отнеслись к регламенту с должным вниманием. Согласно исследованию аналитиков из Ponemon Institute, более половины европейских и американских организаций не успели выполнить [5] все требования GDPR к дедлайну. Поэтому многие крупные издания, среди которых был и The Verge [6], предположили, что европейские регуляторы проведут «мягкий запуск» нового закона. То есть какое-то время не будут штрафовать нарушителей, рассматривая финансовые наказания как крайнюю меру.
В целом так и произошло, не понесли наказание даже такие крупные компании, как Facebook и Google. Жалобы на них подали в первый же день действия регламента. Тогда с иском обратился [7] австралийский юрист и борец за защиту данных Макс Шремс (Max Schrems). Шремс утверждал, что компании принуждают пользователей давать согласие на обработку персональных данных под угрозой ограничения доступа к сервисам. И хотя рассмотрение дел еще ведется [8], есть вероятность [9], что в итоге обвинения снимут.
Кто все же получил штрафы
Через несколько месяцев после вступления GDPR в силу, европейские регуляторы ужесточили подход к компаниям. В ноябре регуляторный орган немецкого региона Баден — Вюртемберг (LfDI) назначил штраф чат-приложению для знакомств Knuddels. Этот случай стал первым наказанием по GDPR в Германии.
В сентябре сервис обнаружил «брешь», через которую в сеть утекли [10] логины и пароли 330 тыс. пользователей. При этом оказалось, что все персональные данные хранились в виде незашифрованных текстовых файлов. Немецкий регулятор назначил компании штраф в размере 20 тыс. евро. Сумма получилась относительно небольшой [11], потому что в Knuddles оперативно сообщили об утечке и согласились внедрить дополнительные меры безопасности.
/ фото Stock Catalog [12] CC BY [13]
Другой штраф по GDPR, о котором стало известно в сентябре, назначила [14] португальская комиссия по защите данных (CNPD). Его получила одна из больниц Португалии. В её системе хранения медицинских записей обнаружилась уязвимость, которая позволяла получить доступ к данным пациентов с помощью фальшивых профилей сотрудников. В системе обнаружили 985 зарегистрированных аккаунтов, хотя в больнице работали всего 296 врачей. Медучреждению пришлось заплатить 400 тысяч евро.
Был назначен и первый максимальный штраф за нарушение требований GDPR. Британский регулятор обязал [15] канадскую консалтинговую компанию AggregateIQ выплатить двадцать миллионов евро за незаконный сбор и обработку данных пользователей социальных сетей для проведения таргетированных агитационных кампаний. Сейчас AggregateIQ пытается оспорить штраф, но, вероятно, компании все же придется расстаться со своими деньгами.
Кто еще может получить штраф
Пока что штрафы, назначаемые за нарушение требований GDPR, остаются довольно небольшими (за исключением ситуации с AggregateIQ), по сравнению с максимальным наказанием за невыполнение требований GDPR. Однако эксперт по защите данных и автор книг по информационной безопасности Гай Банкер (Guy Bunker) считает, что закон «ещё покажет зубы». Утечки данных происходят чуть ли не ежедневно, поэтому Банкер полагает [16], что в ближайшем будущем штрафы значительно возрастут.
С ним согласен и консультант по информационной безопасности Бенджамин Эллис (Benjamin Ellis). По его словам, пока регуляторы охотно помогали компаниям «латать бреши» в безопасности и практически не применяли штрафные санкции. Но Эллис считает, что в 2019 году к нарушителям регламента будут относиться суровее.
Одной из первых крупных «жертв GDPR» грядущего года может стать Microsoft [17]. ИТ-гиганта обвинили в нарушениях при хранении данных пользователей — IP-адресов и заголовков пересылаемых электронных писем — приложений пакета Office. При этом часть этих данных попадала на серверы, расположенные в США (а не в Европе, как того требует GDPR), а пользователи не были предупреждены о сборе какой-либо телеметрии.
Ещё один большой штраф в ближайшее время грозит [18] Facebook. В сентябре социальная сеть была взломана — злоумышленники похитили персональные данные 50 миллионов пользователей. Сейчас европейские регуляторы ведут расследование и пытаются определить, привела ли к утечке халатность Facebook и насколько граждане ЕС пострадали от кражи данных. Facebook могут обязать выплатить до четырех миллиардов долларов.
Можно предположить, что в следующем году штрафов за нарушения при обработке персональных данных пользователей в Европе будет становиться все больше. «Масла в огонь» подольет ePrivacy Regulation, который должен начать действовать [19] в 2019-м.
Он дополнительно ужесточит правила работы с cookies и добавит головной боли ИТ-компаниям. А штрафы за несоблюдение его требований тоже высоки: от двух до четырех процентов годового дохода компании-виновницы или десять миллионов евро.
P.S. Материалы по теме из Первого блога о корпоративном IaaS:
- Эффект GDPR: как новый регламент повлиял на IT-экосистему [20]
- Регулирование работы с персональными данными в России и Европе [21]
- ПД в облаке: зоны ответственности заказчика и облачного провайдера [22]
P.P.S. Наш Telegram-канал про IaaS-технологии:
- Как обрабатывать ПД в России и Европе [23]
- Почему хороший IaaS-провайдер не строит свой ЦОД [24]
- Где уже сейчас используют суперкомпьютеры [25]
Автор: ИТ-ГРАДовец
Источник [26]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/zakonodatel-stvo/302349
Ссылки в тексте:
[1] Image: https://habr.com/company/it-grad/blog/432810/
[2] Kiefer: https://www.flickr.com/photos/xingxiyang/19423443038
[3] CC BY-SA: https://creativecommons.org/licenses/by-sa/2.0/
[4] вступил в силу 25 мая 2018 года: https://ru.wikipedia.org/wiki/%D0%9E%D0%B1%D1%89%D0%B8%D0%B9_%D1%80%D0%B5%D0%B3%D0%BB%D0%B0%D0%BC%D0%B5%D0%BD%D1%82_%D0%BF%D0%BE_%D0%B7%D0%B0%D1%89%D0%B8%D1%82%D0%B5_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85
[5] не успели выполнить: https://iapp.org/media/pdf/resource_center/Ponemon_race-to-gdpr.pdf
[6] был и The Verge: https://www.theverge.com/2018/5/22/17378688/gdpr-general-data-protection-regulation-eu
[7] обратился: https://www.theinquirer.net/inquirer/news/3033111/google-and-facebook-rack-up-gbp67bn-in-gdpr-lawsuits-on-day-one
[8] еще ведется: https://www.helpnetsecurity.com/2018/11/26/gdpr-impact/
[9] есть вероятность: https://www.privateinternetaccess.com/blog/2018/06/why-did-privacy-expert-max-schrems-immediately-file-gdpr-complaints-against-google-and-facebook-and-will-he-win/
[10] в сеть утекли: https://www.theregister.co.uk/AMP/2018/11/23/knuddels_fined_for_plain_text_passwords/
[11] получилась относительно небольшой: https://www.bleepingcomputer.com/news/security/first-gdpr-sanction-in-germany-fines-flirty-chat-platform-eur-20-000/
[12] Stock Catalog: https://www.flickr.com/photos/stockcatalog/27405125228/
[13] CC BY: https://creativecommons.org/licenses/by/2.0/
[14] назначила: https://www.insideprivacy.com/data-privacy/portuguese-hospital-receives-and-contests-400000-e-fine-for-gdpr-infringement/
[15] обязал: https://www.theinquirer.net/inquirer/news/3063193/ico-slaps-aggregateiq-with-first-official-gdpr-notice
[16] полагает: https://www.verdict.co.uk/gdpr-six-months-on-is-it-working-12-experts-weigh-in/
[17] может стать Microsoft: https://www.theregister.co.uk/2018/11/16/microsoft_gdpr/
[18] грозит: https://www.theverge.com/2018/10/1/17922946/facebook-breach-gdpr-lawsuit-privacy-commissioner-europe
[19] должен начать действовать: https://www.i-scoop.eu/gdpr/eu-eprivacy-regulation/#Next_steps_and_WHEN_the_ePrivacy_Regulation_might_be_applied_which_is_not_the_same_as_entering_into_force
[20] Эффект GDPR: как новый регламент повлиял на IT-экосистему: https://iaas-blog.it-grad.ru/bezopasnost/effekt-gdpr-kak-novyj-reglament-povliyal-na-it-ekosistemu/
[21] Регулирование работы с персональными данными в России и Европе: https://iaas-blog.it-grad.ru/bezopasnost/regulirovanie-raboty-s-personalnymi-dannymi-v-rossii-i-evrope/
[22] ПД в облаке: зоны ответственности заказчика и облачного провайдера: https://iaas-blog.it-grad.ru/bezopasnost/zony-otvetstvennosti-zakazchika-i-oblachnogo-provajdera-personalnye-dannye-v-oblake-chast-3/
[23] Как обрабатывать ПД в России и Европе: https://t.me/iaasblog/164
[24] Почему хороший IaaS-провайдер не строит свой ЦОД: https://t.me/iaasblog/173
[25] Где уже сейчас используют суперкомпьютеры: https://t.me/iaasblog/176
[26] Источник: https://habr.com/post/432810/?utm_source=habrahabr&utm_medium=rss&utm_campaign=432810
Нажмите здесь для печати.